OktaをLDAP プロビジョニング設定に構成する

Okta LDAP Agentをインストールして構成したら、組織のニーズの変化に応じ次の手順を使用してOktaをLDAPプロビジョニング設定に更新できます。OktaからLDAP へのプロビジョニング設定では、OktaでLDAPインスタンス上のユーザー・データを共有および更新する方法を定義します。

  1. 管理コンソールで、[ディレクトリー] > に移動します [ディレクトリー統合]
  2. ディレクトリーのリストからLDAPエージェントを選択します。
  3. [プロビジョニング]タブをクリックし、[設定]リストで[アプリへ]を選択します。
  4. [編集]をクリックして、以下の設定を行います。
    • [ユーザーを作成][有効]を選択し、LDAPが割り当てられているOkta内のグループのメンバーに対しLDAPのユーザーを作成またはリンクを設定します。LDAPが最高の優先度のプロファイル・ソースの場合、Oktaユーザー・プロファイルはLDAPのユーザー・プロファイルに対して実行された変更に基づき、自動的に更新されます。
    • [アクティベーション・メールの受信者] :新しいLDAPアカウント認証情報が送信されるメール・アドレスを入力します。受信者は、認証情報を適切なユーザーに配布する責任があります。
    • [RDN属性名] :ユーザー相対識別名に使用される属性タイプを選択します(ユーザー識別名の一番左の部分)。属性値は[プロファイル・エディター]ページでカスタマイズできます。

      RDN属性をUIDに設定する場合、属性をOkta userName属性にマッピングする必要があります。選択する属性タイプは、このLDAPインスタンスのプロファイル・エディターで、プロビジョニングと同じ方向に正しくマッピングされる必要があります。

    • [ユーザー属性を更新][有効]を選択すると、アプリの割り当て時にOktaがLDAPでユーザー属性を更新できるようになります。その後Oktaユーザー・プロファイルの属性が変更されると、LDAPで対応する属性値が自動的に上書きされます。
    • [ユーザーの非アクティブ化] :ユーザーがOktaで割り当て解除された場合、またはOktaのアカウントが非アクティブ化されている場合に、ユーザーのLDAPアカウントを非アクティブ化するには、[有効]を選択します。Oktaでアプリがユーザーに再割り当てされたときに、アカウントを再アクティブ化できます。
    • [パスワードを同期] : 各ユーザーの LDAPパスワードをOktaパスワードと 同期するには、[有効]を選択します。その後ユーザーのOktaパスワードを変更すると、オンプレミスのLDAPサーバーにプッシュされます。このオプションを有効にするには、委任認証を無効にする必要があります。Active Directory(AD)とLDAPの両方を使用している組織は、ADからOktaを経由してLDAPにユーザー・パスワードを同期できるようになりました。
  5. [保存]をクリックします。
  6. 任意: [属性マッピング]セクションでLDAP属性をOkta属性にマッピングします。表にリストされている属性はLDAP属性です。これらのマッピングを編集するには、編集アイコンをクリックします。プロファイルと属性を操作するを参照してください。