LDAP統合設定の構成
Okta LDAP エージェントをインストールした後、Oktaとデータ交換ができるよう統合の設定を構成する必要があります。
- 管理コンソールで、[ディレクトリー] > に移動します [ Directory Integrations(ディレクトリ統合)]に進みます。
- [Not yet configured(未構成)]にマークされているOkta LDAP エージェントをクリックします。
- 次の設定を行います。
- LDAP Version(LDAPバージョン) — LDAPプロバイダーを選択します。「サポートされるLDAPディレクトリ サービスの構成」を参照してください。
LDAP プロバイダーを選択すると、プロバイダー固有の構成値が自動的に追加されます。リストにLDAPプロバイダーがない場合、構成フィールドに手動で入力します。デフォルト値が正しいか確認します。すべての構成設定に値を入力する必要があるわけではありません。
- Unique Identifier Attribute(一意の識別子の属性) — 選択したLDAP プロバイダーで定義され、自動入力された値。この値は インポートされたすべてのLDAPオブジェクト(ユーザーおよびグループ)の 一意の不変的な属性を定義します。この属性を持つオブジェクトのみがOkra組織にインポートされます。初期セットアップ中に、自動入力された値を変更することもできます。注:LDAPサーバーがRFC 4530を実装している場合、このフィールドに entryuuid と入力します。 AD LDSについては、 objectguidを使用します。
- DN Attribute(DN属性) — 選択したLDAP プロバイダーで定義され、自動入力された値。Distinguished Name(識別名)の値を含むすべてのLDAPオブジェクトの属性です。
- [User(ユーザー)]セクションで次の設定を行います。
- User Search Base(ユーザー検索べース) — ユーザー検索のコンテナの識別名(DN)を入力します(ユーザー サブツリーののルート)。 これは、Okta組織にインポートされるすべてのユーザーを保持するコンテナのベースDNです。例:cn=Users, dc=example, dc=com。
- User Object Class(ユーザー オブジェクト クラス) — ユーザーをインポートする際にOktaが クエリ で使用するユーザーのobjectClassです。例: inetorgperson, posixaccount, posixuser。
- Auxiliary Object Class(AUXILIARYオブジェクト クラス) ― 任意。Oktaが クエリをインポートする際に使用する補助objectClassのリストをカンマ区切りで入力します。例:auxClass1,auxClass2。
- User Object Filter(ユーザーオブジェクト フィルター) — 選択したLDAP プロバイダーで定義され、自動入力された値。デフォルトはobjectClass (objectClass=<入力されたobjectClass名>)です。これは有効なLDAP フィルターでなければなりません。
標準LDAP検索フィルターの表記法(RFC 2254)を使用します。以下に例を挙げます。
(&(givenName=Bab*)(|(sn=Jensen)(cn=Babs J*)))
同じフィルター機能がグループ オブジェクトにも適用されます。
- Account Disabled Attribute(アカウント無効化属性) — Oktaでユーザー アカウントが無効化されるかどうかを示す属性を入力します。この属性が [Account Disabled Value(アカウント無効化値)]フィールドで指定した値と一致する場合、 そのユーザーアカウントは非アクティブ化されます。
- Account Disabled Value(アカウント無効化値) — アカウントがロックされていると示す値(TRUEなど)を入力します。
- Password Attribute(パスワード属性) — ユーザー パスワード属性を入力します。
- Password Expiration Attribute(パスワード期限切れ属性) — サポート対象のLDAP プロバイダーが選択されたときに自動入力される値。ディレクトリ プロバイダーがリストにない場合、LDAPサーバーのドキュメントまたは構成を参照してそのパスワード有効期限値を使用します。多くの場合、この属性はブール値です。
- Extra User Attributes(追加のユーザー属性) — 任意。LDAPからインポートする追加のユーザー属性を入力します。
- [Group(グループ)]または[Role(ロール)]セクションに入力します。通常、以下のうち1つのみ使用されます。
グループ
- Group Search Base(グループ検索ベース) — グループ検索でOkta組織にインポートされるすべてのグループを保持するコンテナのDNを入力します(グループ サブツリーのルート)。例:ou=groups, dc=example, dc=com。
- Group Object Class(グループ オブジェクト クラス) — Oktaがグループをインポートする際に クエリ で使用するグループのobjectClassを入力します。例: groupofnames, groupofuniquenames, posixgroup。
