LDAPインターフェイスの既知の制限

LDAPインターフェイスは、BINDUNBINDSEARCHのLDAP操作を行うために設計された軽量なツールです。これらの基本機能をLDAPサーバーに依存せずに実行できますが、現在のLDAPサーバーで提供されるすべての高度な機能がサポートされるわけではありません。したがって、LDAPサーバーをLDAPインターフェイスに置き換える前に、その機能と制限を慎重に評価してください。

ここでは、一般的な問題と既知の制限を紹介します。ただし、考えられるすべてのシナリオをカバーしているわけではありません。LDAPインターフェイスをLDAP先進化計画に組み入れる前に、OktaセールスチームまたはCSMと連携することをお勧めします。

検索と属性のリファレンス

  • memberOfuniqueMemberの処理時間は、グループメンバーの総数および検索操作を実行する管理者ロールに応じて長くなる可能性があります。より制限されたロールを持つユーザーの場合、検索の処理に要する時間が長くなります。
  • 検索結果の数は1ページあたり1000件に制限されます。大規模な結果セットでは、Simple Pagination Control(RFC 2696)が必要になります。
  • LDAPインターフェイスは、memberOfを仮想操作属性として定義します。これは、次の場合にのみ返されます。
    • memberOfが要求された属性である場合、または
    • すべての操作属性の要求に「+」が使用されている場合

  • LDAPインターフェイスで使用できる属性は、完全なLDAPスキーマのサブセットのみを表しており、名前に矛盾がある可能性があります。LDAPフィルターは、マネージャー属性を除いて、カスタム属性を含むすべての属性をサポートします。ただし、LDAPリストには、マネージャー属性を含むすべての属性が含まれます。

    利用できるLDAPインターフェイススキーマを確認するには、次を使ってLDAPインターフェイス検索を実行します。

    属性

    ベースDN

    		 cn=schema

    スコープ

    BASE

    フィルター

    objectclass=subschema

    要求する属性

    ldapSyntaxes matchingRules attributeTypes objectClasses

    または、「+」またはすべてのユーザー属性を使用します。

  • サポートされないスキーマ属性が検索クエリに使用されている場合、検索結果は返されません。

暗号化

  • TLS 1.2のみがサポートされます。
  • LDAPインターフェイスは、暗号化された接続を使用する2つの方法、LDAPSとStartTLSをサポートします。LDAPインターフェイスを使用するには、いずれかの方法で接続を暗号化する必要があります。暗号化されていない接続で受信した操作は、すべて直ちに拒否されます。

認証(BIND)

  • UnixまたはLinuxベースのPAM認証はサポートされません。

  • アプリケーションログインのUID(ユーザーID)は、Oktaでその特定のアプリ向けに構成されたログインマッピングによって直接制御されます。ログインマッピングで選択された属性(たとえば、 Active DirectoryappUser.samAccountName)がUIDとして使用される値になります。

  • Okta Verify多要素認証とLDAPインターフェイスを併用する場合、レポートされるIPアドレスはクライアントIPではなく、アプリサーバーIPです。これは、LDAPを通じたクライアントIP転送の制限によるものです。