Active Directoryのインポートとアカウントの設定の構成

Okta ADエージェントをインストールする場合やビジネスの変更が必要になった場合に、いつどのようにユーザーデータをインポートするかを定義します。ユーザー名の形式の定義は、このプロセスにおける重要な箇所です。ユーザー名は、Active Directory(AD) のユーザーをOktaと関連付けるために使用されます。ユーザーがOktaにサインインする方法に影響するため、適切なユーザー名の形式を選択することが重要です。デフォルトで、Oktaは代理認証時にOktaユーザープロファイルのユーザー名を使用します。たとえば、ADアプリユーザーのユーザー名がsamAccountNameで、Oktaユーザープロファイルのユーザー名(ログインフィールド)がUPNの場合、OktaはUPNを使用してユーザーをサインインさせます。

ADドメインの機能レベルが2003の場合、ADユーザー名はdomain.nameの形式を含むUPNを含む必要があります。

  1. 管理コンソールで、[ディレクトリー] > に移動します [Directory Integrations(ディレクトリ統合)]に進みます。
  2. [Active Directory]をクリックしてから、[Provisioning(プロビジョニング)]タブをクリックします。
  3. [Settings(設定)]リストで[Integration(統合)]をクリックして、[Import Settings(インポート設定)]エリアの次のフィールドを入力します:
    • User OUs connected to Okta — ユーザーのインポートに使用する組織単位(OU)の追加または削除を行います。
    • これは早期アクセス機能です。有効にする場合は、Oktaサポートにお問い合わせください。

    • User Filter — 指定した基準に一致するユーザーを選択的にインポートするクエリ構文を作成します。デフォルトはsAMAccountType=805306368です。

    デフォルトのフィルタークエリを変更すると、ユーザーがデプロビジョニングされる可能性があります。予期しない結果を避けるために、ディレクトリ環境でフィルターをテストして、結果が想定どおりになることを確認することを強く推奨します。

    • Group OUs connected to Okta — グループのインポートに使用するOUの追加または削除を行います。
    • これは早期アクセス機能です。有効にする場合は、Oktaサポートにお問い合わせください。

    • Group Filter — 指定した基準に一致するグループを選択的にインポートするクエリ構文を作成します。デフォルトはobjectCategory=groupです。

      デフォルトのフィルタークエリを変更すると、グループがデプロビジョニングされる可能性があります。予期しない結果を避けるために、ディレクトリ環境でフィルターをテストして、結果が想定どおりになることを確認することを強く推奨します。

      情報

      注意

      memberOf などのバックリンク属性は計算された属性であり、Active Directoryデータベースには保存されません。その結果、ユーザーオブジェクトに加えた変更はOktaには表示されず、変更が発生しても インポート操作は行われません 。Oktaでは、特に属性変更の結果として下流のシステムでの変更が必要な場合、計算された属性をマッピングされた属性に使用しないよう推奨しています。計算された属性をマッピングされた属性に使用すると、オンプレミスのActive DirectoryインスタンスとUniversal Directoryの間でデータの整合性が取れなくなる場合があります。 詳細については、https://msdn.microsoft.com/en-us/library/cc223384.aspxを参照してください。

  4. [保存]をクリックします。

  5. オプションです。ADでOktaにサインインするユーザーを認証する場合は、[Delegated Authentication(代理認証)]セクションで[Enable delegated authentication to Active Directory(Active Directoryで代理認証を有効化)]を選択します。
  6. [Save(保存)]をクリックします。
  7. [Settings(設定)]リストで[To Okta(Oktaへ)]をクリックしてから、[Edit(編集)]をクリックして、[General(一般)]エリアで以下のフィールドに入力します:
    • Schedule Import — ADからOktaにユーザーをインポートする頻度を選択します。

    インポートが成功して特定の条件が満たされると、指定された管理者宛にメールが自動 送信されます。このメール には、インポート時にスキャン、追加、アップデート、削除されたユーザーとグループの数が記載されます。Oktaは、スキャンで新しいユーザーやグループが検出 された場合や、既存のユーザープロファイルやグループメンバーシップの変更があった場合にのみメールを送信します。

    • Okta username format — 選択するユーザー名の形式は、最初にユーザーをインポートしたときに使用した形式と一致する必要があります。この値を変更すると、既存のユーザーに対してエラーが発生する可能性があります。次のオプションのいずれかを選択します:

      • User Principal Name (UPN) — Oktaユーザー名の作成にADのUPNを使用する場合にこのオプションを選択します。
      • Email address — メールアドレスをOktaユーザー名に使用する場合にこのオプションを選択します。
      • SAM Account nameSAMアカウント名とADドメインを結合してOktaユーザー名を生成する場合にこのオプションを選択します。たとえば、SAMアカウント名が jdoe で、ADドメインが mycompany.okta.comの場合、Oktaユーザー名は jdoe@mycompany.okta.comになります。
      • Custom — Oktaへのサインインにカスタムユーザー名を使用する場合にこのオプションを選択します。Okta式言語を入力して、Okta ユーザー名形式を定義します。マッピング式を検証するために、ユーザー名を入力して表示アイコンをクリックします。

