Active Directoryのインポートとアカウントの設定を構成する

Okta ADエージェントのインストール時に、またはビジネスのニーズの変化に応じて、ユーザーデータをいつどのようにインポートするかを定義します。ユーザー名の形式の定義は、このプロセスの重要な要素です。ユーザー名は、Active Directory(AD)のユーザーをOktaに関連付けるために使用されます。ユーザーのOktaへのサインイン方法に影響するため、正しいユーザー名の形式を選択することが重要になります。

デフォルトでは、Oktaは委任認証時にOktaユーザープロファイルのユーザー名を使用します。たとえば、ADアプリユーザーのユーザー名がsamAccountNameで、Oktaユーザープロファイルのユーザー名(ログインフィールド)がUPNの場合、OktaではUPNを使用してユーザーをサインインさせます。

ADドメインの機能レベルが2003の場合、ADユーザー名には、domain.name形式が含まれるUPNを含める必要があります。

  1. Admin Consoleで、[Directory(ディレクトリ)][Directory Integrations(ディレクトリ統合)]の順に進みます。
  2. [Active Directory]をクリックし、[Provisioning(プロビジョニング)]タブをクリックします。
  3. [Settings(設定)]リストの[Integration(統合)]をクリックし、[Import Settings(インポート設定)]エリアの次のフィールドを入力します。
    • [User OUs connected to Okta(Oktaに接続されているユーザーのOU)]:ユーザーのインポートに使用する組織単位(OU)を追加または削除します。

      • 早期アクセスリリース

    • [User Filter(ユーザーフィルター)]:指定した条件に一致するユーザーを選択的にインポートするクエリ構文を作成します。デフォルトはsAMAccountType=805306368です。

    デフォルトのフィルタークエリを変更すると、ユーザーがデプロビジョニングまたは非アクティブ化される場合があります。意図しない結果を回避するために、ディレクトリ環境でこのフィルターをテストして、結果が予想と一致することを確認しておくよう強くお勧めします。

    • [Group OUs connected to Okta(Oktaに接続されるグループのOU)]:グループのインポートに使用するOUを追加または削除します。

      • 早期アクセスリリース

    • [Group Filter(グループフィルター)]:指定した条件に一致するグループを選択的にインポートするクエリ構文を作成します。デフォルトはobjectCategory=groupです。

      デフォルトのフィルタークエリを変更すると、グループがデプロビジョニングまたは非アクティブ化される場合があります。意図しない結果を回避するために、ディレクトリ環境でこのフィルターをテストして、結果が予想と一致することを確認しておくよう強くお勧めします。

      memberOfなどのバックリンクされた属性は計算された属性であり、ADデータベースに保存されていません。その結果、ユーザーオブジェクトへの変更はOktaには表示されず、変更時にインポート操作は実行されません。特に属性変更の結果としてダウンストリームのシステムで変更が必要とされるときは、計算された属性をマッピングされた属性として使用しないでください。計算された属性をマッピングされた属性として使用すると、オンプレミスのActive DirectoryインスタンスとOkta Universal Directoryの間でデータの一貫性が失われる可能性があります。詳細については、「構築された属性」を参照してください。

  4. [Save(保存)]をクリックします。

  5. 任意。ユーザーがOktaにサインインするときにADでユーザーを認証する場合は、[Delegated Authentication(委任認証)]セクションで[Enable delegated authentication to Active Directory(Active Directoryへの委任認証を有効にする)]を選択します。
  6. [Save(保存)]をクリックします。
  7. [Settings(設定)]リストの[To Okta(Oktaへ)]をクリックし、[Edit(編集)]をクリックして、[General(一般)]エリアの次のフィールドを入力します。
    • [Schedule Import(インポートのスケジュールを設定)]:ユーザーをADからOktaへインポートする頻度を選択します。

