LDAP統合設定の構成

Okta LDAP エージェントをインストールした後、Oktaとデータ交換ができるよう統合の設定を構成する必要があります。

  1. 管理コンソールで、[ディレクトリー] > に移動します [ Directory Integrations(ディレクトリ統合)]に進みます。
  2. [Not yet configured(未構成)]にマークされているOkta LDAP エージェントをクリックします。
  3. 次の設定を行います。

    LDAP プロバイダーを選択すると、プロバイダー固有の構成値が自動的に追加されます。リストにLDAPプロバイダーがない場合、構成フィールドに手動で入力します。デフォルト値が正しいか確認します。すべての構成設定に値を入力する必要があるわけではありません。

    • Unique Identifier Attribute(一意の識別子の属性) — 選択したLDAP プロバイダーで定義され、自動入力された値。この値は インポートされたすべてのLDAPオブジェクト(ユーザーおよびグループ)の 一意の不変的な属性を定義します。この属性を持つオブジェクトのみがOkra組織にインポートされます。初期セットアップ中に、自動入力された値を変更することもできます。注:LDAPサーバーがRFC 4530を実装している場合、このフィールドに entryuuid と入力します。 AD LDSについては、 objectguidを使用します。
    • DN Attribute(DN属性) — 選択したLDAP プロバイダーで定義され、自動入力された値。Distinguished Name(識別名)の値を含むすべてのLDAPオブジェクトの属性です。
  4. [User(ユーザー)]セクションで次の設定を行います。
    • User Search Base(ユーザー検索べース) — ユーザー検索のコンテナの識別名(DN)を入力します(ユーザー サブツリーののルート)。 これは、Okta組織にインポートされるすべてのユーザーを保持するコンテナのベースDNです。例:cn=Users, dc=example, dc=com
    • User Object Class(ユーザー オブジェクト クラス) — ユーザーをインポートする際にOktaが クエリ で使用するユーザーのobjectClassです。例: inetorgperson, posixaccount, posixuser
    • Auxiliary Object Class(AUXILIARYオブジェクト クラス) ― 任意。Oktaが クエリをインポートする際に使用する補助objectClassのリストをカンマ区切りで入力します。例:auxClass1,auxClass2
    • User Object Filter(ユーザーオブジェクト フィルター) — 選択したLDAP プロバイダーで定義され、自動入力された値。デフォルトはobjectClass (objectClass=<入力されたobjectClass名>)です。これは有効なLDAP フィルターでなければなりません。

      標準LDAP検索フィルターの表記法(RFC 2254)を使用します。以下に例を挙げます。

      (&(givenName=Bab*)(|(sn=Jensen)(cn=Babs J*)))

      同じフィルター機能がグループ オブジェクトにも適用されます。

    • Account Disabled Attribute(アカウント無効化属性) — Oktaでユーザー アカウントが無効化されるかどうかを示す属性を入力します。この属性が [Account Disabled Value(アカウント無効化値)]フィールドで指定した値と一致する場合、 そのユーザーアカウントは非アクティブ化されます。
    • Account Disabled Value(アカウント無効化値) — アカウントがロックされていると示す値(TRUEなど)を入力します。
    • Password Attribute(パスワード属性) — ユーザー パスワード属性を入力します。
    • Password Expiration Attribute(パスワード期限切れ属性) — サポート対象のLDAP プロバイダーが選択されたときに自動入力される値。ディレクトリ プロバイダーがリストにない場合、LDAPサーバーのドキュメントまたは構成を参照してそのパスワード有効期限値を使用します。多くの場合、この属性はブール値です。
    • Extra User Attributes(追加のユーザー属性) — 任意。LDAPからインポートする追加のユーザー属性を入力します。
  1. [Group(グループ)]または[Role(ロール)]セクションに入力します。通常、以下のうち1つのみ使用されます。
  1. Validation configuration(構成の検証)セクションで以下の設定を構成します
    1. ユーザー名の例

      LDAPからユーザーをインポートすると、これらの設定を使用してOktaにサインインする際にユーザーが使用するOktaユーザー名が生成されます。

      注: Oktaは有効なユーザー名としてメールアドレス形式を必要とします。これらのオプションを正しく構成してユーザー名がこの要件を満たすようにします。

    1. ユーザー名を入力します。

      ユーザーのユーザー名を、指定された ユーザー名形式で入力します。入力するユーザー名はLDAPディレクトリで一意の単一ユーザーとして識別されるため、Oktaが実行するクエリは指定された ユーザーと、そのユーザーに関する以下の情報を取得します。返された情報をがすべて正しいか確認します。

      • Status (ステータス)
      • UID
      • Unique ID(一意のID)
      • Distinguished Name(識別名)
      • Full Name (フルネーム)
      • Email(Eメール)
      • Groups(グループ) – このユーザーがメンバーとなっているグループ検索ベース内で指定されたグループ オブジェクト クラスのすべてのグループ。予想した グループがここでリストに含まれていない場合、 後ほどグループのインポートは失敗します。
    1. [Test Configuration(構成をテスト)]をクリックします。

      構成の 設定が有効の場合、[Validation successful!(検証は成功しました)] というメッセージが返されたユーザー オブジェクトの情報と共に表示されます。構成に問題がある場合、またはユーザーが見つからない場合、設定を再確認するよう求めるプロンプト が表示されます。

  1. 設定値の検証が問題なく終わったら、[Next(次へ)]および[Done(完了)]をクリックしてLDAP構成を完了します。

設定値を検証した後、OktaはLDAPスキーマ検出プロセスを開始します。