OktaをLDAPプロビジョニング設定に構成する
Okta LDAP Agentをインストールして構成したら、orgのニーズの変化に応じ次の手順を使用してOktaをLDAPプロビジョニング設定に更新できます。OktaからLDAPへのプロビジョニング設定では、OktaでLDAPインスタンス上のユーザーデータを共有および更新する方法を定義します。
- Admin Consoleでの順に進みます。
- ディレクトリのリストからLDAPエージェントを選択します。
- プロビジョニング(Provisioning)タブをクリックし、設定(Settings)(To App)リストでアプリへ(To App)(Settings)を選択します。
- 編集(Edit)をクリックして、以下の設定を行います。
- ユーザーを作成(Create Users):有効(Enable)を選択し、LDAPが割り当てられているOkta内のグループのメンバーに対しLDAPのユーザーを作成またはリンクを設定します。LDAPが最高の優先度のプロファイルソースの場合、OktaユーザープロファイルはLDAPのユーザープロファイルに対して実行された変更に基づき、自動的に更新されます。
- アクティベーションメールの受信者(Activation email recipient):新しいLDAPアカウントの資格情報が送信されるメールアドレスを入力します。受信者は、資格情報を適切なユーザーに配布する責任があります。
- RDN属性名(RDN attribute name):ユーザー相対識別名に使用される属性タイプを選択します(ユーザー識別名の一番左の部分)。属性値は[Profile Editor(プロファイルエディター)]ページでカスタマイズできます。
RDN属性をUIDに設定する場合、属性をOkta
userName属性にマッピングする必要があります。このLDAPインスタンスのプロファイルエディターで選択した属性タイプを正しくマッピングする必要があります。プロビジョニングの両方向に対してタイプをマッピングします。 - ユーザー属性を更新(Update User Attributes):有効(Enable)を選択すると、アプリの割り当て時にOktaがLDAPでユーザー属性を更新できるようになります。その後Oktaユーザープロファイルの属性が変更されると、LDAPで対応する属性値が自動的に上書きされます。
グループプロビジョニングを使用すると、あるグループからユーザーを削除して別のグループに追加することで、OU間でユーザーを移動できます。LDAPのSunONE実装とODSEE実装は、OU間でユーザーを移動するこの方法をサポートしていません。
- ユーザーの非アクティブ化(Deactivate Users):ユーザーがOktaで割り当て解除された場合、またはOktaのアカウントが非アクティブ化されている場合に、ユーザーのLDAPアカウントを非アクティブ化するには、有効(Enable)を選択します。Oktaでアプリがユーザーに再割り当てされたときに、アカウントを再度有効にできます。
- パスワードを同期(Sync Password):各ユーザーのLDAPパスワードをOktaパスワードと同期するには、有効(Enable)を選択します。その後ユーザーのOktaパスワードを変更すると、オンプレミスのLDAPサーバーにプッシュされます。このオプションを有効にするには、委任認証を無効にする必要があります。Active Directory(AD)とLDAPの両方を使用しているOrganizationは、ADからOktaを経由してLDAPにユーザーパスワードを同期できるようになりました。
- 保存(Save)をクリックします。
- 任意。属性マッピング(Attribute Mappings)セクションでLDAP属性をOkta属性にマッピングします。表にリストされている属性はLDAP属性です。これらのマッピングを編集するには、編集アイコンをクリックします。「プロファイルと属性の操作」を参照してください。