    特定の条件下でインポートが成功すると、指定された管理者に自動的にメールが送信されます。メールには、インポート中にスキャン、追加、更新、または削除されたユーザーとグループの数が記載されています。メールが送信されるのは、スキャンで新規ユーザーまたは新規グループが検出された場合、または既存のユーザープロファイルまたはグループメンバーシップの変更が検出された場合のみです。

    • Okta username format(Oktaユーザー名の形式)]:選択するユーザー名の形式は、ユーザーを最初にインポートしたときに使用した形式と一致する必要があります。この値を変更すると、既存ユーザーでエラーが生じる可能性があります。次のいずれかのオプションを選択します。

      • [User Principal Name (UPN)(ユーザープリンシパル名(UPN))]:ADのUPNを使用してOktaユーザー名を作成するには、このオプションを選択します。
      • [Email address(メールアドレス)]Oktaユーザー名にメールアドレスを使用するには、このオプションを選択します。
      • [SAM Account name(SAMアカウント名)]:このオプションを選択すると、[SAM Account name(SAMアカウント名)]とADドメインを組み合わせたOktaユーザー名が生成されます。たとえば、SAMアカウント名がjdoeで、ADドメインがmycompany.okta.comであれば、Oktaユーザー名はjdoe@mycompany.okta.comとなります。
      • [Custom(カスタム)]:カスタムユーザー名を使用してOktaにサインインするには、このオプションを選択します。Okta Expression Languageを入力して、Oktaユーザー名の形式を定義します。式のマッピングを検証するには、ユーザー名を入力し、[View(表示)]をクリックします。

    Oktaユーザーは、ユーザー名のエイリアス部分を入力してサインインできます。ただし、org内にそのエイリアス部分を使用しているユーザーが他にいないことが条件になります。たとえば、jdoe@mycompany.okta.comjdoeを使用してサインインできます。

    • [JITProvisioning(JITプロビジョニング)][Create and update users on login(ログイン時にユーザーを作成、更新)]を選択すると、ユーザーがAD委任認証で初めて認証されるときに自動的にOktaユーザープロファイルが作成されます。ADソースのユーザープロファイルがOktaに存在する場合、既存のユーザープロファイルは、ユーザーがサインインするときに、または管理者がプロファイルを表示するときに更新されます。

    ユーザーが属するセキュリティグループも、選択したOUに属する場合はインポートされます。サインインするユーザーが、選択したOUに属していない場合、サインインは失敗します。ジャストインタイム(JIT)プロビジョニングを有効にするときは、委任認証も有効にする必要があります。このオプションは、スケジュールされたインポートの有無にかかわらず使用できます。JITおよびADドメインのシナリオの詳細については、「Active Directoryの統合に関するよくある質問」を参照してください。

    「通常の」インポートとJITプロビジョニングの間で、メンバーシップの不整合が発生する可能性があります。このようなメンバーシップの異常は、ネストされたグループを使用する場合に発生する可能性があります。通常のインポート中は、AD OUまたはLDAPオブジェクトフィルターのスコープ外の子グループを検出できません。親グループがOU/オブジェクトフィルターのスコープ内にあり、その子グループがスコープ内にない場合、インポート中に親グループのメンバーシップが誤って解決されます。JITプロビジョニングの関数は「フラットな」メンバーシップのみを検出するため、JITプロビジョニングでは、このようなメンバーシップは親グループに正しく解決されます。

    • [USG support(USGのサポート)][Universal Security Group Support(ユニバーサルセキュリティグループのサポート)]を選択すると、ユーザーのグループメンバーシップをインポートするときにドメインの境界が無視されます。これは、関連するドメインがOktaで接続されていることを前提としています。また、Oktaと同期するUSGオブジェクトを含む、フォレスト内のすべてのドメインにADエージェントをデプロイする必要があります。これで、接続されている各ドメインが、そのグループをインポートするようになります。ユーザーのグループメンバーシップが(フォレスト内の接続されたドメインから)インポートされたグループと一致すると、Oktaは、そのユーザーのメンバーシップを各グループに同期します。接続されているドメインのグループのみインポートされます。この設定は、[JIT provisioning(JITプロビジョニング)]が先に選択されていないと選択できません。

