Oracle Unified Directory LDAP統合リファレンス

このトピックでは、Oracle Unified Directory（OUD）のLDAP統合に固有のリファレンス情報を提供します。Okta LDAP Agentをインストールする際に、OUDディレクトリをOktaと統合するためにこの情報が必要になります。「をインストールするOkta LDAP Agent 」を参照してください。

推奨バージョン

Oracle Unified Directory 12.2.1.4.0

既知の問題

セルフサービスによるパスワードリセットを要求し、管理者がリセットした後でパスワードの変更が必要なユーザーは、Okta End-User Dashboardにアクセスするために新しいパスワードを2回入力しなければなりません。
プロビジョニング設定が何もしない（Do nothing）である場合は、ユーザーが非アクティブ化されても、Oktaではアクティブなままになります。単一のソースがユーザープロファイル属性を提供する場合、非アクティブ化されたユーザーはソースから切断され、Oktaがユーザープロファイル属性のソースになります。

統合の構成

「をインストールするOkta LDAP Agent 」に記載されているエージェントの初期インストールおよび構成時のOUDの属性は次のとおりです。

LDAPバージョン（LDAP version）：OUD。OUDオプションは、Oktaサポートがアクティブ化しない限り使用できません。
一意の識別子属性（Unique Identifier Attribute）：entryuuid
DN属性（DN Attribute）：entrydn
ユーザーオブジェクトクラス（User Object Class）：inetorgpersonj
ユーザーオブジェクトフィルター（User Object Filter）：(objectclass=inetorgperson)
*アカウントで無効になっている属性（*Account Disabled Attribute）：ds-pwp-account-disabled
［*Account Disabled Value（*アカウントで無効になっている値）］：TRUE
［*Account Enabled Value（*アカウントで有効になっている値）］：FALSE
パスワード属性（Password Attribute）：userpassword
［Password Expiration Attribute（パスワード有効期限切れ属性）：passwordexpirationtime
グループオブジェクトクラス（Group Object Class）：groupofuniquenames
［Group Object Filter（グループオブジェクトフィルター）］：(objectclass=groupofuniquenames)
メンバー属性（Member Attribute）：uniquemember

スキーマの参照

AUXクラスの属性を追加するには、補助クラスを補助オブジェクトクラスとしてディレクトリのプロビジョニング構成に追加します。

パスワード変更

ユーザーはOktaダッシュボードで設定（Settings）を選択してパスワードを変更できます。

パスワードリセット

管理者はパスワードのリセットをトリガーできます。ユーザーはパスワードを忘れた場合（Forgot password）のリンクをクリックして、パスワードのリセットをトリガーできます。

新しいパスワードがパスワードポリシーの基準を満たさない場合は、パスワードのリセットが失敗する可能性があります。

ユーザーは、期限切れのパスワードを更新できません。期限切れのパスワードをリセットできるのは管理者です。

パスワードの検証

pwdPolicyオブジェクトクラスを使用して、OUD固有のパスワードポリシーを実装します。

LDAPインスタンスでパスワードの長さや有効期限などの設定を構成できます。

インポート

OUD LDAP統合に関して特別な考慮事項はありません。

JITプロビジョニング

OUDジャストインタイム（JIT）プロビジョニングに関して特別な考慮事項はありません。ユーザーID（UID）は、メール形式を使用してOktaユーザー名のデフォルト設定と一致させます。サインインのトリガーに外部IDプロバイダー（IDP）を使用しないでください。

JITプロビジョニングを正常に完了するには、次の条件が満たされている必要があります。

構成された命名属性（UIDなど）の値がOktaに存在しないこと。
構成された命名属性（UIDなど）の値が、JITが有効なすべてのディレクトリで一意であること。
必須属性が提示されていること。Oktaのデフォルトはemail、givenName、sn、uidです。
パスワードが正しいこと。
アカウントで無効になっている属性（Account Disabled Attribute）がLDAPサーバーでfalseに設定されていること。

JITプロビジョニングが正常に完了すると、LDAP設定ページとProfile Editorで指定されたユーザー属性がインポートされます。追加の必須属性を選択するには、Profile Editorを使用します。

メンバーシップのインポート

インポート時にデフォルトのOUD設定を使用すると、objectClassがgroupofuniquenamesのユーザーグループがインポートされ、uniquememberグループ属性で指定されたユーザーに追加されます。

membership属性がseeAlsoに設定されている場合は、seeAlsoユーザー属性に追加されたグループにユーザーが割り当てられます。

プロビジョニング

ユーザーの作成時または割り当て時にパスワードを設定できるようにするには、LDAPインスタンスでDelAuthを無効にし、LDAP_PUSH_PASSWORD_UPDATESを有効にし、パスワード同期を有効にします。これらの設定により、ユーザーが初めてログインすると、または割り当てられると、LDAPエージェントはPASSWORD_UPDATEアクションを送信します。これらの設定を行わない場合、パスワードはLDAPインスタンスに転送されません。

