Active Directoryのインポートとアカウントの設定を構成する

Okta ADエージェントのインストール時に、またはビジネスのニーズの変化に応じて、ユーザーデータをいつどのようにインポートするかを定義します。ユーザー名の形式の定義は、このプロセスの重要な要素です。ユーザー名は、Active Directory(AD)のユーザーをOktaに関連付けるために使用されます。ユーザーのOktaへのサインイン方法に影響するため、正しいユーザー名の形式を選択することが重要になります。

デフォルトでは、Oktaは委任認証時にOktaユーザープロファイルのユーザー名を使用します。たとえば、ADアプリユーザーのユーザー名がsamAccountNameで、Oktaユーザープロファイルのユーザー名(ログインフィールド)がUPNの場合、OktaではUPNを使用してユーザーをサインインさせます。

ADドメインの機能レベルが2003の場合、ADユーザー名には、domain.name(domain.name)形式が含まれるUPNを含める必要があります。

  1. Admin Consoleで、[Directory(ディレクトリ)][Directory Integrations(ディレクトリ統合)]の順に進みます。
  2. [Active Directory(Active Directory)]をクリックし、[Provisioning(プロビジョニング)]タブをクリックします。
  3. [Settings(設定)]リストの[Integration(統合)]をクリックし、[Import Settings(インポート設定)]エリアの以下のフィールドを入力します。
    • [User OUs connected to Okta(Oktaに接続されているユーザーのOU)]:ユーザーのインポートに使用する組織単位(OU)を追加または削除します。

      • 早期アクセスリリース

    • [User Filter(ユーザーフィルター)]:指定した条件に一致するユーザーを選択的にインポートするクエリ構文を作成します。デフォルトはsAMAccountType=805306368です。

    デフォルトのフィルタークエリを変更すると、ユーザーがデプロビジョニングされる可能性があります。意図しない結果を回避するために、ディレクトリ環境でこのフィルターをテストして、結果が予想と一致することを確認しておくよう強くお勧めします。

    • [Group OUs connected to Okta(Oktaに接続されているグループのOU)]:グループのインポートに使用するOUを追加または削除します。

      • 早期アクセスリリース

    • [Group Filter(グループフィルター)]:指定した条件に一致するグループを選択的にインポートするクエリ構文を作成します。デフォルトはobjectCategory=groupです。

      デフォルトのフィルタークエリを変更すると、グループがデプロビジョニングされる可能性があります。意図しない結果を回避するために、ディレクトリ環境でこのフィルターをテストして、結果が予想と一致することを確認しておくよう強くお勧めします。

      memberOfなどのバックリンクされた属性は計算された属性であり、ADデータベースには保存されません。その結果、ユーザーオブジェクトへの変更はOktaには表示されず、変更時にインポート操作は実行されません。Oktaでは、特に属性の変更の結果としてダウンストリームのシステムで変更が必要な場合は、計算された属性をマッピングされた属性として使用しないことをお勧めします。計算された属性をマッピングされた属性として使用すると、オンプレミスのActive DirectoryインスタンスとOkta Universal Directoryの間でデータの一貫性が失われる可能性があります。詳細については、https://msdn.microsoft.com/ja-jp/library/cc223384.aspxを参照してください。

  4. [Save(保存)]をクリックします。

  5. 任意。ユーザーがOktaにサインインするときにADでユーザーを認証する場合は、[Delegated Authentication(委任認証)]セクションで[Enable delegated authentication to Active Directory(Active Directoryへの委任認証を有効にする)]を選択します。
  6. [Save(保存)]をクリックします。
  7. [Settings(設定)]リストの[To Okta(Oktaへ)]をクリックし、[Edit(編集)]をクリックして、[General(一般)]エリアの以下のフィールドを入力します。
    • [Schedule Import(インポートのスケジュールを設定)]:ADからOktaにユーザーをインポートする頻度を選択します。

