LDAP統合の既知の問題

  • Oracle Internet Directory:Oracle Internet Directory(OID)11.1.1.7.0はテスト済みであり、Okta LDAP Agent v5.04.01以降でサポートされています。OktaでLDAPディレクトリを検索するときは、ページ形式の検索コントロールを利用して、結果がエージェントに返される方法を最適化します。OIDのページネーションの問題(Oracleバグ25287786)が原因で、Okta LDAP AgentはデフォルトのLDAPページサイズよりも多くのオブジェクトをクエリできません。Oracleが問題を解決するまでは、お客様はディレクトリ内のorclsizelimit属性の構成を評価して、スケーラビリティ、パフォーマンス、および相互運用性のバランスをとる必要があります。詳細については、『Oracle Internet Directory管理者ガイド』を参照してください。
  • [Incremental Import(増分インポート)] :増分インポートが機能するには、LDAPサーバーの各ユーザー、グループ、組織単位(OU)、またはコンテナーエントリーに正確なmodifyTimestamp値が必要です。この値を使用できない場合は、増分インポートを行わないでください。
  • [LDAP proxy server(LDAPプロキシサーバー)]:独自スキーマを備えるLDAPプロキシサーバーを介してOkta LDAP AgentをLDAPサーバーに接続すると、ユーザーデータのインポートに問題が生じる可能性があります。問題は、LDAPプロキシサーバーとLDAPサーバーのスキーマが異なる場合に生じます。データインポートの問題を回避するには、LDAPプロキシサーバーとLDAPサーバーのスキーマが同一であることを確認してください。LDAPサーバーに送信されるスキーマ検出リクエストが透過的であることを確認する方法もあります。
  • [SUSE Linux Enterprise Server]Okta LDAP AgentはSUSE Linux Enterprise Serverではサポートされていません。
  • [Self service account unlock(セルフサービスでのアカウントロック解除)]:ユーザーは、LDAPをソースとするロック済みアカウントをロック解除できません。ロック解除できるのは管理者のみです。
  • JITが有効なディレクトリ統合が多数ある場合、JITのパフォーマンスが低下する可能性があります。このとき、複数ディレクトリでのユーザーの検索時にJITリクエストがタイムアウトで失敗する場合があります。オンプレミスエージェントやオンプレミスディレクトリサーバー、Oktaサービスのパフォーマンスなど、JITのパフォーマンス低下につながる要因は複数あります。問題を解決できないときは、Oktaヘルプセンターにアクセスしてください。
  • [Active Directory LDS]:DNの一部としてCNを使用するようにディレクトリが構成されている場合、ユーザーのgivenNameまたはSNの更新によってエラーが生じる場合があります。LDAPエージェントのログには次のエラーが記録されます:Error during ModifyRequest. ResultCode=67 (not allowed on RDN) exception=com.unboundid.ldap.sdk.LDAPException: 000020B1: UpdErr: DSID-030F113B, problem 6004 (CANT_ON_RDN), data 0.