LDAPをOktaプロビジョニング設定に構成する

Okta LDAP Agentをインストールして構成したら、orgのニーズの変化に応じ次の手順を使用してLDAPをOktaプロビジョニング設定に更新できます。LDAPからOktaプロビジョニング設定への更新では、LDAPユーザーデータをOktaと共有および管理する方法を定義します。

  1. Admin Consoleディレクトリ(Directory) > ディレクトリ統合(Directory Integrations)の順に進みます。
  2. ディレクトリのリストからLDAPエージェントを選択します。
  3. プロビジョニング(Provisioning)タブをクリックし、設定(Settings)リストでへ(To )Okta を選択します。
  4. 編集(Edit)をクリックし、以下の設定を行います。
    • インポートのスケジュールを設定(Schedule import):ユーザーをLDAPからOktaへインポートする頻度を選択します。
    • Oktaユーザー名の形式( username format):ユーザー名の形式を指定します。LDAPからユーザーをインポートする場合は、Oktaでこの属性を使用してOktaユーザー名を生成します。LDAPのセットアップ中に設定のインポート(Import Settings)にアクセスすると、ユーザー名の形式は構成のテスト時に選択したオプションと一致するため、変更する必要はありません。後でこのページにアクセスし、必要に応じて別のオプションを選択することもできます。ユーザー名はメール形式にする必要があるため、選択したオプションがご使用の環境に適していることを確認してください。

    カスタム式を使用してインポートされたユーザーのユーザー名を作成できますが、ジャストインタイム(JIT)プロビジョニングの実行中にLDAPでアカウントを検索するために使用される検索クエリが決定される場合、カスタム式は考慮されません。Oktaユーザー名の形式]フィールドをカスタム(Custom)に設定し、JITプロビジョニングを有効にしてもLDAPユーザーアカウントが存在しない場合、LDAPディレクトリでは、Oktaへのサインインに使用するユーザー名に一致する一意の識別子(uid)またはメール(mail)属性が検索されます。

    • アプリケーションユーザー名の更新(Update application user name on):この設定は変更できません。
    • アクティベーションメール(Activation emails):新規ユーザーのアクティベーションメールを送信しない場合に選択します。
    • 増分インポート(Incremental import):最後のインポート後に作成また更新されたユーザーのみインポートする場合に選択します。一致ルールでは、これらのユーザーのみが評価されます。これは、スケジュールされたインポートで実行されるインポートの種類です。
    • 最大クロックスキュー(Maximum clock skew):増分インポートは、modifyTimestamp属性に依存してLDAPエントリがインポートされているかどうかを判断します。ただし、一部のオンプレミスLDAPサーバーのシステムクロックが逆戻りして、一部の更新が失われる可能性があります。更新を見逃さないようにするには、クロック誤差をサーバーのクロックドリフトが可能な限り最大となる値に設定します。増分インポートのパフォーマンスを改善するには、LDAPサーバーでmodifyTimestamp属性のインデックスを作成する必要があります。
  5. 保存(Save)をクリックします。
  6. ユーザーの作成と照合(User Creation & Matching)設定を定義するには、編集(Edit)をクリックして以下の設定を完了します。

    • インポートされたユーザーは、次の場合にOktaユーザーに完全一致します(Imported user is an exact match to user if:):インポートを許可するすべてのアプリおよびディレクトリからのユーザーのインポートで、一致ルールが使用されます。一致基準を確立することで、インポートしたユーザーを新規ユーザーとして定義する方法や、既存のOktaユーザーにマッピングする方法を指定できます。

      インポートしたユーザーが既存のOktaユーザーと完全に一致するかどうかを定める一致基準を選択します。オプションのリストから任意の組み合わせを選択して、基準を作成します。新しくインポートされたユーザーが完全一致と見なされるには、選択する各オプションがtrueである必要があります。3番目のオプションを選択した場合、1番目と2番目の選択肢は無効になります。

    • 部分一致を許容(Allow partial matches):インポートされたユーザーの姓名が既存のOktaユーザーの姓名と一致するが、ユーザーのユーザー名またはメールアドレスが一致しない場合、部分一致が発生します。

    • 一致したユーザーを確認(Confirm matched users):既存のユーザーの確認またはアクティブ化を自動化する場合に選択します。オフの場合は、一致を手動で確認する必要があります。