    インポートが成功すると、特定の条件下で、指定された管理者にOktaが自動的にメールを送信します。メールには、インポート中にスキャン、追加、更新、または削除されたユーザーとグループの数が記載されています。Oktaは、スキャンで新規ユーザーまたは新規グループが検出された場合、あるいは既存のユーザープロファイルまたはグループメンバーシップの変更が検出された場合にのみメールを送信します。

    • [Okta username format(Oktaユーザー名の形式)]:選択するユーザー名の形式は、ユーザーを最初にインポートしたときに使用した形式と一致する必要があります。この値を変更すると、既存のユーザーでエラーが発生する可能性があります。次のいずれかのオプションを選択してください。

      • [User Principal Name (UPN)(ユーザープリンシパル名(UPN))]:ADのUPNを使用してOktaユーザー名を作成するには、このオプションを選択します。
      • [Email address(メールアドレス)]Oktaユーザー名にメールアドレスを使用するには、このオプションを選択します。
      • [SAM Account name(SAMアカウント名)]:このオプションを選択すると、[SAM Account name(SAMアカウント名)]とADドメインを組み合わせたOktaユーザー名が生成されます。たとえば、SAMアカウント名がjdoe(jdoe)で、ADドメインがmycompany.okta.com(mycompany.okta.com)の場合、Oktaユーザー名はjdoe@mycompany.okta.com(jdoe@mycompany.okta.com)になります。
      • [Custom(カスタム)]:カスタムユーザー名を使用してOktaにサインインするには、このオプションを選択します。Okta Expression Languageを入力して、Oktaユーザー名の形式を定義します。式のマッピングを検証するには、ユーザー名を入力し、[View(表示)]をクリックします。

    注:Oktaユーザーは、ユーザー名のエイリアス部分を入力してサインインできます。ただし、org内にそのエイリアス部分を使用しているユーザーが他にいないことが条件になります。たとえば、jdoe@mycompany.okta.com(jdoe@mycompany.okta.com)jdoe(jdoe)を使用してサインインできます。

    • [JITProvisioning(JITプロビジョニング)][Create and update users on login(ログイン時にユーザーを作成・更新)]を選択すると、ユーザーがAD委任認証で初めて認証されるときに自動的にOktaユーザープロファイルが作成されます。ADソースのユーザープロファイルがOktaに存在する場合、既存のユーザープロファイルは、ユーザーがサインインするとき、または管理者がプロファイルを表示するときに更新されます。

    ユーザーが属するセキュリティグループも、選択したOUに属する場合はインポートされます。サインインするユーザーが、選択したOUに属していない場合、サインインは失敗します。JITを有効にする場合は、委任認証も有効にする必要があります。このオプションは、スケジュールされたインポートの有無にかかわらず使用できます。JITおよびADドメインのシナリオの詳細については、「Active Directoryの統合に関するよくある質問」を参照してください。

    「通常の」インポートとJITプロビジョニングの間で、メンバーシップの不整合が発生する可能性があります。このようなメンバーシップの異常は、ネストされたグループを使用する場合に発生する可能性があります。通常のインポート中は、AD OUまたはLDAPオブジェクトフィルターのスコープ外の子グループを検出できません。親グループがOU/オブジェクトフィルターのスコープ内にあり、その子グループがスコープ内にない場合、インポート中に親グループのメンバーシップが誤って解決されます。JITプロビジョニングの関数は「フラットな」メンバーシップのみを検出するため、JITプロビジョニングでは、このようなメンバーシップは親グループに正しく解決されます。

    • [USG support(USGのサポート)][Universal Security Group Support(ユニバーサルセキュリティグループのサポート)]を選択すると、ユーザーのグループメンバーシップをインポートするときにドメインの境界が無視されます。これは、関連するドメインがOktaで接続されていることを前提としています。また、Oktaと同期するUSGオブジェクトを含む、フォレスト内のすべてのドメインにADエージェントをデプロイする必要があります。これで、接続されている各ドメインが、そのグループをインポートするようになります。ユーザーのグループメンバーシップが(フォレスト内の接続されたドメインから)インポートされたグループと一致すると、Oktaは、そのユーザーのメンバーシップを各グループに同期します。接続されているドメインのグループのみインポートされます。この設定は、[Update users on sign-in(サインイン時にユーザーを更新する)]を最初に選択しない限り選択できません。

