LDAP統合設定の変更

Okta LDAP Agentをインストールして構成したら、組織のニーズの変化に応じ次の手順を使用して既存の統合設定を更新できます。

  1. 管理コンソールで、[ディレクトリー] > に移動します [ディレクトリー統合]
  2. ディレクトリーのリストからLDAPエージェントを選択します。
  3. [プロビジョニング]タブをクリックし、[設定]リストで[統合]を選択します。
  4. [バージョン]リストで、ディレクトリー・ベンダーを選択します。ベンダー固有の構成テンプレートが提供され、構成設定が事前に入力されます。LDAPベンダーがリストにない場合は、構成フィールドに手動で入力してください。LDAP環境はそれぞれ一意であるため、Apache Directory StudioのようなLDAPブラウザーを使用してデフォルト値を確認する必要があります。すべての構成設定に値を指定する必要はありません。「サポートされるLDAPディレクトリ・サービスを構成する」を参照してください。
  5. [構成]セクションで、以下の入力を行います。
    • 一意の識別子属性:インポートされるすべてのLDAPオブジェクト(ユーザーおよびグループ)の、 一意の不変属性を入力します。Okta組織にインポートできるのは、この属性を持つオブジェクトのみです。 Oktaでは、選択したLDAPバージョンに基づいて、このフィールドが自動的に入力されます。自動入力される値は初期設定時に変更できます。LDAPサーバーでRFC 4530が実施されている場合、このフィールドには必ず entryuuid と入力してください。 AD LDSの場合は、 objectguidを使用します。
    • DN属性識別名値を含む、すべてのLDAPオブジェクトの属性を入力します。
  6. [ユーザー]セクションで、以下の入力を行います。
    • [ユーザー検索ベース]:ユーザー検索にコンテナーのDN(ユーザー・サブツリーのルート)を入力します。 これは、Okta組織にインポートされるすべてのユーザーを保持するコンテナーのベースDNです。例:cn=Users、dc=example、dc=com
    • [ユーザー・オブジェクト・クラス]:Oktaがユーザーのインポート時に クエリー で使用する、ユーザーのobjectClassを入力します。例: inetorgperson、posixaccount、posixuser
    • [補助オブジェクト・クラス]:補助objectClassesのコンマ区切りリストを入力します。Oktaでは、ユーザーをインポートする際に、 クエリー でこれらを使用します。例:auxClass1, auxClass2
    • [ユーザー・オブジェクト・ フィルター]:デフォルトでは、Oktaで このフィールドにobjectClassobjectClass=<entered objectClass name>)が自動入力されます。これは有効なLDAP フィルターである必要があります。

      標準的なLDAP検索フィルター表記(RFC 2254)を使用します。例:

      (&(givenName=Bab*)(|(sn=Jensen)(cn=Babs J*)))

      グループ・オブジェクトにも同じフィルター機能があります。

    • [アカウントで無効になっている属性]:Oktaのユーザーのアカウントが無効かどうかを示すユーザー属性を入力します。この属性が [アカウントで無効になっている属性]フィールドで指定された値と等しい場合は、 ユーザー・アカウントが非アクティブ化されます。
    • [アカウントで無効になっている値]:アカウントがロックされていることを示す値を入力します(例:TRUE)。
    • [アカウントで有効になっている値]:アカウントがロック解除されていることを示す値を入力します(例:TRUE)。
    • [パスワード属性]:ユーザーのパスワード属性を入力します。
    • [パスワード有効期限切れ属性]:LDAPディレクトリーが異なれば、パスワードとパスワードの有効期限の属性名も異なります。事前入力されたいずれかのディレクトリーを選択すると、Oktaによって正しいデフォルト値が自動的に入力されます。ディレクトリーがサポート対象リストにない場合は、LDAPサーバーのドキュメントまたは構成を参照し、その値をパスワードの有効期限に使用します。この属性は通常はブール値ですが、お使いのLDAPサーバーによって異なる場合があります。
  7. [追加のユーザー属性]セクションで、LDAPからインポートする追加属性を最大4つ指定できます。
  8. [グループ]セクションで、以下のフィールドに入力します。
    • [グループ検索ベース] :Okta組織にインポートされるすべてのグループを保持するグループ検索(グループ・サブツリーのルート)について、コンテナーのDNを入力します。例:ou=groups、dc=example, dc=com
    • [グループ・ オブジェクト・クラス] :グループのインポート時にOktaが クエリー で使用するグループのobjectClassを入力します。例: groupofnamesgroupofuniquenamesposixgroup
    • [グループ・ オブジェクト・ フィルター] : デフォルトでは、Oktaで このフィールドにグループの objectClass が自動入力されます(objectClass=<entered objectClass name>)。
    • [メンバー属性] :すべてのメンバーDNを含む属性を入力します。
    • [ユーザー属性] :Oktaはグループ・オブジェクトのメンバー属性を使用して、実行時にユーザーのグループ・メンバーシップを決定します。グループ・オブジェクトとグループ・フィルターが明示的にposixGroupおよび(objectclass=posixGroup)でない限り、[ユーザー属性]フィールドは空のままにします。posixGroupを使用している場合は、メンバー属性値をmemberUIDに構成し、ユーザー属性値をuidに構成することをお勧めします。

      例1

      指定したグループ・オブジェクトとグループ・フィルターが posixGroup の場合、

      [ユーザー属性] フィールドに memberUid と入力します。

      例2

      指定したグループ・オブジェクトおよびグループ・フィルターがposixGroup以外の場合、

      [ユーザー属性] フィールドは空白のままにします。

  1. [ロール]セクションで、以下のフィールドに入力します。
    • [オブジェクト・クラス] : ロールのobjectClass。
    • [メンバーシップ属性] : ロールのメンバーシップを示す(ロールDNを含む)ユーザー・オブジェクトの属性。
  1. 構成設定を検証します。
    1. [ユーザー名の例]フィールドに ユーザー名を入力します。

      ユーザーのユーザー名を、指定した ユーザー名の形式で入力します。入力するユーザー名はLDAPディレクトリー内の単一ユーザーを一意に識別するため、Oktaが実行するクエリーでは指定された ユーザーと、ユーザーに関する以下の詳細のみを取得します。返されたすべての詳細が正しいことを検証します。

      • ステータス
      • UID
      • 一意のID
      • 識別名
      • フル・ネーム
      • メール
      • グループ: このユーザーがメンバーであるグループ検索ベース内で指定されたグループ・オブジェクト・クラスのすべてのグループ。予期された グループがここにリストされていない場合、 グループのインポートが後で失敗する可能性があります。
    1. [構成をテスト]をクリックします。

      構成の設定が有効な場合は、返されたユーザー・オブジェクトに関する情報とともに、「検証に成功しました。」 というメッセージが表示されます。 構成に問題がある場合、またはユーザーが見つからない場合は、 設定を確認するよう求めるメッセージが表示されます。