    • 新しいユーザーを確認(Confirm new users):選択すると、新しくインポートされたユーザーの確認またはアクティブ化が自動化されます。このオプションを選択した場合、インポートの確認時にオフにすることができます。この機能はOktaにすでに存在するユーザーには適用されないことに注意してください。

      デプロビジョニングの詳細については、「プロビジョニング」を参照してください。

  7. 保存(Save)をクリックします。
  8. プロファイルとライフサイクルのソーシング(Profile & Lifecycle Sourcing)設定を定義するには、編集(Edit)をクリックして次の設定を完了します。
    • LDAPによるOktaユーザーのソースを許可(Allow LDAP to source users):このオプションはデフォルトで有効になっています。プロファイルソーシングにより、LDAPは接続されたユーザーのID機関となります。有効にしている場合、Oktaでユーザープロファイルを編集できず、プロビジョニングイベント中に変更がOktaに同期されます。このオプションを無効にしてLDAPを通常のアプリケーションとして扱うことができます。この機能を無効にしても、LDAPで実行するユーザーの更新はOktaのユーザーにプッシュバックされません。たとえば、LDAPでユーザー名を変更しても、Oktaユーザーには影響しません。プロファイルソースとしてLDAPを無効にした場合、ユーザーの資格情報は引き続きLDAPによって管理されるため、OktaでユーザーのLDAPパスワードをリセットすることはできません。ただし、委任認証を無効にし(「委任認証」を参照)、パスワード同期(Sync Password)オプションを有効にして、パスワードをLDAPにプッシュできます。つまり、ユーザーには委任されたOktaパスワードがありますが、それ以降のパスワードの更新はすべてLDAPにプッシュされます。
    • ユーザーがアプリで非アクティブ化されている場合(When a user is deactivated in the app):ユーザーのアカウントがOktaで非アクティブ化された場合に、Oktaで実行する必要のあるアクションを指定します。
      • 何もしない(Do nothing):いずれのアクションも実行しません。
      • 非アクティブ化(Deactivate):ユーザーがOktaで割り当て解除された場合、またはOktaのアカウントが非アクティブ化された場合に、ユーザーのLDAPアカウントを非アクティブ化します。Oktaでアプリがユーザーに再割り当てされたときに、アカウントを再アクティブ化できます。
      • 一時停止(Suspend):ユーザーがOktaで割り当て解除された場合、またはOktaのアカウントが非アクティブ化された場合に、ユーザーのLDAPアカウントを一時停止します。Oktaでアプリがユーザーに再割り当てされたときに、アカウントを再アクティブ化できます。
    • ユーザーがアプリで再アクティブ化されている場合(When a user is reactivated in the app):ユーザーのアカウントがOktaで再アクティブ化されている場合は、Oktaで実行する必要のあるアクションを指定します。
      • 一時停止されたOktaユーザーを再度有効にする(Reactivate suspended users):LDAPで再度有効化される場合に、一時停止されたOktaユーザーを再度有効にします。
      • 非有効化されたOktaユーザーを再度有効にする(Reactivate deactivated users):LDAPで再度有効にされる場合に、非有効化されたOktaユーザーを再度有効にします。
  9. 保存(Save)をクリックします。
  10. 任意。インポートセーフガード(Import Safeguard)設定を定義するには、編集(Edit)をクリックして以下を完了します。
    • アプリの割り当て解除のセーフガード(App unassignment safeguard)有効(Enabled)を選択してインポートセーフガードを有効にするか、無効(Disabled)を選択してインポートセーフガードを無効にします。
    • 任意のアプリから未割り当てのしきい値にする(is the threshold for unassignments from any app):使用可能なアプリや未割り当てorgの割合を入力するか、デフォルトに設定(Set to default)を選択して割合をデフォルト値に設定します。

    • org全体の割り当て解除のセーフガード(Org-wide unassignment safeguard)有効(Enabled)を選択してorg全体のインポートセーフガードを有効にするか、無効(Disabled)を選択してorg全体のインポートセーフガードを無効にします。

    • orgで未割り当てのしきい値にする(is the threshold for unassignments across the org):orgに対して使用可能なアプリや未割り当てorgの割合を入力するか、デフォルトに設定(Set to default)を選択してorgの割合をデフォルト値に設定します。

  11. 保存(Save)をクリックします。

関連項目

インポートセーフガードについて