    • [Do not import users(ユーザーをインポートしない)][Skip users during import(インポート中にユーザーをスキップ)]を選択すると、ディレクトリから新しいユーザーをインポートせずにユーザープロファイルとグループの同期を維持できます。インポート機能を使ってグループを同期する一方で、ジャストインタイム(JIT)プロビジョニングを使って新しいOktaユーザーを作成するときは、このオプションを使用します。

      • [Skip users during import(インポート中にユーザーをスキップ)]が選択されている場合、グループはインポートされますが、ユーザーのインポートが完了するまでグループメンバーシップは更新されません。

      [Skip users during import(インポート中にユーザーをスキップ)]を選択すると、すべてのインポートはフルインポートで実行されます。

    • [Activation emails(アクティベーションメール)]:新規ユーザーにアクティベーションメールが送信されないようにするには、このオプションを選択します。管理者は、ユーザーをアクティブ化できます。

      プレビュー環境でADの初期統合および初期構成をおこなっているときは、アクティベーションメールを送信しないように選択することをお勧めします。これにより、エンドユーザーがOktaへの登録および使用を開始できるように準備が整う前に、エンドユーザーがアクティベーションメールを受信するのを防ぐことができます。

  1. [Save(保存)]をクリックします。

  2. [User Creation & Matching(ユーザーの作成・照合)]セクションで[Edit(編集)]をクリックし、インポートしたユーザーが、既存のOktaユーザーと一致すると判断されるための条件を選択します。

    一致ルールは、インポートを許可するすべてのアプリおよびディレクトリからのユーザーのインポートで使用されます。既存のOktaアカウントがある場合、ADではユーザーを自動的にインポートして確認できます。AD、OPP、およびすべてのプロビジョニング対応アプリは、Oktaへのユーザーの自動インポートおよび自動確認をサポートしています。一致基準(またはルール)を確立することで、インポートしたユーザーを既存のOktaユーザーにマッピングする方法を指定できるようになります。一致ルールを明確に定義しておけば、同じユーザーに対して複数のインスタンスが作成されるのを防ぐ上で役立ちます。

    この機能は、CSVでインポートされたユーザーリストには適用されません。

    • [Imported user is an exact match to an Okta user if(インポートされたユーザーは、次の場合にOktaユーザーに完全一致)]:次のいずれかのオプションを選択します。
      • Okta username format matches(Oktaユーザー名の形式の一致)]
      • [Email matches(メールの一致)]
      • [The following required attributes match(次の必須属性が一致)]:オプションのリストから選択して基準を確立します。新しくインポートされたユーザーが完全一致と見なされるには、選択する各オプションがtrueである必要があります。
      • [The following attributes match(次の属性が一致)]:オプションのリストから選択して基準を確立します。新しくインポートされたユーザーが完全一致と見なされるには、選択する各オプションがtrueである必要があります。
    • [Allow partial matches(部分一致を許容)]:このオプションを選択すると、インポートされたユーザーの姓名が既存のOktaユーザーの姓名と一致するが、ユーザーのユーザー名またはメールアドレスが一致しない場合でも、その一致が許容されます。
    • [Confirm matched users(一致したユーザーを確認)][Auto-confirm exact matche(完全一致を自動確定)]または[Auto-confirm partial matches(部分一致を自動確認)]を選択すると、完全一致または部分一致が自動的に確認されます。オプションを選択しないときは、一致ステータスが確立されて[People(ユーザー)]ページ([Directory(ディレクトリ)][People(ユーザー)])でユーザーがアクティブ化された後で、一致を手動で確認します。
    • [Confirm new users(新しいユーザーを確認)][Auto-confirm new users(新しいユーザーを自動確定)]または[Auto-activate new users(新しいユーザーを自動的にアクティブ化)]を選択し、一致基準を満たしたときに新規ユーザーが自動的に確認またはアクティブ化されるようにします。オプションを選択しないときは、[People(ユーザー)]ページ([Directory(ディレクトリ)][People(ユーザー)])で新規ユーザーを手動で確認またはアクティブ化します。

