LDAPインターフェイスの既知の問題

LDAPインターフェイスの既知の問題は次のとおりです。

• UnixまたはLinuxベースのPAM認証がサポートされていない。
• memberOfの検索機能を使用すると、検索時間が長くなる。
• TLS 1.2しかサポートしていない。
• READ-onlyコマンドのみがサポートされている。WRITEコマンドがサポートされていない。
• サーバーでは、1000エントリーのページサイズが許可されているが、結果のサイズがこのページサイズを超えると、LDAPエラーコードが返される。結果セットが大きい場合は、Simple Pagination Controlを使用します。https://www.ietf.org/rfc/rfc2696.txtを参照してください。
• OktaユーザーIDを使用する必要がある。アプリのサインイン値にsamAccountNameを使用している場合は、認証に失敗します。
• uniquememberおよびmemberOf属性のクエリを実行するLDAP検索の場合、LDAPインターフェイスがメンバーシップ応答をクライアントに返す前にすべてのページが反復処理される。
• LDAPiで、memberOfが仮想操作属性に定義されている。次の場合にのみ返されます。
  • memberOfが属性のリストで要求されている場合
  • すべての操作属性が「+」を使用して要求されている場合

  memberOf属性のクエリを実行すると、orgのレート制限に影響を与える可能性があります。レート制限の問題を回避するために、Oktaではグループメンバーシップ属性uniqueMemberを使用することをお勧めします。この構成では、ユーザー数ではなくグループ数でAPI呼び出しをスケーリングします。

  LDAPのコアスキーマの一部であった追加の操作属性も改善されました。このリストには、hasSubordinatesstructuralObjectClass、entryDN、subschemaSubentry、およびnumSubordinatesが含まれています。numSubordinatesはユーザーおよびグループコンテナーに対しては計算されないことに注意してください。

• 大文字と小文字を区別する属性とLDAPインターフェイスの検索：大文字と小文字を区別する属性またはスキーマに存在しない属性を参照するLDAPインターフェイスの検索フィルターは、結果を返さない。

  たとえば、カスタム属性Employee Numberが大文字と小文字を区別する場合、フィルターemployeenumber=123-45-6789もフィルター(|(employeenumber=*)(uniqueIdentifier=*)も結果を返しません。

  さらに、スキーマにない属性を参照するLDAPi検索フィルターは結果を返しません。たとえば、属性xyzがスキーマに存在しない場合、フィルターxyz=fooもフィルター(|(xyz=*)(bar=*))も結果を返しません。

• LDAPインターフェイスでOkta Verifyの多要素認証を使用する場合、報告されるIPアドレスはクライアントIPではなくアプリサーバーのIPになる。これは、LDAPを介してクライアントIPを転送できる場合の制限によるものです。

• user.uidなどのOkta属性の作成はサポートされていません。これらの属性は<uid=user.login>属性検索では取得できません。属性検索が実行されても、ユーザープロファイルにuser.uid属性が含まれている場合、結果は返されません。

• グループ管理者、ヘルプデスク管理者、および割り当てられたグループのユーザーの表示と管理に権限が制限されているカスタム管理者は、ユーザー検索の実行時にタイムアウトになる場合があります。