LDAPをOktaプロビジョニング設定に構成する
Okta LDAP Agentをインストールして構成したら、orgのニーズの変化に応じ次の手順を使用してLDAPをOktaプロビジョニング設定に更新できます。LDAPからOktaプロビジョニング設定への更新では、LDAPユーザーデータをOktaと共有および管理する方法を定義します。
- Admin Consoleで、 の順に進みます。
- ディレクトリのリストからLDAPエージェントを選択します。
- [Provisioning(プロビジョニング)]タブをクリックし、[Settings(設定)]リストで[To Okta(Oktaへ)]を選択します。
- [Edit(編集)]をクリックし、以下の設定を行います。
- [Schedule import(インポートのスケジュールを設定)]:ユーザーをLDAPからOktaへインポートする頻度を選択します。
- [Okta username format(Oktaユーザー名の形式)]:ユーザー名の形式を指定します。LDAPからユーザーをインポートする場合は、Oktaでこの属性を使用してOktaユーザー名を生成します。LDAPのセットアップ中に[Import Settings(設定のインポート)]にアクセスすると、ユーザー名の形式は構成のテスト時に選択したオプションと一致するため、変更する必要はありません。後でこのページにアクセスし、必要に応じて別のオプションを選択することもできます。ユーザー名はメール形式にする必要があるため、選択したオプションがご使用の環境に適していることを確認してください。
カスタム式を使用してインポートされたユーザーのユーザー名を作成できますが、ジャストインタイム(JIT)プロビジョニングの実行中にLDAPでアカウントを検索するために使用される検索クエリが決定される場合、カスタム式は考慮されません。[Oktaユーザー名の形式]フィールドを[Custom(カスタム)]に設定し、JITプロビジョニングを有効にしてもLDAPユーザーアカウントが存在しない場合、LDAPディレクトリでは、Oktaへのサインインに使用するユーザー名に一致する一意の識別子(uid)またはメール(mail)属性が検索されます。
- [Update application user name on(アプリケーションユーザー名の更新)]:この設定は変更できません。
[JIT Provisioning(JITプロビジョニング)]:ユーザーのサインイン時にジャストインタイム(JIT)の更新とJITの作成を有効にする場合に選択します。[Create and update users on login(ログイン時にユーザーを作成・更新)]を選択すると、ユーザーがLDAP委任認証で初めて認証されるときにOktaユーザーアカウントが自動的に作成されます。LDAPソースのユーザープロファイルがOktaにすでに存在する場合、既存のユーザープロファイルは、ユーザーがサインインするとき、または管理者がプロファイルを表示するときに更新されます。
- [Activation emails(アクティベーションメール)]:新規ユーザーのアクティベーションメールを送信しない場合に選択します。
- [Incremental import(増分インポート)]:最後のインポート後に作成また更新されたユーザーのみインポートする場合に選択します。一致ルールでは、これらのユーザーのみが評価されます。これは、スケジュールされたインポートで実行されるインポートの種類です。
- [Maximum clock skew(最大クロックスキュー)]:増分インポートは、modifyTimestamp属性に依存してLDAPエントリーがインポートされているかどうかを判断します。ただし、一部のオンプレミスLDAPサーバーのシステムクロックが逆戻りして、一部の更新が失われる可能性があります。更新を見逃さないようにするには、クロック誤差をサーバーのクロックドリフトが可能な限り最大となる値に設定します。増分インポートのパフォーマンスを改善するには、LDAPサーバーでmodifyTimestamp属性のインデックスを作成する必要があります。
JITを有効にする場合は、委任認証を有効にする必要があります。JITプロビジョニングは、スケジュールされたインポートの有無にかかわらず使用できます。
- [Save(保存)]をクリックします。
- [User Creation & Matching(ユーザーの作成・照合)]設定を定義するには、[Edit(編集)]をクリックして以下の設定を完了します。
[Imported user is an exact match to Okta user if:(インポートされたユーザーは、次の場合にOktaユーザーに完全一致します:)]インポートを許可するすべてのアプリおよびディレクトリからのユーザーのインポートで一致ルールが使用される場合。一致基準を確立することで、インポートしたユーザーを新規ユーザーとして定義する方法や、既存のOktaユーザーにマッピングする方法を指定できます。
インポートしたユーザーが既存のOktaユーザーと完全に一致するかどうかを定める一致基準を選択します。オプションのリストから任意の組み合わせを選択して、基準を作成します。新しくインポートされたユーザーが完全一致と見なされるには、選択する各オプションがtrueである必要があります。3番目のオプションを選択した場合、1番目と2番目の選択肢は無効になります。
[Allow partial matches(部分一致を許容)]:インポートされたユーザーの姓名が既存のOktaユーザーの姓名と一致するが、ユーザーのユーザー名またはメールアドレスが一致しない場合、部分一致が発生します。