  1. [Save(保存)]をクリックします。

  2. [Profile & Lifecycle Sourcing(プロファイルとライフサイクルのソーシング)]設定を定義するには、[Edit(編集)]をクリックして次の設定を完了します。
    • [Active Directory to source Okta users(Active DirectoryがOktaユーザーをソーシング)]:このオプションはデフォルトで有効です。プロファイルソーシングにより、ADは接続されたユーザーのアイデンティティオーソリティとなります。有効な場合、Oktaでユーザープロファイルを編集できず、プロビジョニングイベント中に変更がOktaに同期されます。このオプションを無効にして、ADを通常のアプリケーションとして扱うことができます。この機能を無効にしても、ADで実行したユーザーの更新は、Oktaのユーザープロファイルにプッシュバックされません。たとえば、ADでユーザー名を変更しても、Oktaユーザーには影響しません。ただし、委任認証が有効になっている限り、ユーザーはセルフサービスによるパスワードリセットを使用してOktaでADパスワードをリセットできます。
    • [When a user is deactivated in the app(ユーザーがアプリで非アクティブ化されている場合)]:ユーザーのアカウントがOktaで非アクティブ化された場合に、Oktaで実行する必要のあるアクションを指定します。
      • [Do nothing(何もしない)]:いずれのアクションも実行されません。
      • [Deactivate(非アクティブ化)]:ユーザーがOktaで割り当て解除された場合、またはOktaアカウントが非アクティブ化された場合に、ユーザーのLDAPアカウントを非アクティブ化します。Oktaでアプリがユーザーに再割り当てされたときに、アカウントを再アクティブ化できます。
      • [Suspend(一時停止)]:ユーザーがOktaで割り当て解除された場合、またはOktaアカウントが非アクティブ化された場合に、ユーザーのLDAPアカウントを一時停止します。Oktaでアプリがユーザーに再割り当てされたときに、アカウントを再アクティブ化できます。

    • [When a user is reactivated in the app(ユーザーがアプリで再アクティブ化される場合)]:ユーザーのアカウントがOktaで再アクティブ化される場合にOktaで実行する必要のあるアクションを指定します。
      • [Reactivate suspended Okta users(一時停止されたOktaユーザーを再度有効にする)]:LDAPで再度有効化される場合に、一時停止されたOktaユーザーを再度有効にします。
      • [Reactivate deactivated Okta users(非アクティブ化されたOktaユーザーを再度有効にする)]:LDAPで再度有効にされる場合に、非アクティブ化されたOktaユーザーを再度有効にします。

  3. [Save(保存)]をクリックします。
  4. 任意。[Import Safeguard(インポートセーフガード)]設定を定義するには、[Edit(編集)]をクリックして次の操作を完了します。
    • [App unassignment safeguard(アプリ割り当て解除のセーフガード)]:インポートセーフガードを有効にする場合は[Enabled(有効)]、インポートセーフガードを無効にする場合は[Disabled(無効)]を選択します。
    • [is the threshold for unassignments from any app(任意のアプリから未割り当てのしきい値にする)]:アプリまたはorgの許容される未割り当て割合を入力するか、[Set to default(デフォルトに設定)]を選択して割合をデフォルト値に設定します。

    • [Org-wide unassignment safeguard(org全体の割り当て解除のセーフガード)]:org全体のインポートセーフガードを有効にする場合は[Enabled(有効)]、無効にする場合は[Disabled(無効)]を選択します。

    • [is the threshold for unassignments across the org(orgで未割り当てのしきい値にする)]:orgで許容されるアプリとorgの未割り当て割合を入力するか、[Set to default(デフォルトに設定)]を選択してorgの割合をデフォルト値に設定します。

  5. [Save(保存)]をクリックします。

次の手順

Active Directoryのプロビジョニング設定を構成する