    注: ユーザー名が組織の単一のユーザーにマッピングされている場合、そのOktaユーザーはユーザー名のエイリアス部分を入力してサインインできます。たとえば、 jdoe@mycompany.okta.comjdoeを使用してサインインできます。

    • JIT Provisioning[Create and update users on login(ログイン時にユーザーを作成および更新)]を選択して、ユーザーがAD委任認証で初めて認証するときにOktaユーザープロファイルを自動的に作成します。ADをソースとして使用するユーザープロファイルがOktaですでに存在する場合、ユーザーがサインインした時か、管理者がプロファイルを表示した時に既存のユーザープロファイルがアップデートされます。

    ユーザー が所属するセキュリティグループが選択したOUに所属している場合、そのグループもインポートされます。サインインするユーザーが指定されたOUに所属していない場合、そのサインインは失敗します。JITを有効化する場合、代理認証も有効化する必要があります。このオプションは、インポートのスケジュールをあり、またはなしにして使用できます。JITとADドメインのシナリオに関する詳細は、 Active Directoryの統合に関するよくある質問をご覧ください。

    注:「通常の」インポートとJITプロビジョニングの間で発生する可能性のある メンバーシップ の不整合があります。このメンバーシップの 異常 は、ネストされたグループを使用している場合に発生することがあります。通常のインポート時、AD、OU、LDAPオブジェクトフィルターのスコープ外の子グループは検出できません。親グループがOU/オブジェクトフィルターのスコープ内にあるが、その子グループがない場合、親グループのメンバーシップはインポート時に不適切に解決されます。JITプロビジョニングでは「フラットな」メンバーシップのみが検出されるため、これらのメンバーシップを親グループに適切に解決できます。

    • USG support[Universal Security Group Support(ユニバーサルセキュリティグループのサポート)]を選択して、ユーザーのグループメンバーシップのインポート 時にドメイン境界を無視します。この場合、関連する ドメインがOktaで接続されているとみなされます。また、Oktaと同期する USGオブジェクトを含む フォレスト内のすべてのドメインにADエージェントをデプロイする必要があります。接続された各 ドメインがそのグループをインポートします。ユーザーのグループメンバーシップが、フォレスト内の接続されたドメインからインポートされたグループと一致する場合、Oktaはそのユーザーのメンバーシップを各グループで同期します。 接続されたドメインのグループのみがインポートされます。この設定は、をまず選択してからでないと選択できません。

    • Do not import users[Skip users during import(インポート時にユーザーをスキップする)]を選択すると、ディレクトリから新しいユーザーをインポートすることなく、ユーザープロファイルとグループの同期を保つことができます。インポート機能を使用してグループを同期させたいが、 ジャストインタイム(JIT)プロビジョニングを使用して新しいOktaユーザーを作成したい場合に、このオプションを使用します。

    • [Skip users during import(インポート時にユーザーをスキップする)]が選択されている場合、グループはインポートされますが、ユーザーのインポートが完了するまでグループメンバーシップはアップデートされません。

    • Activation emails — このオプションを選択すると、OktaがアクティベーションEメールを新しいユーザーに送信できなくなります。管理者のみがユーザーをアクティベートできます。

      プレビュー環境で初回のAD統合と構成を行っている間は、アクティベーションEメールを送信しないように選択することを推奨します。これで、エンドユーザーがOktaへの登録と使用を行えるようになる前に、アクティベーションEメールが送信されることを回避できます。

  1. [保存]をクリックします。

  2. [User Creation & Matching(ユーザー作成と一致)]セクションで、[Edit(編集)]をクリックして、インポートされたユーザーが既存のOktaユーザーと一致するものとして識別されるための条件を選択します。

    一致ルールは、インポートを許可するすべてのアプリとディレクトリからのユーザーのインポートで使用されます。既存のOktaアカウントがある場合は、ADを使用してユーザーを自動的にインポートして確定できます。Active Directory、OPP、およびすべてのプロビジョニング対応アプリは、Oktaへのユーザーの自動インポートと確定をサポートしています。 一致基準(ルール)を確立することで 、インポートされたユーザーをどのように既存のOktaユーザーにマッピングするかを指定できます。一致のルールを明確に定義することで、同じユーザーの複数のインスタンスが作成されることを回避 できます。