ユーザープロファイルの作成時にパスワードを作成して割り当てるには、次の手順を実行します。

LDAPプッシュパスワードの更新を有効にするには、Oktaサポートに連絡してください。
次の手順を実行して、委任認証を無効にします。
1. Admin Consoleで、セキュリティ（Security） > 委任認証（Delegated Authentication） > LDAPに移動します。
2. 委任認証（Delegated Authentication）（Edit）ペインで編集（Edit）（Delegated Authentication）をクリックします。
3. LDAPへの委任認証を有効にする（Enable delegated authentication to LDAP）チェックボックスをオフにします。
4. 保存（Save）をクリックします。
5. デフォルト設定を受け入れてすべてのLDAPユーザーパスワードをリセットし、LDAP認証を無効にする（Disable LDAP Authentication）をクリックします。
Admin Consoleで、ディレクトリ（Directory） > ディレクトリ統合（Directory Integrations） > LDAP > プロビジョニング（Provisioning） > アプリへ（To App）に移動します。
編集（Edit）をクリックし、パスワードを同期（Sync Password）（Enable）の横にある有効（Enable）（Sync Password）を選択して、保存（Save）をクリックします。
パスワードを同期（Sync Password）が有効になると、LDAPエージェントはユーザーが初めてサインインする時にPASSWORD_UPDATEアクションを送信します。

既存のOktaユーザーをLDAPに割り当てるには、次の手順を実行します。

Admin Consoleで、ディレクトリ（Directory） > ディレクトリ統合（Directory Integrations） > LDAP > プロビジョニング（Provisioning） > アプリへ（To App）に移動します。
編集（Edit）をクリックし、ユーザーを作成（Create Users）（Enable）の横にある有効（Enable）（Create Users）を選択して、保存（Save）をクリックします。
ディレクトリ（Directory） > グループ（Groups）をクリックします。
ユーザーを割り当てるOktaグループを選択します。
ディレクトリを管理（Manage Directories）をクリックします。
左側のペインでLDAPインスタンスを選択し、次へ（Next）をクリックします。
プロビジョニング宛先DN（Provisioning Destination DN）フィールドに、新規ユーザーのLDAPコンテナーの完全識別名（DN）を入力します。
変更を確認（Confirm Changes）をクリックします。

トラブルシューティング

LDAPディレクトリ認証に失敗すると、診断と解決に役立つ次のようなメッセージがエージェントログに表示されます。

エージェント：成功

POST initiated with result status=SUCCESS, actionType=USER_AUTH_AND_UPDATE, actionId=ADSuk6ivp6C8SUFvs0g3, diagnostic message=, error code=, matched dn=, message=SUCCESS, result code=, vendor=OID

エージェント：委任認証の失敗

POST initiated with result status=FAILURE, actionType=USER_AUTH_AND_UPDATE, actionId=ADSuk8MP3WZbAaI6a0g3, diagnostic message=, error code=49, matched dn=cn=multyGroup_user,ou=QA_users,dc=okta-labs,dc=com, message=LDAPException(resultCode=49 (invalid credentials), errorMessage='invalid credentials'), result code=invalid credentials, vendor=OID

エージェント：ユーザーなし

POST initiated with result status=FAILURE, actionType=USER_AUTH_AND_UPDATE, actionId=ADSuka2mNw4Od03nT0g3, diagnostic message=, error code=, matched dn=, message=User not found while executing query: (&(objectclass=inetorgperson)(uid=multyGroup_use2r2@oud.com)), result code=, vendor=OID

エージェント：パスワードの有効期限切れ

POST initiated with result status=FAILURE, actionType=USER_AUTH_AND_UPDATE, actionId=ADSukopQ97ekiE9Vs0g3, diagnostic message=, error code=49, matched dn=cn=multyGroup_user,ou=QA_users,dc=okta-labs,dc=com, message=LDAPException(resultCode=49 (invalid credentials), errorMessage='invalid credentials', responseControls={PasswordExpiredControl(isCritical=false)}), result code=PASSWORD_EXPIRED, vendor=OID

エージェント：ロックアウトまたは非アクティブ化

POST initiated with result status=FAILURE, actionType=USER_AUTH_AND_UPDATE, actionId=ADSulagVTomxeCFW40g3, diagnostic message=, error code=49, matched dn=cn=multyGroup_user,ou=QA_users,dc=test,dc=com, message=LDAPException(resultCode=49 (invalid credentials), errorMessage='invalid credentials'), result code=invalid credentials, vendor=OID

エージェント：ユーザーの無効化

POST initiated with result status=FAILURE, actionType=USER_AUTH_AND_UPDATE, actionId=ADSuku4YaIzfj8lcL0g3, diagnostic message=, error code=49, matched dn=cn=multyGroup_user,ou=QA_users,dc=okta-labs,dc=com, message=LDAPException(resultCode=49 (invalid credentials), errorMessage='invalid credentials'), result code=invalid credentials, vendor=OID