LDAPインターフェースの既知の制限
LDAPインターフェースの既知の制限は次のとおりです。
- UnixまたはLinuxベースのPAM認証がサポートされていない。
memberOf
の検索機能を使用すると、検索時間が長くなる。- TLS 1.2しかサポートしていない。
- BIND、UNBIND、SEARCH 操作のみがサポートされており、StartTLS拡張操作もサポートされています。
- サーバーでは、1000エントリーのページサイズが許可されているが、結果のサイズがこのページサイズを超えると、LDAPエラーコードが返される。結果セットが大きい場合は、Simple Pagination Controlを使用します。https://www.ietf.org/rfc/rfc2696.txtを参照してください。
- OktaユーザーIDを使用する必要がある。アプリのサインイン値にsamAccountNameを使用している場合は、認証に失敗します。
- uniquememberおよびmemberOf属性のクエリを実行するLDAP検索の場合、LDAPインターフェイスがメンバーシップ応答をクライアントに返す前にすべてのページが反復処理される。
- LDAPiインターフェイスで、memberOfが仮想操作属性に定義されている。次の場合にのみ返されます。
- memberOfが属性のリストで要求されている場合
- すべての操作属性が「+」を使用して要求されている場合
memberOf属性のクエリを実行すると、orgのレート制限に影響を与える可能性があります。レート制限の問題を回避するために、Oktaではグループメンバーシップ属性uniqueMemberを使用することをお勧めします。この構成では、ユーザー数ではなくグループ数でAPI呼び出しをスケーリングします。
LDAPのコアスキーマの一部であったその他の操作属性も改善されました。このリストには、hasSubordinates、structuralObjectClass、entryDN、subschemaSubentry、numSubordinatesが含まれます。numSubordinatesはユーザーおよびグループコンテナーに対しては計算されないことに注意してください。
- 大文字と小文字を区別する属性とLDAPインターフェイスの検索:大文字と小文字を区別する属性またはスキーマに存在しない属性を参照するLDAPインターフェイスの検索フィルターは、結果を返さない。
たとえば、カスタム属性Employee Numberが大文字と小文字を区別する場合、フィルターemployeenumber=123-45-6789もフィルター(|(employeenumber=*)(uniqueIdentifier=*))も結果を返しません。
さらに、スキーマにない属性を参照するLDAPインターフェイス検索フィルターは結果を返しません。たとえば、属性xyzがスキーマに存在しない場合、フィルターxyz=fooもフィルター(|(xyz=*)(bar=*))も結果を返しません。
-
LDAPインターフェイスでOkta Verifyの多要素認証を使用する場合、報告されるIPアドレスはクライアントIPではなくアプリサーバーのIPになる。これは、LDAPを介してクライアントIPを転送できる場合の制限によるものです。
-
user.uidなどのOkta属性の作成はサポートされていません。これらの属性は<uid=user.login>属性検索では取得できません。属性検索が実行されても、ユーザープロファイルにuser.uid属性が含まれている場合、結果は返されません。
-
グループ管理者、ヘルプデスク管理者、および割り当てられたグループのユーザーの表示と管理に権限が制限されているカスタム管理者は、ユーザー検索の実行時にタイムアウトになる場合があります。