LDAP統合設定の構成

Okta LDAP Agentをインストールしたら、Oktaとデータを交換できるように統合設定を構成する必要があります。

1. Okta Admin Consoleで、［Directory（ディレクトリ）］>［Directory Integrations（ディレクトリ統合）］の順に進みます。
2. ［Not yet configured（未構成）］とマークされたOkta LDAP Agentをクリックします。
3. 次の設定を構成します。
   • ［LDAP Version（LDAPのバージョン）］： LDAPプロバイダーを選択します。「サポートされるLDAPディレクトリ」を参照してください。

   LDAPプロバイダーを選択すると、プロバイダー固有の構成値が自動的に追加されます。LDAPプロバイダーがリストにない場合は、構成フィールドに手動で入力してください。デフォルト値が正しいことを確認します。すべての構成設定に値を指定する必要はありません。

   • ［Unique Identifier Attribute（一意の識別子属性）］：選択したLDAPプロバイダーによって定義された、自動入力される値。この値で、インポートされたすべてのLDAPオブジェクト（ユーザーおよびグループ）の一意の不変的な属性を定義します。Okta orgにインポートできるのは、この属性を持つオブジェクトのみです。自動入力される値は初期設定時に変更できます。注：LDAPサーバーでRFC 4530を実装している場合、このフィールドにentryuuidと入力してください。AD LDSの場合は、objectguidを使用します。
   • ［DN Attribute（DN属性）］：選択したLDAPプロバイダーによって定義された、自動入力される値。識別名値を含む、すべてのLDAPオブジェクトの属性。
4. ［User（ユーザー）］セクションで、次の設定を構成します。
   • ［User Search Base（ユーザー検索ベース）］：ユーザー検索にコンテナーの識別名（DN、ユーザーサブツリーのルート）を入力します。これは、Okta orgにインポートされたすべてのユーザーを保持するコンテナのベースDNです。例：cn=Users、dc=example、dc=com。
   • ［User Object Class（ユーザーオブジェクトクラス）］：Oktaがユーザーのインポート時にクエリで使用する、ユーザーのobjectClass。例：inetorgperson、posixaccount、posixuser。
   • ［Auxiliary Object Class（補助オブジェクトクラス）］：任意。Oktaインポートクエリで使用する補助objectClassのコンマ区切りリストを入力します。例：auxClass1, auxClass2。
   • ［User Object Filter（ユーザーオブジェクトフィルター）］：選択したLDAPプロバイダーによって定義された、自動入力される値。デフォルトはobjectClass（objectClass=<entered objectClass name>）です。これは有効なLDAPフィルターである必要があります。

     標準的なLDAP検索フィルター表記（RFC 2254）を使用します。例：

     (&(givenName=Bab*)(|(sn=Jensen)(cn=Babs J*)))

     グループオブジェクトにも同じフィルター機能があります。

   • ［Account Disabled Attribute（アカウントで無効になっている属性）］：Oktaのユーザーのアカウントが無効かどうかを示す属性を入力します。この属性が［Account Disabled Value（アカウントで無効になっている値）］フィールドで指定された値と等しい場合は、ユーザーアカウントが非アクティブ化されます。
   • ［Account Disabled Value（アカウントで無効になっている値）］：アカウントがロックされていることを示す値を入力します（例：TRUE）。
   • ［Password Attribute（パスワード属性）］：ユーザーのパスワード属性を入力します。
   • ［Password Expiration Attribute（パスワード有効期限切れ属性）］：サポートされるLDAPプロバイダーが選択されたときに自動入力される値。ディレクトリプロバイダーがリストにない場合は、LDAPサーバーのドキュメントまたは構成を参照し、パスワードの有効期限に使用する値を確認してください。ほとんどの場合、この属性はブール値です。
   • ［Extra User Attributes（追加のユーザー属性）］：任意。LDAPからインポートする追加のユーザー属性を入力します。

5. ［Group（グループ）］または［Role（ロール）］セクションに入力します。通常、これらの1つのみが使用されます。
   グループ

   • ［Group Search Base（グループ検索ベース）］：Okta orgにインポートされるすべてのグループを保持するグループ検索（グループサブツリーのルート）について、コンテナのDNを入力します。例：ou=groups、dc=example, dc=com。
   • ［Group Object Class（グループオブジェクトクラス）］：グループのインポート時にOktaがクエリで使用するグループのobjectClassを入力します。例：groupofnames、groupofuniquenames、posixgroup。
   • ［Group Object Filter（グループオブジェクトフィルター）］：サポートされるLDAPプロバイダーが選択されている場合に自動入力される値。（objectClass=<entered objectClass name>）。
   • ［Member Attribute（メンバー属性）］：すべてのメンバーDNを含む属性。
   • ［User Attribute（ユーザー属性）］：Oktaはグループオブジェクトのメンバー属性を使用して、実行時にユーザーのグループメンバーシップを決定します。グループオブジェクトとグループフィルターが明示的にposixGroupおよび（objectclass=posixGroup）でない限り、［user attribute（ユーザー属性）］フィールドは空のままにします。posixGroupを使用している場合は、メンバー属性値をmemberUIDに構成し、ユーザー属性値をuidに構成することをお勧めします。