    • [Do not import users(ユーザーをインポートしない)][Skip users during import(インポート中にユーザーをスキップ)]を選択すると、ディレクトリから新しいユーザーをインポートせずにユーザープロファイルとグループの同期を維持できます。インポート機能を使用してグループを同期したい一方で、Just In Time(JIT)プロビジョニングを使用して新しいOktaユーザーを作成したい場合は、このオプションを使用します。

      • [Skip users during import(インポート中にユーザーをスキップ)]が選択されている場合、グループはインポートされますが、グループメンバーシップは、ユーザーのインポートが完了するまで更新されません。

      [Skip users during import(インポート中にユーザーをスキップ)]を選択すると、すべてのインポートはフルインポートで実行されます。

    • [Activation emails(アクティベーションメール)]Oktaがアクティベーションメールを新規ユーザーに送信しないようにするには、このオプションを選択します。管理者は、ユーザーをアクティブ化することができます。

      プレビュー環境でADの初期統合および初期構成をおこなっているときは、アクティベーションメールを送信しないように選択することをお勧めします。これにより、エンドユーザーがOktaへの登録および使用を開始できるように準備が整う前に、エンドユーザーがアクティベーションメールを受信するのを防ぐことができます。

  1. [Save(保存)]をクリックします。

  2. [User Creation & Matching(ユーザーの作成・照合)]セクションで[Edit(編集)]をクリックし、インポートしたユーザーが、既存のOktaユーザーと一致すると判断されるための条件を選択します。

    一致ルールは、インポートを許可するすべてのアプリおよびディレクトリからのユーザーのインポートで使用されます。既存のOktaアカウントがある場合、ADではユーザーを自動的にインポートして確認することができます。AD、OPP、およびすべてのプロビジョニング対応アプリは、Oktaへのユーザーの自動インポートおよび自動確認をサポートしています。一致基準(またはルール)を確立することで、インポートしたユーザーを既存のOktaユーザーにマッピングする方法を指定できるようになります。一致ルールを明確に定義しておけば、同じユーザーに対して複数のインスタンスが作成されるのを防ぐ上で役立ちます。

    注:この機能は、CSVでインポートされたユーザーリストには適用されません。

    • [Imported user is an exact match to an Okta user if(インポートされたユーザーは、次の場合にOktaユーザーに完全一致します)]:次のいずれかのオプションを選択します。
      • [Okta username format matches(Oktaユーザー名の形式の一致)]
      • メールの一致
      • [The following required attributes match(次の必須属性が一致しています)]:オプションのリストから選択して基準を確立します。新しくインポートされたユーザーが完全一致と見なされるには、選択する各オプションがtrueである必要があります。
      • [The following attributes match(次の属性が一致しています)]:オプションのリストから選択して基準を確立します。新しくインポートされたユーザーが完全一致と見なされるには、選択する各オプションがtrueである必要があります。
    • [Allow partial matches(部分一致を許容)]:このオプションを選択すると、インポートされたユーザーの姓名が既存のOktaユーザーの姓名と一致するが、ユーザーのユーザー名またはメールアドレスが一致しない場合でも、その一致が許容されます。
    • [Confirm matched users(一致したユーザーを確認)][Auto-confirm exact matche(完全一致を自動確定)]または[Auto-confirm partial matches(部分一致を自動確認)]を選択すると、完全一致または部分一致が自動的に確認されます。オプションを選択しない場合は、一致ステータスが確立されて[People(ユーザー)]ページ([Directory(ディレクトリ)][People(ユーザー)])でユーザーがアクティブ化されたら、手動で一致を確認します。
    • [Confirm new users(新しいユーザーを確認)][Auto-confirm new users(新しいユーザーを自動確定)]または[Auto-activate new users(新しいユーザーを自動的にアクティブ化)]を選択し、一致基準を満たしたときに新規ユーザーが自動的に確認またはアクティブ化されるようにします。オプションを選択しない場合は、[People(ユーザー)]ページ([Directory(ディレクトリ)][People(ユーザー)])で新規ユーザーを手動で確認またはアクティブ化します。

