LDAP統合設定を構成する
Okta LDAP Agentをインストールしたら、Oktaとデータを交換できるように統合設定を構成する必要があります。
-
Admin Consoleでの順に進みます。
- 未構成(Not yet configured)とマークされたOkta LDAP Agentをクリックします。
- 次の設定を構成します。 LDAPのバージョン(LDAP Version): LDAPプロバイダーを選択します。「サポートされるLDAPディレクトリ」を参照してください。
LDAPプロバイダーを選択すると、プロバイダー固有の構成値が自動的に追加されます。LDAPプロバイダーがリストにない場合は、プロバイダーのドキュメントから得た情報を使って、構成フィールドを手動で完了させます。デフォルト値が正しいことを確認します。すべての構成設定に値を指定する必要はありません。
注:LDAPプロバイダーを選択し、統合を構成し、orgで統合を使用する場合、この統合のプロバイダーを変更することはできません。別の統合を作成し、異なるLDAPプロバイダーで構成する必要があります。
- 一意の識別子の属性(Unique Identifier Attribute):選択したLDAPプロバイダーによって定義された、自動入力される値。この値で、インポートされたすべてのLDAPオブジェクト(ユーザーおよびグループ)の一意の不変的な属性を定義します。Okta orgにインポートできるのは、この属性を持つオブジェクトのみです。自動入力される値は初期設定時に変更できます。注:LDAPサーバーでRFC 4530を実装している場合、このフィールドに
entryuuidと入力してください。AD LDSの場合は、objectguidを使用します。 - DN属性(DN Attribute):選択したLDAPプロバイダーによって定義された、自動入力される値。識別名(Distinguished Name)値を含む、すべてのLDAPオブジェクトの属性。
- 一意の識別子の属性(Unique Identifier Attribute):選択したLDAPプロバイダーによって定義された、自動入力される値。この値で、インポートされたすべてのLDAPオブジェクト(ユーザーおよびグループ)の一意の不変的な属性を定義します。Okta orgにインポートできるのは、この属性を持つオブジェクトのみです。自動入力される値は初期設定時に変更できます。注:LDAPサーバーでRFC 4530を実装している場合、このフィールドに
- ユーザー(User)セクションで、次の設定を構成します。
- ユーザー検索ベース(User Search Base):ユーザー検索にコンテナの識別名(DN、ユーザーサブツリーのルート)を入力します。これは、Okta orgにインポートされたすべてのユーザーを保持するコンテナのベースDNです。例:
cn=Users, dc=example, dc=com。 - ユーザーオブジェクトクラス(User Object Class):Oktaがユーザーのインポート時にクエリで使用する、ユーザーのobjectClass。例:
inetorgperson, posixaccount, posixuser。 - 補助オブジェクトクラス(Auxiliary Object Class):任意。Oktaインポートクエリで使用する補助objectClassのコンマ区切りリストを入力します。例:
auxClass1,auxClass2。 - ユーザーオブジェクトフィルター(User Object Filter):選択したLDAPプロバイダーによって定義された、自動入力される値。デフォルトは
objectClass(objectClass=<entered objectClass name>)です。これは有効なLDAPフィルターである必要があります。標準的なLDAP検索フィルター表記(RFC 2254)を使用する必要があります。例:
(&(givenName=Bab*)(|(sn=Jensen)(cn=Babs J*)))グループオブジェクトにも同じフィルター機能があります。
- アカウントで無効になっている属性(Account Disabled Attribute):Oktaのユーザーのアカウントが無効かどうかを示す属性を入力します。この属性がアカウントで無効になっている値(Account Disabled Value)フィールドで指定された値と等しい場合は、ユーザーアカウントが非アクティブ化されます。
- アカウントで無効になっている値(Account Disabled Value):アカウントがロックされていることを示す値を入力します(例:[TRUE])。
- パスワード属性(Password Attribute):ユーザーのパスワード属性を入力します。
- パスワード有効期限切れ属性(Password Expiration Attribute):サポートされるLDAPプロバイダーが選択されたときに自動入力される値。ディレクトリプロバイダーがリストにない場合は、LDAPサーバーのドキュメントまたは構成を参照し、パスワードの有効期限に使用する値を確認してください。多くの場合、この属性はブール値です。
- 追加のユーザー属性(Extra User Attributes):任意。LDAPからインポートする追加のユーザー属性を入力します。
- ユーザー検索ベース(User Search Base):ユーザー検索にコンテナの識別名(DN、ユーザーサブツリーのルート)を入力します。これは、Okta orgにインポートされたすべてのユーザーを保持するコンテナのベースDNです。例:
- グループ(Group)またはロール(Role)セクションに入力します。通常、これらの1つのみが使用されます。
グループ(Group)
- グループ検索ベース(Group Search Base):Okta orgにインポートするグループを含むグループ検索(グループサブツリーのルート)について、コンテナのDNを入力します。例:
ou=groups, dc=example, dc=com。 - グループオブジェクトクラス(Group Object Class):グループのインポート時にOktaがクエリで使用するグループのobjectClassを入力します。(例:
groupofnames、groupofuniquenames、posixgroup)。 - グループオブジェクトフィルター(Group Object Filter):サポートされるLDAPプロバイダーが選択されている場合に自動入力される値。(
objectClass=<entered objectClass name>)。 - メンバー属性(Member Attribute):すべてのメンバーDNを含む属性。
- ユーザー属性(User Attribute):Oktaはグループオブジェクトのメンバー属性を使用して、実行時にユーザーのグループメンバーシップを決定します。グループオブジェクトとグループフィルターが明示的に
