LDAP統合設定の構成

Okta LDAP Agentをインストールしたら、Oktaとデータを交換できるように統合設定を構成する必要があります。

  1. Okta Admin Consoleで、[Directory(ディレクトリ)]>[Directory Integrations(ディレクトリ統合)]の順に進みます。
  2. [Not yet configured(未構成)]とマークされたOkta LDAP Agentをクリックします。
  3. 次の設定を構成します。

    LDAPプロバイダーを選択すると、プロバイダー固有の構成値が自動的に追加されます。LDAPプロバイダーがリストにない場合は、構成フィールドに手動で入力してください。デフォルト値が正しいことを確認します。すべての構成設定に値を指定する必要はありません。

    • [Unique Identifier Attribute(一意の識別子属性)]:選択したLDAPプロバイダーによって定義された、自動入力される値。この値で、インポートされたすべてのLDAPオブジェクト(ユーザーおよびグループ)の一意の不変的な属性を定義します。Okta orgにインポートできるのは、この属性を持つオブジェクトのみです。自動入力される値は初期設定時に変更できます。:LDAPサーバーでRFC 4530を実装している場合、このフィールドにentryuuidと入力してください。AD LDSの場合は、objectguidを使用します。
    • [DN Attribute(DN属性)]:選択したLDAPプロバイダーによって定義された、自動入力される値。識別名値を含む、すべてのLDAPオブジェクトの属性。
  4. [User(ユーザー)]セクションで、次の設定を構成します。
    • [User Search Base(ユーザー検索ベース)]:ユーザー検索にコンテナーの識別名(DN、ユーザーサブツリーのルート)を入力します。これは、Okta orgにインポートされたすべてのユーザーを保持するコンテナのベースDNです。例:cn=Users、dc=example、dc=com
    • [User Object Class(ユーザーオブジェクトクラス)]Oktaがユーザーのインポート時にクエリで使用する、ユーザーのobjectClass。例:inetorgperson、posixaccount、posixuser
    • [Auxiliary Object Class(補助オブジェクトクラス)]:任意。Oktaインポートクエリで使用する補助objectClassのコンマ区切りリストを入力します。例:auxClass1, auxClass2
    • [User Object Filter(ユーザーオブジェクトフィルター)]:選択したLDAPプロバイダーによって定義された、自動入力される値。デフォルトはobjectClassobjectClass=<entered objectClass name>)です。これは有効なLDAPフィルターである必要があります。

      標準的なLDAP検索フィルター表記(RFC 2254)を使用します。例:

      (&(givenName=Bab*)(|(sn=Jensen)(cn=Babs J*)))

      グループオブジェクトにも同じフィルター機能があります。

    • [Account Disabled Attribute(アカウントで無効になっている属性)]Oktaのユーザーのアカウントが無効かどうかを示す属性を入力します。この属性が[Account Disabled Value(アカウントで無効になっている値)]フィールドで指定された値と等しい場合は、ユーザーアカウントが非アクティブ化されます。
    • [Account Disabled Value(アカウントで無効になっている値)]:アカウントがロックされていることを示す値を入力します(例:TRUE)。
    • [Password Attribute(パスワード属性)]:ユーザーのパスワード属性を入力します。
    • [Password Expiration Attribute(パスワード有効期限切れ属性)]:サポートされるLDAPプロバイダーが選択されたときに自動入力される値。ディレクトリプロバイダーがリストにない場合は、LDAPサーバーのドキュメントまたは構成を参照し、パスワードの有効期限に使用する値を確認してください。ほとんどの場合、この属性はブール値です。
    • [Extra User Attributes(追加のユーザー属性)]:任意。LDAPからインポートする追加のユーザー属性を入力します。
  1. [Group(グループ)]または[Role(ロール)]セクションに入力します。通常、これらの1つのみが使用されます。
  1. [Validation configuration(検証構成)]セクションで以下の設定を構成します。
    1. ユーザー名の例

      LDAPからユーザーをインポートする場合は、これらの設定を使用して、ユーザーがOktaへのサインイン時に使用するOktaユーザー名を生成します。

      注: Oktaでは、有効なユーザー名はメール形式である必要があります。これらのオプションを正しく構成し、ユーザー名がこの要件を満たしていることを確認してください。

    1. [Username(ユーザー名)]に入力します。

      ユーザーのユーザー名を、指定したユーザー名の形式で入力します。入力するユーザー名はLDAPディレクトリ内の単一ユーザーを一意に識別するため、Oktaが実行するクエリでは指定されたユーザーと、ユーザーに関する以下の詳細のみを取得します。返されたすべての詳細が正しいことを検証します。

      • ステータス
      • UID
      • 一意のID
      • 識別名
      • フルネーム
      • メール
      • グループ:このユーザーがメンバーであるグループ検索ベース内で指定されたグループオブジェクトクラスのすべてのグループ。予期されたグループがここにリストされていない場合、グループのインポートが後で失敗する可能性があります。
    1. [Test Configuration(構成をテスト)]をクリックします。

      構成の設定が有効な場合は、返されたユーザーオブジェクトに関する情報とともに、[Validation successful!(検証に成功しました)]というメッセージが表示されます。構成に問題がある場合、またはユーザーが見つからない場合は、設定を確認するよう求めるメッセージが表示されます。

  1. 設定の確認が正常に完了したら、[Next(次へ)][Done(完了)]の順にクリックし、LDAPの構成を完了します。

設定を検証した後で、OktaはLDAPスキーマ検出プロセスを開始します。