- Group Object Filter(グループ オブジェクト フィルター) – サポート対象のLDAP プロバイダーが選択された時に自動入力される値です。 (objectClass=<入力されたobjectClass名>)。
- Member Attribute(メンバー属性) — すべてのメンバーDNを含む属性。
- User Attribute(ユーザー属性) — Oktaはグループ オブジェクトのメンバー属性を使用してランタイム時にユーザー グループのメンバーシップを判断します。グループ オブジェクトがposixGroup、グループ フィルターが(objectclass=posixGroup)と明示されていない限り、ユーザー属性フィールドは空白にしておきます。posixGroupを使用する場合、メンバー属性値をmemberUIDに、ユーザー属性値をuidに設定することを推奨します。
例1
指定したグループ オブジェクトとグループ フィルターが posixGroup… の場合、
[User Attribute(ユーザー属性)] フィールドに memberUid と入力します。
例2
指定したグループ オブジェクトとグループ フィルターがposixGroup…以外の場合、
[User Attribute(ユーザー属性)] フィールドは空白のままにします。
ロール
- Object Class(オブジェクト クラス) – ロールのobjectClass
- Membership Attribute(メンバーシップ属性) – ロール メンバーシップ(つまり、ロールDNを含む)を示すユーザー オブジェクトの属性。
- Validation configuration(構成の検証)セクションで以下の設定を構成します
- ユーザー名の例
LDAPからユーザーをインポートすると、これらの設定を使用してOktaにサインインする際にユーザーが使用するOktaユーザー名が生成されます。
注: Oktaは有効なユーザー名としてメールアドレス形式を必要とします。これらのオプションを正しく構成してユーザー名がこの要件を満たすようにします。
メールアドレス
ユーザーの LDAP メールアドレスをOktaユーザー名にしたい場合にこのオプションを選択します。 注:メールアドレスはLDAPで一意にする必要があります。
以下に例を挙げます。
LDAPでのメールアドレスがuser.1234@example.comで、
Oktaユーザー名の形式にメールアドレス を選択した場合、
[Username(ユーザー名)]フィールドにuser.1234@example.com と入力します。
ユーザーID (UID)
LDAPディレクトリ で UID値が既にメールアドレスの形式になっている場合に 限り、このオプションを選択します。
以下に例を挙げます。
LDAPで、 UIDが user.1234@example.comのようにメールアドレスの形式になっており、
Oktaユーザー名の形式に[ユーザーID (UID) ]を選択した場合、
[Username(ユーザー名)]フィールドにuser.1234@example.com と入力します。
ユーザーID(UID)+設定可能なサフィックス
LDAPのUID値にメールサフィックスが欠けており、エンドユーザーがこの設定可能なメールサフィックスを使用してサインインする場合に限り、このオプションを選択します。
以下に例を挙げます。
LDAPのUIDが user.1234で、
Oktaユーザー名の形式にユーザーID (UID) + 設定可能なサフィックス を選択した場合、
[Configurable Suffix(設定可能なサフィックス)] フィールドにyourconfigurablesuffix.com と入力します。
[Username(ユーザー名)]フィールドにuser.1234@example.com と入力します。
ユーザーID(UID)@ドメイン
LDAPのUID値にメールサフィックスが欠けており、 Okta ユーザー名にメールサフィックスとして 組織のドメイン名を含めたい場合に限りこのオプションを選択します。
以下に例を挙げます。
LDAPのUIDが user.1234で、
組織のドメイン名がyourdomainnameであり、
Okta ユーザー名の形式としてユーザーID (UID) @ドメイン を選択した場合、
[Username(ユーザー名)]フィールドにuser.1234@yourdomainname.com と入力します。
- ユーザー名を入力します。
ユーザーのユーザー名を、指定された ユーザー名形式で入力します。入力するユーザー名はLDAPディレクトリで一意の単一ユーザーとして識別されるため、Oktaが実行するクエリは指定された ユーザーと、そのユーザーに関する以下の情報を取得します。返された情報をがすべて正しいか確認します。
- Status (ステータス)
- UID
- Unique ID(一意のID)
- Distinguished Name(識別名)
- Full Name (フルネーム)
- Email(Eメール)
- Groups(グループ) – このユーザーがメンバーとなっているグループ検索ベース内で指定されたグループ オブジェクト クラスのすべてのグループ。予想した グループがここでリストに含まれていない場合、 後ほどグループのインポートは失敗します。
- ユーザー名の例
- 設定値の検証が問題なく終わったら、[Next(次へ)]および[Done(完了)]をクリックしてLDAP構成を完了します。
設定値を検証した後、OktaはLDAPスキーマ検出プロセスを開始します。