posixGroupおよび(objectclass=posixGroup)でない限り、このフィールドを空欄のままにします。posixGroupを使用している場合は、メンバー属性値をmemberUIDに構成し、ユーザー属性値をuidに構成することをお勧めします。以下の2つのシナリオを検討してください。- 指定したグループオブジェクトとグループフィルターがposixGroupの場合、ユーザー属性(User Attribute)フィールドにmemberUidを入力します。
- 指定したグループオブジェクトおよびグループフィルターが
posixGroup以外の場合、ユーザー属性(User Attribute)フィールドを空欄のままにします。
ロール
- オブジェクトクラス(Object Class):ロールのobjectClass。
- メンバーシップ属性(Membership Attribute):ロールのメンバーシップを示す(ロールDNを含む)ユーザーオブジェクトの属性。
- グループ検索ベース(Group Search Base):Okta orgにインポートするグループを含むグループ検索(グループサブツリーのルート)について、コンテナのDNを入力します。例:
- 検証構成セクションで以下の設定を構成します。
- ユーザー名の例(Example username)。
LDAPからユーザーをインポートする場合は、これらの設定を使用して、ユーザーがOktaへのサインイン時に使用するOktaユーザー名を生成します。
注:Oktaでは、ユーザー名はメール形式である必要があります。これらのオプションを正しく構成し、ユーザー名がこの要件を満たしていることを確認してください。
メールアドレスユーザーのLDAPメールアドレスをOktaユーザー名にする場合は、このオプションを選択します。メールアドレスはLDAPで一意である必要があります。
たとえば、LDAPのメールアドレスがuser.name@example.comで、メールアドレス(Email address) Oktaユーザー名の形式を選択した場合は、ユーザー名(Username)フィールドに
user.name@example.comを入力します。従業員番号([Employee Number)](employeeNumber)(Employee Number (employeeNumber))ユーザーの従業員番号をOktaユーザー名として使用するには、このオプションを選択します。
共通名([Common Name)](CN)(Common Name (CN))ユーザーの共通名をOktaユーザー名として使用するには、このオプションを選択します。
ユーザーID([User Id)](UID)(User Id (UID))このオプションは、LDAPディレクトリのUID値がすでにメールアドレス形式で指定されている場合にのみ選択してください。
たとえば、LDAPのUIDがすでにuser.name@example.comのようなメールアドレス形式になっており、ユーザーID(UID)(User Id(UID)) Oktaユーザー名の形式を選択した場合は、ユーザー名(Username)フィールドに
user.name@example.comを入力します。User Id (UID) + Configurable Suffix(ユーザーID(UID)+設定可能なサフィックス)このオプションを選択するのは、LDAPのUID値にメールのサフィックスがなく、エンドユーザーを設定可能なメールのサフィックスを使用してサインインさせたい場合のみです。
たとえば、LDAPのUIDがuser.1234で、[ユーザーID(UID)+ 構成可能なサフィックス(User Id (UID) + Configurable Suffix) Oktaユーザー名の形式を選択した場合は、構成可能なサフィックス(Configurable Suffix)に
yourconfigurablesuffix.com、ユーザー名(Username)フィールドにuser.1234@yourconfigurablesuffix.comと入力します。User Id (UID) @ Domain(ユーザーID(UID)@ドメイン)このオプションを選択するのは、LDAPのUID値にメールのサフィックスがなく、Oktaユーザー名に会社のドメイン名をメールのサフィックスとして含めたい場合のみです。
たとえば、LDAPのUIDがuser.1234で、会社のドメイン名がyourdomainnameで、ユーザーID(UID)@ドメイン(User Id (UID) @ Domain) Oktaユーザー名の形式を選択した場合、ユーザー名(Username)フィールドに
user.1234@yourdomainname.comと入力します。スキーマから選択(Choose from schema)単一値のLDAP文字列属性をOktaユーザー名として使用するには、このオプションを選択します。このオプションを選択すると、使用可能な属性のリストが表示されます。
- ユーザー名(Username)に入力します。
ユーザーのユーザー名を、指定したユーザー名の形式で入力します。入力するユーザー名はLDAPディレクトリ内の単一ユーザーを一意に識別するため、Oktaが実行するクエリではその指定されたユーザーに関する以下の詳細が取得されます。返された詳細が正しいことを検証します。
- ステータス
- UID
- 一意のID(Unique ID)
- 識別名(Distinguished Name)
- フルネーム(Full Name)
- メール(Email)
- グループ(Groups):このユーザーがメンバーであるグループ検索ベース(Group Search Base)(Group Object Class)内で指定されたグループオブジェクトクラス(Group Object Class)(Group Search Base)のすべてのグループ。予期されたグループがここにリストされていない場合、グループのインポートが後で失敗する可能性があります。
- 構成をテスト([Test Configuration)]をクリックします。
構成の設定が有効な場合は、返されたユーザーオブジェクトに関する情報とともに、検証に成功しました(Validation successful!)というメッセージが表示されます。構成に問題がある場合、またはユーザーが見つからない場合は、設定を確認するよう求めるメッセージが表示されます。
- ユーザー名の例(Example username)。
- 設定の確認が正常に完了したら、次へ(Next)、完了(Done)の順にクリックし、LDAPの構成を完了します。
設定を検証した後で、OktaはLDAPスキーマ検出プロセスを開始します。
関連項目