LDAPインターフェースの既知の問題
LDAPインターフェースの既知の問題は次のとおりです。
- UnixまたはLinuxベースのPAM認証がサポートされていない。
memberOf
の検索機能を使用すると、検索時間が長くなる。- TLS 1.2しかサポートしていない。
- READ-onlyコマンドのみがサポートされている。WRITEコマンドがサポートされていない。
- サーバーでは、1000エントリーのページ・サイズが許可されているが、結果のサイズがこのページ・サイズを超えると、LDAPエラー・コードが返される。結果セットが大きい場合は、Simple Pagination Controlを使用します。https://www.ietf.org/rfc/rfc2696.txtを参照してください。
- LDAPアプリがOktaでユーザーとグループのクエリーを実行するとき、アプリがLDAPiを使用してOktaに接続している場合は、Oktaが信頼できるソースである必要がある。
- OktaユーザーIDを使用する必要がある。アプリのサインイン値に
samAccountName
を使用している場合は、認証に失敗します。 uniquemember
およびmemberOf
属性のクエリーを実行するLDAP検索の場合、LDAPインターフェースがメンバーシップ応答をクライアントに返す前にすべてのページが反復処理される。- LDAPiで、
memberOf
が仮想操作属性に定義されている。次の場合にのみ返されます。memberOf
が属性のリストで要求されている場合- すべての操作属性が「+」を使用して要求されている場合
memberOf
属性のクエリーを実行すると、組織のレート制限に影響を与える可能性があります。レート制限の問題を回避するために、Oktaではグループ・メンバーシップ属性uniqueMember
を使用することをお勧めします。この構成では、ユーザー数ではなくグループ数でAPI呼び出しをスケーリングします。LDAPのコア・スキーマの一部であった 追加の操作属性も改善されました。このリストには、
hasSubordinates
structuralObjectClass
、entryDN
、subschemaSubentry
、およびnumSubordinates
が含まれています。numSubordinates
はユーザーおよびグループ・コンテナーに対しては計算されないことに注意してください。 - 大文字と小文字を区別する属性とLDAPインターフェースの検索:大文字と小文字を区別する属性またはスキーマに存在しない属性を参照するLDAPインターフェースの検索フィルターは、結果を返さない。
たとえば、カスタム属性Employee Numberが大文字と小文字を区別する場合、フィルターemployeenumber=123-45-6789もフィルター(|(employeenumber=*)(uniqueIdentifier=*)も結果を返しません。
さらに、スキーマにない属性を参照するLDAPi検索フィルターは結果を返しません。たとえば、属性xyzがスキーマに存在しない場合、フィルターxyz=fooもフィルター(|(xyz=*)(bar=*))も結果を返しません。
-
LDAPインターフェースでOkta Verify Multifactor Authenticationを使用する場合、報告されるIPアドレスはクライアントIPではなくappserver IPになる。これは、LDAPを介してクライアントIPを転送できる場合の制限によるものです。