[Confirm matched users(一致したユーザーを確認)]:既存のユーザーの確認またはアクティブ化を自動化する場合に選択します。オフの場合は、一致を手動で確認する必要があります。
[Confirm new users(新しいユーザーを確認)]:選択すると、新しくインポートされたユーザーの確認またはアクティブ化が自動化されます。このオプションを選択した場合、インポートの確認時にオフにすることができます。この機能はOktaにすでに存在するユーザーには適用されないことに注意してください。
デプロビジョニングの詳細については、「アプリのプロビジョニング」を参照してください。
- [Save(保存)]をクリックします。
- [Profile & Lifecycle Sourcing(プロファイルとライフサイクルのソーシング)]設定を定義するには、[Edit(編集)]をクリックして以下の設定を完了します。
- [Allow LDAP to source Okta users(LDAPによるOktaユーザーのソースを許可)]:このオプションはデフォルトで有効になっています。プロファイルソーシングにより、LDAPは接続されたユーザーのID機関となります。有効にしている場合、Oktaでユーザープロファイルを編集できず、プロビジョニングイベント中に変更がOktaに同期されます。このオプションを無効にしてLDAPを通常のアプリケーションとして扱うことができます。この機能を無効にしても、LDAPで実行するユーザーの更新はOktaのユーザーにプッシュバックされません。たとえば、LDAPでユーザー名を変更しても、Oktaユーザーには影響しません。プロファイルソースとしてLDAPを無効にした場合、ユーザーの資格情報は引き続きLDAPによって管理されるため、OktaでユーザーのLDAPパスワードをリセットすることはできません。ただし、代理認証を無効にし(「LDAPの代理認証を有効にする」を参照)、[Sync Password(パスワードを同期)]オプションを有効にすることでパスワードをLDAPにプッシュできます。つまり、ユーザーには委任されたOktaパスワードがありますが、それ以降のパスワードの更新はすべてLDAPにプッシュされます。
- [When a user is deactivated in the app(ユーザーがアプリで非アクティブ化されている場合)]:ユーザーのアカウントがOktaで非アクティブ化された場合に、Oktaで実行する必要のあるアクションを指定します。
- [Do nothing(何もしない)]:いずれのアクションも実行しません。
- [Deactivate(非アクティブ化)]:ユーザーがOktaで割り当て解除された場合、またはOktaのアカウントが非アクティブ化された場合に、ユーザーのLDAPアカウントを非アクティブ化します。Oktaでアプリがユーザーに再割り当てされたときに、アカウントを再アクティブ化できます。
- [Suspend(一時停止)]:ユーザーがOktaで割り当て解除された場合、またはOktaのアカウントが非アクティブ化された場合に、ユーザーのLDAPアカウントを一時停止します。Oktaでアプリがユーザーに再割り当てされたときに、アカウントを再アクティブ化できます。
- [When a user is reactivated in the app(ユーザーがアプリで再アクティブ化されている場合)]:ユーザーのアカウントがOktaで再アクティブ化されている場合は、Oktaで実行する必要のあるアクションを指定します。
- [Reactivate suspended Okta users(一時停止しているOktaユーザーを再度有効にする)]:一時停止されていたOktaユーザーがLDAPで再度有効にされた場合に、再度有効にします。
- [Reactivate deactivated Okta users(非アクティブ化されているOktaユーザーを再度有効にする)]:非アクティブ化されていたOktaユーザーがLDAPで再度有効にされた場合に、再度有効にします。
- [Save(保存)]をクリックします。
- 任意。[Import Safeguard(インポートセーフガード)]設定を定義するには、[Edit(編集)]をクリックして以下を完了します。
- [App unassignment safeguard(アプリの割り当て解除のセーフガード)]:[Enabled(有効)]を選択してインポートセーフガードを有効にするか、[Disabled(無効)]を選択してインポートセーフガードを無効にします。
- [is the threshold for unassignments from any app(任意のアプリから未割り当てのしきい値にする)]:使用可能なアプリや未割り当てorgの割合を入力するか、[Set to default(デフォルトに設定)]を選択して割合をデフォルト値に設定します。
[Org-wide unassignment safeguard(org全体の割り当て解除のセーフガード)]:[Enabled(有効)]を選択してorg全体のインポートセーフガードを有効にするか、[Disabled(無効)]を選択してorg全体のインポートセーフガードを無効にします。
[is the threshold for unassignments across the org(orgで未割り当てのしきい値にする)]:orgに対して使用可能なアプリや未割り当てorgの割合を入力するか、[Set to default(デフォルトに設定)]を選択してorgの割合をデフォルト値に設定します。
-
[Save(保存)]をクリックします。