Active Directory属性のOktaプロパティーへのマッピング

次の表は、Oktaのプロパティーが対応するActive Directory(AD)属性にどのようにマッピングされるかを示しています。

ネイティブActive Directory属性 :これはAD内の属性名です。

OktaによってADアプリに割り当てられた属性:これは、ADがOkta内でアプリとして設定されている場合に、ネイティブAD属性を呼び出すためにOktaが使用する名前です。この値は、アプリのユーザー・プロファイルに表示されます。

ネイティブOkta属性 :これはネイティブOkta属性名です。

Oktaで必須:Oktaでは、Oktaユーザー・プロファイルに特定の基本属性が必要です。[はい]は、属性がOktaで必須であることを示します。 プロファイル・タイプについてを参照してください。

ADからOktaへのマッピング:AD属性に対応するOktaプロパティーがあるかどうかを示します。

OktaからADへのマッピング:Oktaプロパティーに対応するAD属性があるかどうかを示します。

ネイティブActive Directory属性

OktaによってADに割り当てられた属性

ネイティブOkta属性

Oktaで必須

マッピング:

ADからOktaへ

マッピング:OktaからADへ
distinguishedNamedndnはいありあり
givenNamefirstNamefirstNameはいありあり
mailemailemailはいありあり
objectGUIDexternalIDexternalIDはいありあり
objectSidobjectSidobjectSidはいありあり
primaryGroupIDprimaryGroupIDprimaryGroupIDはいありあり
userPrincipalName*userNameuserName、email、login はいなしありメールが設定されていない場合にのみ使用します。
Oktaユーザー名設定の選択肢の1つとして、メール、UPN、およびsAMAccountNameと一緒に使用できます。選択すると、SAMAccountNameとADドメイン名(命名コンテキスト)を組み合わせてOktaユーザー名が生成され、メールのような値を形成します。
snlastNamelastNameはいありあり
sAMAccountName sAMAccountNamesubstringBefore(user.login, \"@\")いいえなしあり
ccountryCodecountryCodeいいえありあり
cncnuser.firstName + \" \" + user.lastNameいいえなしあり
cococoいいえありあり
countryCodeadCountryCodecountryCodeいいえありあり
departmentdepartmentdepartmentいいえありあり
departmentNumberdepartmentNumberdepartmentNumberいいえありあり
displayNamedisplayNamedisplayNameいいえありあり
divisiondivisiondivisionいいえありあり
employeeIDemployeeIDemployeeIDいいえありあり
employeeNumberemployeeNumberemployeeNumberいいえありあり
generationQualifierhonorificPrefixhonorificPrefixいいえありあり
lcitycityいいえありあり
managerDNmanagerDNmanagerDNいいえ

Workdayやその他のアプリで取得したマネージャー値があり、その値がADでmangerDNと表示される場合は、managerDnマッピングを使用します。この場合、マネージャーのドメインはユーザーと異なる可能性があります。

managerUPNmanagerUpnmanagerUpnいいえありあり

Workdayやその他のアプリケーションで取得したマネージャー値があり、その値がADでmanagerUPNと表示される場合は、managerUpnマッピングを使用します。このとき、マネージャーとユーザーのドメインが同じになっている必要があります。

middleNamemiddleNamemiddleNameいいえありあり
mobilemobilePhonemobilePhoneいいえありあり
personalTitlehonorificSuffixhonorificSuffixいいえありあり
postalCodepostalCodezipCode いいえありあり
preferredLanguagepreferredLanguagepreferredLanguageいいえありあり
ststatestateいいえありあり
streetAddressstreetAddressstreetAddressいいえありあり
telephoneNumbertelephoneNumbertelephoneNumberいいえありあり
titletitletitleいいえありあり
  • 任意のOktaユーザー・プロファイルとは異なり、ADアプリのユーザー・プロファイル・スキーマには姓名が必要となります。したがって、現在は、Oktaから提供するユーザーであれば姓名を使用せずに作成することができますが、姓名のないADユーザーをOktaにインポートすることはできません。

  • Okta必須のAD属性がユーザーのプロファイルにない場合、そのユーザーは無視されます。例外はOktaで必須のemail属性です。ADユーザー・オブジェクトのemail属性が入力されていない場合は、userPrincipalName値が入力されます。
  • isCriticalSystemObject属性がtrueに設定されている場合、そのユーザーは省略されます。この設定は大半がシステムで使用される内部アカウント用ですが、管理者のような様々な組み込みアカウントも含まれています。
  • カスタム属性がプロファイル・エディターで必須とマークされていて(つまり、[属性を追加]ダイアログで[必須属性]が選択されている場合)、対応するフィールドがユーザーのADプロファイルに存在しない場合、ユーザーは次のインポート中にプロビジョニング解除されます。JITが有効な場合は、ユーザーの次回ログイン時にプロビジョニング解除されます。
  • managerUPNまたはmanagerDN を誤ってマッピングすると、マネージャー値のユーザー・オブジェクトがADで更新できなくなります。
    • Workdayやその他のアプリケーションで取得したマネージャー値があり、その値がADでmanagerUPNと表示される場合は、managerUpnマッピングを使用します。このとき、マネージャーとユーザーのドメインが同じになっている必要があります。
    • Workdayやその他のアプリで取得したマネージャー値があり、その値がADでmangerDNと表示される場合は、managerDnマッピングを使用します。この場合、マネージャーのドメインはユーザーと異なる可能性があります。

次のいずれかの条件を満たす場合、システムでは以前にインポートされたユーザーが削除済みとして処理されます。

  • userAccountControl属性が、ユーザーが非アクティブ化されていることを示している(増分インポートまたはJITサインインによって検出されます)。

  • ユーザーがディレクトリーからいなくなる(フル・インポートによってのみ検出されます)。

上記が発生した場合、対応するOktaユーザー(存在する場合)が非アクティブ化されます。次のフル・インポート中にユーザーがOU の選択を解除した場合も、ユーザーは非アクティブ化されます。