LDAPインターフェースの既知の問題

LDAPインターフェースの既知の問題は次のとおりです。

  • UnixまたはLinuxベースのPAM認証がサポートされていない。
  • memberOfの検索機能を使用すると、検索時間が長くなる。
  • TLS 1.2しかサポートしていない。
  • READ-onlyコマンドのみがサポートされている。WRITEコマンドがサポートされていない。
  • サーバーでは、1000エントリーのページ・サイズが許可されているが、結果のサイズがこのページ・サイズを超えると、LDAPエラー・コードが返される。結果セットが大きい場合は、Simple Pagination Controlを使用します。https://www.ietf.org/rfc/rfc2696.txtを参照してください。
  • LDAPアプリがOktaでユーザーとグループのクエリーを実行するとき、アプリがLDAPiを使用してOktaに接続している場合は、Oktaが信頼できるソースである必要がある。
  • OktaユーザーIDを使用する必要がある。アプリのサインイン値にsamAccountNameを使用している場合は、認証に失敗します。
  • uniquememberおよびmemberOf属性のクエリーを実行するLDAP検索の場合、LDAPインターフェースがメンバーシップ応答をクライアントに返す前にすべてのページが反復処理される。
  • LDAPiで、memberOfが仮想操作属性に定義されている。次の場合にのみ返されます。
    • memberOfが属性のリストで要求されている場合
    • すべての操作属性が「+」を使用して要求されている場合

    memberOf属性のクエリーを実行すると、組織のレート制限に影響を与える可能性があります。レート制限の問題を回避するために、Oktaではグループ・メンバーシップ属性uniqueMemberを使用することをお勧めします。この構成では、ユーザー数ではなくグループ数でAPI呼び出しをスケーリングします。

    LDAPのコア・スキーマの一部であった 追加の操作属性も改善されました。このリストには、hasSubordinatesstructuralObjectClassentryDNsubschemaSubentry、およびnumSubordinatesが含まれています。numSubordinatesはユーザーおよびグループ・コンテナーに対しては計算されないことに注意してください。

  • 大文字と小文字を区別する属性とLDAPインターフェースの検索:大文字と小文字を区別する属性またはスキーマに存在しない属性を参照するLDAPインターフェースの検索フィルターは、結果を返さない。

    たとえば、カスタム属性Employee Numberが大文字と小文字を区別する場合、フィルターemployeenumber=123-45-6789もフィルター(|(employeenumber=*)(uniqueIdentifier=*)も結果を返しません。

    さらに、スキーマにない属性を参照するLDAPi検索フィルターは結果を返しません。たとえば、属性xyzがスキーマに存在しない場合、フィルターxyz=fooもフィルター(|(xyz=*)(bar=*))も結果を返しません。

  • LDAPインターフェースでOkta Verify Multifactor Authenticationを使用する場合、報告されるIPアドレスはクライアントIPではなくappserver IPになる。これは、LDAPを介してクライアントIPを転送できる場合の制限によるものです。