LDAPインターフェースの既知の制限

LDAPインターフェースの既知の制限は次のとおりです。

  • UnixまたはLinuxベースのPAM認証がサポートされていない。
  • memberOfの検索機能を使用すると、検索時間が長くなる。
  • TLS 1.2しかサポートしていない。
  • BIND、UNBIND、SEARCH 操作のみがサポートされており、StartTLS拡張操作もサポートされています。
  • サーバーでは、1000エントリーのページサイズが許可されているが、結果のサイズがこのページサイズを超えると、LDAPエラーコードが返される。結果セットが大きい場合は、Simple Pagination Controlを使用します。https://www.ietf.org/rfc/rfc2696.txtを参照してください。
  • OktaユーザーIDを使用する必要がある。アプリのサインイン値にsamAccountNameを使用している場合は、認証に失敗します。
  • uniquememberおよびmemberOf属性のクエリを実行するLDAP検索の場合、LDAPインターフェイスがメンバーシップ応答をクライアントに返す前にすべてのページが反復処理される。
  • LDAPiインターフェイスで、memberOfが仮想操作属性に定義されている。次の場合にのみ返されます。
    • memberOfが属性のリストで要求されている場合
    • すべての操作属性が「+」を使用して要求されている場合

    memberOf属性のクエリを実行すると、orgのレート制限に影響を与える可能性があります。レート制限の問題を回避するために、Oktaではグループメンバーシップ属性uniqueMemberを使用することをお勧めします。この構成では、ユーザー数ではなくグループ数でAPI呼び出しをスケーリングします。

    LDAPのコアスキーマの一部であったその他の操作属性も改善されました。このリストには、hasSubordinatesstructuralObjectClassentryDNsubschemaSubentrynumSubordinatesが含まれます。numSubordinatesはユーザーおよびグループコンテナーに対しては計算されないことに注意してください。

  • 大文字と小文字を区別する属性とLDAPインターフェイスの検索:大文字と小文字を区別する属性またはスキーマに存在しない属性を参照するLDAPインターフェイスの検索フィルターは、結果を返さない。

    たとえば、カスタム属性Employee Numberが大文字と小文字を区別する場合、フィルターemployeenumber=123-45-6789もフィルター(|(employeenumber=*)(uniqueIdentifier=*))も結果を返しません。

    さらに、スキーマにない属性を参照するLDAPインターフェイス検索フィルターは結果を返しません。たとえば、属性xyzがスキーマに存在しない場合、フィルターxyz=fooもフィルター(|(xyz=*)(bar=*))も結果を返しません。

  • LDAPインターフェイスでOkta Verifyの多要素認証を使用する場合、報告されるIPアドレスはクライアントIPではなくアプリサーバーのIPになる。これは、LDAPを介してクライアントIPを転送できる場合の制限によるものです。

  • user.uidなどのOkta属性の作成はサポートされていません。これらの属性は<uid=user.login>属性検索では取得できません。属性検索が実行されても、ユーザープロファイルにuser.uid属性が含まれている場合、結果は返されません。

  • グループ管理者、ヘルプデスク管理者、および割り当てられたグループのユーザーの表示と管理に権限が制限されているカスタム管理者は、ユーザー検索の実行時にタイムアウトになる場合があります。