Active Directoryのプロビジョニング設定を構成する

Okta AD Agentのインストール時に、またはビジネスのニーズの変化に応じて、ユーザー・データを管理および更新する方法を定義します。

  1. 管理コンソールで、[ディレクトリー] > に移動します [ディレクトリー統合]
  2. [Active Directory]をクリックし、[プロビジョニング]タブをクリックします。
  3. [設定] リストの[アプリへ]をクリックし、[アプリにプロビジョニング]セクションの[編集]をクリックします。
  4. [ユーザーを作成][有効化]チェック・ボックスをクリックします。

[ユーザーを作成]を有効化すると、OktaでActive Directory(AD)にユーザーを作成できます。これにより、たとえば、HRシステムからユーザーをインポートし、Oktaでユーザーを作成して、OktaでADにユーザーを作成することができます。HRシステムがソースであり、OktaとADはHRソースの変更に基づいて更新されます。また、別のユース・ケースでは、Oktaをすべてのユーザー情報の信頼できる情報源とし、その更新内容をADにプッシュすることもできます。

この機能を実装するには、まずOktaでグループを作成し、そのグループをADインスタンスに割り当てる必要があります。ユーザーがグループに追加されると、そのユーザーがADにも作成されます。一般的なシナリオでは、このようなフローでグループ・ルールを使用して、ユーザーをADプロビジョニング・グループに自動的に追加します。

  1. [アクティベーション・メールの受信者]フィールドに、Oktaユーザーのパスワードとともにアクティベーション・メールを受信するOkta管理者のメール・アドレスを入力します。管理者は、エンド・ユーザーにOktaパスワードを提供する責任があります。
  2. [ADユーザー名のフォーマット]リストで、ADユーザー名のフォーマットを選択します。
    • [カスタム] — カスタムADユーザー名を使用するには、このオプションを選択します。Okta式言語を入力して、ユーザー名のフォーマットの定義をマッピングします。 式のマッピングを検証するには、ユーザー名を入力し、[表示]アイコンをクリックします。式を使用して属性を変更するを参照してください。
    • [メール] — ADユーザー名にメール・アドレスを使用するには、このオプションを選択します。
    • [メールのプレフィックス] — ADユーザー名にメールのプレフィックスを使用するには、このオプションを選択します。
    • [Oktaユーザー名から] — Oktaを使用してOktaユーザー名からADユーザー名を生成するには、このオプションを選択します。
    • [LDAP UID + カスタム・サフィックス] — ADユーザー名としてLDAPユーザーIDとカスタム・サフィックスを使用するには、このオプションを選択します。
    • [Oktaユーザー名] — ADユーザー名としてOktaユーザー名を使用するには、このオプションを選択します。
    • [Oktaユーザー名のプレフィックス] — ADユーザー名としてOktaユーザー名のプレフィックスを使用するには、このオプションを選択します。
  1. [ユーザー属性を更新][有効化]をクリックすると、アプリの割り当て時にADでユーザーの属性が更新されます。その後Oktaユーザー・プロファイルの属性が変更されると、ADの対応する属性値が自動的に上書きされます。Oktaソースのユーザーの組織単位の更新を有効化するを参照してください。
  2. [ユーザーをADにプロビジョニングするグループが変更されたときにOUを更新]チェック・ボックスを選択すると、ユーザーをADにプロビジョニングするグループが変更されたときに、Oktaソースのユーザーの組織単位(OU)が更新されます。

    OktaソースのユーザーのOUがADで変更された場合、その変更はOktaに反映されません(Oktaがそのユーザーのソースであるため)。ユーザーが次回Oktaで更新されるとき、Oktaで設定されたOUにプロビジョニングされます。

    警告:プロファイル・プッシュが有効な場合、OktaはADのCN属性を更新します。プロファイル・エディターのcnプロパティーにマッピングが定義されている場合は、そのマッピングが適用されます。マッピングがない場合、またはCNマッピングの動作が[マッピングしない]に設定されている場合、CNは名 + " " + 姓に設定されます。

  3. [ユーザーの非アクティブ化]の横にある[有効化]をクリックすると、Oktaで割り当てが解除された場合、またはOktaアカウントが非アクティブ化された場合に、ユーザーのADアカウントが非アクティブ化されます。

  4. [パスワードを同期]の横にある[有効化]をクリックして、ユーザーのADパスワードをOktaパスワードと同じにします。

  5. [保存]をクリックします。
  6. 任意:[属性マッピング]セクションでActive Directory属性をOkta属性にマッピングします。表にリストされている属性はActive Directory属性です。これらのマッピングを編集するには、編集アイコンをクリックします。プロファイルと属性を操作するを参照してください。