カスタム属性の一意性の強制適用について
Oktaユーザープロファイルのカスタム属性(従業員ID番号など)に対して、属性の一意性を強制適用することができます。ユーザータイプごとに最大5つの一意の属性を宣言することができます。タイプごとに一意の属性が5つに制限されます。ユーザータイプごとに同じ属性セットを選択する必要はありません。たとえば、ユーザープロファイルAで宣言した5つの一意の属性は、ユーザープロファイルB、C、Dで宣言したものと一致している必要はありません。
一意の属性は、1つのネームスペースをorg内のすべてのユーザータイプで共有します。ユーザータイプAとBの両方に「アイスクリーム」という属性があり、両方のプロファイルで一意であると特定した場合、ユーザータイプAが「チョコレート」という値を持っていた場合、タイプAやBの他のユーザー(またはアイスクリームが一意であると宣言された他のユーザータイプ)はその値を持つことができません。異なるタイプの一意の属性間での重複を許容するためには、属性名がやや異なるように修正します。たとえば、「ice creamA (アイスクリームA)」と「ice creamB (アイスクリームB)」は別々に追跡されます。
一意ではない属性は、一意性が追跡されません。「candy」という属性がタイプEでは一意であり、タイプFでは一意ではない場合、タイプEのユーザーが「caramel」という属性の値を持っていた場合、タイプEの他のユーザーは「caramel」という属性の値を持つことはできませんが、タイプFのユーザーは何人でも「caramel」の値を持つことができます。「candy (キャンディ)」はEでは一意ですが、Fでは一意ではないので、タイプFのユーザーにおける属性の値は重要ではありません。
Oktaのユーザープロファイルのカスタム属性にのみ、一意性を強制適用することができます。Active DirectoryまたはLDAPからユーザーをインポートしているときに、一意性の要件に違反する1人または複数のユーザーをインポートしようとすると、それらのユーザーのインポートは失敗します。
一意性が制限されているユーザープロファイルのカスタム属性に重複した値を入力しようとすると、その値がすでに存在することを示すメッセージが表示されます。一意の値を入力するまで、変更を保存することはできません。
既存のカスタム属性を一意の値を必要とするものとしてマークすると、Okta Universal Directoryが既存の重複エントリがないことを確認するための検証チェックを行います。膨大なユーザー記録がある場合、検証に時間がかかることがあります。
検証が完了すると、Profile Editorページに以下を示すステータスメッセージが表示されます。
- チェックしたレコードの数
- 見つかった重複の数
- 推定残り時間
重複したレコードが見つかった場合、[Restriction(制限)]のチェックボックスは自動的にクリアされます。属性に一意性を適用する前に、重複する値を解決する必要があります。