  1. [Save(保存)]をクリックします。

  2. [Profile & Lifecycle Sourcing(プロファイルとライフサイクルのソーシング)]設定を定義するには、[Edit(編集)]をクリックして以下の設定を完了します。
    • [Active Directory to source Okta users(Active DirectoryがOktaユーザーを検索できるようにする)]:このオプションはデフォルトで有効になっています。プロファイルソーシングにより、ADは接続されたユーザーのID機関となります。有効にしている場合、Oktaでユーザープロファイルを編集できず、プロビジョニングイベント中に変更がOktaに同期されます。このオプションを無効にして、ADを通常のアプリケーションとして扱うことができます。この機能を無効にしても、ADで実行したユーザーの更新は、Oktaのユーザープロファイルにプッシュバックされません。たとえば、ADでユーザー名を変更しても、Oktaユーザーには影響しません。ただし、委任認証が有効になっている限り、ユーザーはセルフサービスによるパスワードリセットを使用してOktaでADパスワードをリセットできます。
    • [When a user is deactivated in the app(ユーザーがアプリで非アクティブ化されている場合)]:ユーザーのアカウントがOktaで非アクティブ化された場合に、Oktaで実行する必要のあるアクションを指定します。
      • [Do nothing(何もしない)]:いずれのアクションも実行しません。
      • [Deactivate(非アクティブ化)]:ユーザーがOktaで割り当て解除された場合、またはOktaのアカウントが非アクティブ化された場合に、ユーザーのLDAPアカウントを非アクティブ化します。Oktaでアプリがユーザーに再割り当てされたときに、アカウントを再アクティブ化できます。
      • [Suspend(一時停止)]:ユーザーがOktaで割り当て解除された場合、またはOktaのアカウントが非アクティブ化された場合に、ユーザーのLDAPアカウントを一時停止します。Oktaでアプリがユーザーに再割り当てされたときに、アカウントを再アクティブ化できます。

    • [When a user is reactivated in the app(ユーザーがアプリで再アクティブ化されている場合)]:ユーザーのアカウントがOktaで再アクティブ化されている場合は、Oktaで実行する必要のあるアクションを指定します。
      • [Reactivate suspended Okta users(一時停止しているOktaユーザーを再度有効にする)]:一時停止されていたOktaユーザーがLDAPで再度有効にされた場合に、再度有効にします。
      • [Reactivate deactivated Okta users(非アクティブ化されているOktaユーザーを再度有効にする)]:非アクティブ化されていたOktaユーザーがLDAPで再度有効にされた場合に、再度有効にします。

  3. [Save(保存)]をクリックします。
  4. 任意。[Import Safeguard(インポートセーフガード)]設定を定義するには、[Edit(編集)]をクリックして以下を完了します。
    • [App unassignment safeguard(アプリの割り当て解除のセーフガード)][Enabled(有効)]を選択してインポートセーフガードを有効にするか、[Disabled(無効)]を選択してインポートセーフガードを無効にします。
    • [is the threshold for unassignments from any app(任意のアプリから未割り当てのしきい値にする)]:使用可能なアプリや未割り当てorgの割合を入力するか、[Set to default(デフォルトに設定)]を選択して割合をデフォルト値に設定します。

    • [Org-wide unassignment safeguard(org全体の割り当て解除のセーフガード)][Enabled(有効)]を選択してorg全体のインポートセーフガードを有効にするか、[Disabled(無効)]を選択してorg全体のインポートセーフガードを無効にします。

    • [is the threshold for unassignments across the org(orgで未割り当てのしきい値にする)]:orgに対して使用可能なアプリや未割り当てorgの割合を入力するか、[Set to default(デフォルトに設定)]を選択してorgの割合をデフォルト値に設定します。

  5. [Save(保存)]をクリックします。

次の手順

Active Directoryのプロビジョニング設定を構成する