LDAP統合設定の変更
orgのニーズの変化に応じて、既存の統合設定を更新します。
- Admin Consoleで に移動します。
- ディレクトリのリストからLDAPエージェントを選択します。
- [Provisioning(プロビジョニング)]タブをクリックし、[Settings(設定)]リストで[Provisioning(統合)]を選択します。
- [Version(バージョン)]リストで、ディレクトリベンダーを選択します。ベンダー固有の構成テンプレートが提供され、構成設定が事前に入力されます。LDAP環境はそれぞれ一意であるため、デフォルト値を確認する必要があります。すべての構成設定に値を指定する必要はありません。「サポートされるLDAPディレクトリサービスを構成する」を参照してください。
- [Configuration(構成)]セクションで次の入力を行います。
- [Unique Identifier Attribute(一意の識別子の属性)]:インポートされるすべてのLDAPオブジェクト(ユーザーおよびグループ)の、一意の不変的な属性を入力します。Okta orgにインポートできるのは、この属性を持つオブジェクトのみです。自動入力される値は初期設定時に変更できます。LDAPサーバーでRFC 4530を実装している場合、このフィールドにentryuuidと入力してください。AD LDSの場合は、objectguidを使用します。
- [DN Attribute(DN属性)]:Distinguished Name(識別名)値を含む、すべてのLDAPオブジェクトの属性を入力します。
- [User(ユーザー)]セクションで次の入力を行います。
- [User Search Base(ユーザー検索ベース)]:ユーザー検索にコンテナのDN(ユーザーサブツリーのルート)を入力します。これは、Okta orgにインポートされたすべてのユーザーを保持するコンテナのベースDNです。例:cn=Users、dc=example、dc=com。
- [User Object Class(ユーザーオブジェクトクラス)]:Oktaがユーザーのインポート時にクエリで使用する、ユーザーのobjectClassを入力します。例:inetorgperson、posixaccount、posixuser。
- [Auxiliary Object Class(補助オブジェクトクラス)]:補助objectClassesのコンマ区切りリストを入力します。Oktaでは、ユーザーをインポートする際に、クエリでこれらを使用します。例:auxClass1, auxClass2。
- [User Object Filter(ユーザーオブジェクトフィルター)]:このフィールドはOktaによって自動入力されます。値を変更する場合、有効なLDAPフィルターとする必要があります。
標準的なLDAP検索フィルター表記(RFC 2254)を使用します。例:
(&(givenName=Bab*)(|(sn=Jensen)(cn=Babs J*)))グループオブジェクトにも同じフィルター機能があります。
- [Account Disabled Attribute(アカウントで無効になっている属性)]:Oktaのユーザーのアカウントが無効かどうかを示すユーザー属性を入力します。この属性が[Account Disabled Value(アカウントで無効になっている値)]フィールドで指定された値と等しい場合は、ユーザーアカウントが非アクティブ化されます。
- [Account Disabled Value(アカウントで無効になっている値)]:アカウントがロックされていることを示す値を入力します(例:TRUE)。
- [Account Enabled Value(アカウントで有効になっている値)]:アカウントがロック解除されていることを示す値を入力します(例:TRUE)。
- [Password Attribute(パスワード属性)]:ユーザーのパスワード属性を入力します。
- [Password Expiration Attribute(パスワード有効期限切れ属性)]:パスワード有効期限の属性名を入力します。通常はブール値です。サポートされているリストにないLDAPディレクトリを選択した場合は、LDAPサーバーのドキュメントを参照してその値を使用してください。
- [Extra User Attributes(追加のユーザー属性)]セクションで、LDAPからインポートする追加属性を最大4つ指定できます。
- [Group(グループ)]セクションで次のフィールドに入力します。
- [Group Search Base(グループ検索ベース)]:Okta orgにインポートされるすべてのグループを保持するグループ検索(グループサブツリーのルート)について、コンテナのDNを入力します。例:ou=groups、dc=example, dc=com。
- [Group Object Class(グループオブジェクトクラス)]:グループのインポート時にOktaがクエリで使用するグループのobjectClassを入力します。例:groupofnames、groupofuniquenames、posixgroup。
- [Group Object Filter(グループオブジェクトフィルター)]:デフォルトでは、OktaでこのフィールドにグループのobjectClassが自動入力されます(objectClass=<entered objectClass name>)。
- [Member Attribute(メンバー属性)]:すべてのメンバーDNを含む属性を入力します。
- [User Attribute(ユーザー属性)]:Oktaはグループオブジェクトのメンバー属性を使用して、実行時にユーザーのグループメンバーシップを決定します。グループオブジェクトとグループフィルターが明示的にposixGroupおよび(objectclass=posixGroup)でない限り、ユーザー属性フィールドは空のままにします。posixGroupを使用する場合は、メンバー属性値をmemberUIDに構成し、ユーザー属性値をuidに構成してください。
LDAPベンダーがリストにない場合は、構成フィールドに手動で入力してください。
- [Role(ロール)]セクションで次のフィールドに入力します。
- [Object Class(オブジェクトクラス)]:ロールのobjectClass。
- [Membership Attribute(メンバーシップ属性)]:ロールのメンバーシップを示す(ロールDNを含む)ユーザーオブジェクトの属性。