     例1

     指定したグループオブジェクトとグループフィルターがposixGroupの場合、

     ［User Attribute（ユーザー属性）］フィールドにmemberUidと入力します。

     例2

     指定したグループオブジェクトおよびグループフィルターがposixGroup以外の場合、

     ［User Attribute（ユーザー属性）］フィールドは空白のままにします。

   ロール

   • ［Object Class（オブジェクトクラス）］：ロールのobjectClass。
   • ［Membership Attribute（メンバーシップ属性）］：ロールのメンバーシップを示す（ロールDNを含む）ユーザーオブジェクトの属性。

6. ［Validation configuration（検証構成）］セクションで以下の設定を構成します。
   1. ユーザー名の例。

      LDAPからユーザーをインポートする場合は、これらの設定を使用して、ユーザーがOktaへのサインイン時に使用するOktaユーザー名を生成します。

      注： Oktaでは、有効なユーザー名はメール形式である必要があります。これらのオプションを正しく構成し、ユーザー名がこの要件を満たしていることを確認してください。

      メールアドレス

      ユーザーのLDAPメールアドレスをOktaユーザー名にする場合は、このオプションを選択します。注：メールアドレスはLDAPで一意である必要があります。

      例：

      LDAPのメールアドレスがuser.name@example.comで、メールアドレス Oktaユーザー名の形式を選択した場合は、［Username（ユーザー名）］フィールドにuser.name@example.comを入力します。

      ［Employee Number（従業員番号）］（employeeNumber）

      ユーザーの従業員番号をOktaユーザー名として使用するには、このオプションを選択します。

      ［Common Name（共通名）］（CN）

      ユーザーの共通名をOktaユーザー名として使用するには、このオプションを選択します。

      ［User Id（ユーザーID）］（UID）

      このオプションは、LDAPディレクトリのUID値がすでにメールアドレス形式で指定されている場合にのみ選択してください。

      例：

      LDAPのUIDがすでにuser.name@example.comのようなメールアドレス形式になっており、ユーザーID（UID） Oktaユーザー名の形式を選択した場合は、［Username（ユーザー名）］フィールドにuser.name@example.comを入力します。

      ユーザーID（UID） + 設定可能なサフィックス

      このオプションを選択するのは、LDAPのUID値にメールのサフィックスがなく、エンドユーザーを設定可能なメールのサフィックスを使用してサインインさせたい場合のみです。

      例：

      LDAPのUIDがuser.1234で、ユーザーID（UID）+構成可能なサフィックス Okta形式のユーザー名を選択した場合は、［Configurable Suffix（構成可能なサフィックス）］に「yourconfigurablesuffix.com」、［Username（ユーザー名）］フィールドに「user.1234@yourconfigurablesuffix.com」と入力します。

      ユーザーID（UID）@ドメイン

      このオプションを選択するのは、LDAPのUID値にメールのサフィックスがなく、Oktaユーザー名に会社のドメイン名をメールのサフィックスとして含めたい場合のみです。

      例：

      LDAPのUIDがuser.1234で、所属企業のドメイン名がyourdomainnameで、ユーザーID（UID）@ドメイン Okta形式のユーザー名を選択した場合、［Username（ユーザー名）］フィールドに「user.1234@yourdomainname.com」と入力します。

   ［Choose from schema（スキーマから選択）］

   単一値のLDAP文字列属性をOktaユーザー名として使用するには、このオプションを選択します。このオプションを選択すると、使用可能な属性のリストが表示されます。

   2. ［Username（ユーザー名）］に入力します。

      ユーザーのユーザー名を、指定したユーザー名の形式で入力します。入力するユーザー名はLDAPディレクトリ内の単一ユーザーを一意に識別するため、Oktaが実行するクエリでは指定されたユーザーと、ユーザーに関する以下の詳細のみを取得します。返されたすべての詳細が正しいことを検証します。

      • ステータス
      • UID
      • 一意のID
      • 識別名
      • フルネーム
      • メール
      • グループ：このユーザーがメンバーであるグループ検索ベース内で指定されたグループオブジェクトクラスのすべてのグループ。予期されたグループがここにリストされていない場合、グループのインポートが後で失敗する可能性があります。
   3. ［Test Configuration（構成をテスト）］をクリックします。

      構成の設定が有効な場合は、返されたユーザーオブジェクトに関する情報とともに、［Validation successful!（検証に成功しました）］というメッセージが表示されます。構成に問題がある場合、またはユーザーが見つからない場合は、設定を確認するよう求めるメッセージが表示されます。

7. 設定の確認が正常に完了したら、［Next（次へ）］、［Done（完了）］の順にクリックし、LDAPの構成を完了します。

設定を検証した後で、OktaはLDAPスキーマ検出プロセスを開始します。