    注:この機能はCSVでインポートされたユーザーリストに適用されません。

    • Imported user is an exact match to an Okta user if: — 次のオプションからいずれかを選択します:
      • Okta username format matches
      • Email matches
      • The following required attributes match — オプションのリストから選択して基準を確立します。新しくインポートしたユーザーが完全一致とみなされるためには、選択した各オプションがtrueになる必要があります。
      • The following attributes match — オプションのリストから選択して基準を確立します。新しくインポートしたユーザーが完全一致とみなされるためには、選択した各オプションがtrueになる必要があります。
    • Allow partial matches — このオプションを選択すると、インポートされたユーザーの姓と名が既存のOktaユーザーと一致するが、ユーザー名やメールアドレスが一致しない場合に一致とみなされます。
    • Confirm matched usersAuto-confirm exact matchesまたはAuto-confirm partial matchesを選択して、完全一致または部分一致を自動的に確定します。オプションが選択されない場合、一致ステータスが確立され、ユーザーが[People(ユーザー)]ページ([Directory(ディレクトリ)]>[People(ユーザー)])でアクティベートされた際に、一致が手動で確定されます。
    • Confirm new usersAuto-confirm new usersまたはAuto-activate new usersを選択して、一致基準が満たされた場合に新しいユーザーを自動的に確定またはアクティベートします。オプションが選択されない場合、[People(ユーザー)]ページ([Directory(ディレクトリ)] > [People(ユーザー)])で新しいユーザーが手動で確定またはアクティベートされます。
  1. [保存]をクリックします。

  2. [Profile & Lifecycle Sourcing(プロファイルとライフサイクルソーシング)]の設定を定義するために、[Edit(編集)]をクリックして次の設定を行います:
    • Allow Active Directory to source Okta users — このオプションはデフォルトで有効化されます。プロファイルソーシングにより、Active Directoryが接続されたユーザーのアイデンティティオーソリティになります。有効化すると、Oktaでユーザープロファイルが編集不可能になり、プロビジョニングイベント時に変更がOktaに同期されるようになります。このオプションを無効化して、Active Directoryを通常のアプリケーションとして取り扱うこともできます。この機能を無効にすると、Active Directoryで実行するユーザー アップデートはOktaのユーザープロファイルに プッシュバックされなくなります。 たとえば、Active Directoryでユーザーの名前を変更しても、その変更はOktaユーザーに反映されません。プロファイルソースとしてのActive Directoryを無効化しても、ユーザーの資格情報は引き続きActive Directoryで管理されるため、ユーザーのActive DirectoryパスワードをOktaでリセットできなくなります。ただし、代理認証を無効化し(こちらをご覧ください) 、[Sync Password(パスワードの同期)]オプションを有効化することで、パスワードをActive Directoryに プッシュできます。つまり、ユーザーは委任されたOktaパスワードを持つものの、以降のパスワードアップデートはActive Directoryにプッシュされます。
    • When a user is deactivated in the app — ユーザーのアカウントがOktaでディアクティベートされた場合にOktaが実行するアクションを指定します。
      • Do nothing — アクションは実行されません。
      • Deactivate — Oktaで割り当てが解除された場合、またはOktaアカウントがディアクティベートされた場合に、ユーザーのLDAPアカウントをディアクティベートします。Oktaでアプリが再度ユーザーに割り当てられた場合、アカウントを再アクティベートできます。
      • Suspend — Oktaで割り当てが解除された場合、またはOktaアカウントがディアクティベートされた場合に、ユーザーのLDAPアカウントを一時停止します。Oktaでアプリが再度ユーザーに割り当てられた場合、アカウントを再アクティベートできます。

    • When a user is reactivated in the app:ユーザーのアカウントがOktaで再アクティベートされ場合にOktaが実行するアクションを指定します。
      • Reactivate suspended Okta users — 一時停止されたOktaユーザーを、そのユーザーがLDAPで再アクティベートされた場合に再アクティベートします。
      • Reactivate deactivated Okta users — ディアクティベートされたOktaユーザーを、そのユーザーがLDAPで再アクティベートされた場合に再アクティベートします。

  3. [保存]をクリックします。
  4. オプションです。[Import Safeguard(インポートセーフガード)]設定を定義する場合は、[Edit(編集)]をクリックして以下を行います:
    • App unassignment safeguard[Enabled(有効)]を選択してインポートセーフガードを有効化するか、[Disabled(無効)]を選択してインポートセーフガードを無効化します。
    • is the threshold for unassignments from any app — 許容できるアプリや組織の未割り当ての割合を入力するか、[Set to default(デフォルトに設定)]を選択して割合をデフォルト値に設定します。
    • Org-wide unassignment safeguard[Enabled(有効)]を選択してインポートセーフガードを組織全体で有効にするか、[Disabled(無効)]を選択してインポートセーフガードを組織全体で無効にします。

    • is the threshold for unassignments across the org — 組織で許容できるアプリや組織の未割り当ての割合を入力するか、[Set to default(デフォルトに設定)]を選択して組織での割合をデフォルト値に設定します。

  5. [保存]をクリックします。

次のステップ

Active Directoryのプロビジョニング設定を構成する