LDAP統合設定を変更する
orgのニーズの変化に応じて、既存の統合設定を更新します。
- Admin Consoleでの順に進みます。
- ディレクトリのリストからLDAPエージェントを選択します。
- プロビジョニング(Provisioning)タブをクリックし、設定(Settings)(Integration)リストで統合(Provisioning)(Settings)を選択します。
- バージョン(Version)リストで、ディレクトリベンダーを選択します。ベンダー固有の構成テンプレートが提供され、構成設定が事前に入力されます。LDAP環境はそれぞれ一意であるため、デフォルト値を確認する必要があります。すべての構成設定に値を指定する必要はありません。サポートされるLDAPディレクトリサービスを構成するを参照してください。
LDAPベンダーがリストにない場合は、構成フィールドに手動で入力してください。
- 構成(Configuration)セクションで次の入力を行います。
- 一意の識別子の属性(Unique Identifier Attribute):インポートされるすべてのLDAPオブジェクト(ユーザーおよびグループ)の、一意の不変的な属性を入力します。Okta orgにインポートできるのは、この属性を持つオブジェクトのみです。自動入力される値は初期設定時に変更できます。LDAPサーバーでRFC 4530を実装している場合、このフィールドに
entryuuidと入力してください。AD LDSの場合は、objectguidを使用します。 - DN属性(DN Attribute):識別名(Distinguished Name)値を含む、すべてのLDAPオブジェクトの属性を入力します。
- 一意の識別子の属性(Unique Identifier Attribute):インポートされるすべてのLDAPオブジェクト(ユーザーおよびグループ)の、一意の不変的な属性を入力します。Okta orgにインポートできるのは、この属性を持つオブジェクトのみです。自動入力される値は初期設定時に変更できます。LDAPサーバーでRFC 4530を実装している場合、このフィールドに
- ユーザー(User)セクションで次の入力を行います。
- ユーザー検索ベース(User Search Base):ユーザー検索にコンテナのDN(ユーザーサブツリーのルート)を入力します。これは、Okta orgにインポートされたすべてのユーザーを保持するコンテナのベースDNです。例:cn=Users、dc=example、dc=com。
- ユーザーオブジェクトクラス(User Object Class):Oktaがユーザーのインポート時にクエリで使用する、ユーザーのobjectClassを入力します。例:
inetorgperson, posixaccount, posixuser。 - 補助オブジェクトクラス(Auxiliary Object Class):補助objectClassesのコンマ区切りリストを入力します。Oktaでは、ユーザーをインポートする際に、クエリでこれらを使用します。例:
auxClass1,auxClass2。 - ユーザーオブジェクトフィルター(User Object Filter):このフィールドはOktaによって自動入力されます。値を変更する場合、有効なLDAPフィルターとする必要があります。
標準的なLDAP検索フィルター表記(RFC 2254)を使用します。例:
(&(givenName=Bab*)(|(sn=Jensen)(cn=Babs J*)))グループオブジェクトにも同じフィルター機能があります。
- アカウントで無効になっている属性(Account Disabled Attribute):Oktaのユーザーのアカウントが無効かどうかを示すユーザー属性を入力します。この属性がアカウントで無効になっている値(Account Disabled Value)フィールドで指定された値と等しい場合は、ユーザーアカウントが非アクティブ化されます。
- アカウントで無効になっている値(Account Disabled Value):アカウントがロックされていることを示す値を入力します(例:[TRUE])。
- アカウントで有効になっている値(Account Enabled Value):アカウントがロック解除されていることを示す値を入力します(例:TRUE)。
- パスワード属性(Password Attribute):ユーザーのパスワード属性を入力します。
- パスワード有効期限切れ属性(Password Expiration Attribute):パスワード有効期限の属性名を入力します。通常はブール値です。サポートされているリストにないLDAPディレクトリを選択した場合は、LDAPサーバーのドキュメントを参照してその値を使用してください。
- 追加のユーザー属性(Extra User Attributes)セクションで、LDAPからインポートする追加属性を最大4つ指定できます。
- グループ(Group)セクションで次のフィールドに入力します。
- グループ検索ベース(Group Search Base):Okta orgにインポートされるすべてのグループを保持するグループ検索(グループサブツリーのルート)について、コンテナのDNを入力します。例:
ou=groups, dc=example, dc=com。 - グループオブジェクトクラス(Group Object Class):グループのインポート時にOktaがクエリで使用するグループのobjectClassを入力します。例:
groupofnames、groupofuniquenames、posixgroup。 - グループオブジェクトフィルター(Group Object Filter):デフォルトでは、OktaでこのフィールドにグループのobjectClassが自動入力されます(objectClass=<entered objectClass name>)。
- メンバー属性(Member Attribute):すべてのメンバーDNを含む属性を入力します。
- ユーザー属性(User Attribute):Oktaはグループオブジェクトのメンバー属性を使用して、実行時にユーザーのグループメンバーシップを決定します。グループオブジェクトとグループフィルターが明示的にposixGroupおよび(objectclass=posixGroup)でない限り、ユーザー属性フィールドは空のままにします。posixGroupを使用する場合は、メンバー属性値を
memberUIDに構成し、ユーザー属性値をuidに構成してください。
- グループ検索ベース(Group Search Base):Okta orgにインポートされるすべてのグループを保持するグループ検索(グループサブツリーのルート)について、コンテナのDNを入力します。例:
- ロール(Role)セクションで次のフィールドに入力します。
- オブジェクトクラス(Object Class):ロールのobjectClass。
- メンバーシップ属性(Membership Attribute):ロールのメンバーシップを示す(ロールDNを含む)ユーザーオブジェクトの属性。
- 構成設定を検証します。
- ユーザー名の例(Username)フィールドにユーザー名(Username)(Example username)を入力します。
-
返されたすべてのユーザー詳細が正しいことを検証します。予期されたグループがここにリストされていない場合、グループのインポートが後で失敗する可能性があります。
- 構成をテスト([Test Configuration)]をクリックします。
構成の設定が有効な場合は、返されたユーザーオブジェクトに関する情報とともに、検証に成功しました(Validation successful!)というメッセージが表示されます。構成に問題がある場合、またはユーザーが見つからない場合は、設定を確認するよう求めるメッセージが表示されます。