LDAPインターフェイスの既知の制限

LDAPインターフェイスは、BINDUNBINDSEARCHのLDAP操作を行うために設計された軽量なツールです。これらの基本機能をLDAPサーバーに依存せずに実行できますが、現在のLDAPサーバーで提供されるすべての高度な機能がサポートされるわけではありません。したがって、LDAPサーバーをLDAPインターフェイスに置き換える前に、その機能と制限を慎重に評価してください。

ここでは、一般的な問題と既知の制限を紹介します。ただし、考えられるすべてのシナリオをカバーしているわけではありません。LDAPインターフェイスをLDAP先進化計画に組み入れる前に、OktaセールスチームまたはCSMと連携することをお勧めします。

検索と属性のリファレンス

  • memberOfuniqueMemberの処理時間は、グループメンバーの総数および検索操作を実行する管理者ロールに応じて長くなる可能性があります。より制限されたロールを持つユーザーの場合、検索の処理に要する時間が長くなります。
  • 検索結果の数は1ページあたり1000件に制限されます。大規模な結果セットでは、Simple Pagination Control(RFC 2696)が必要になります。
  • LDAPインターフェイスは、memberOfを仮想操作属性として定義します。これは、次の場合にのみ返されます。
    • memberOfが要求された属性である場合、または
    • すべての操作属性の要求に「+」が使用されている場合

  • LDAPインターフェイスで使用できる属性は、完全なLDAPスキーマのサブセットのみを表しており、名前に矛盾がある可能性があります。LDAPフィルターは、マネージャー属性を除いて、カスタム属性を含むすべての属性をサポートします。ただし、LDAPリストには、マネージャー属性を含むすべての属性が含まれます。

    利用できるLDAPインターフェイススキーマを確認するには、次を使ってLDAPインターフェイス検索を実行します。

    属性

    ベースDN

    		 cn=schema

    スコープ

    BASE

    フィルター

    objectclass=subschema

    要求する属性

    ldapSyntaxes matchingRules attributeTypes objectClasses

    または、「+」またはすべてのユーザー属性を使用します。

  • サポートされないスキーマ属性が検索クエリに使用されている場合、検索結果は返されません。

暗号化

  • TLS 1.2のみがサポートされます。
  • LDAPインターフェイスは、暗号化された接続を使用する2つの方法、LDAPSとStartTLSをサポートします。LDAPインターフェイスを使用するには、いずれかの方法で接続を暗号化する必要があります。暗号化されていない接続で受信した操作は、すべて直ちに拒否されます。

認証(BIND)

  • UnixまたはLinuxベースのPAM認証はサポートされません。

  • samAccountNameはアプリのサインイン値として使用できないため、失敗します。OktaユーザーIDを指定する必要があります。

  • Okta Verify多要素認証とLDAPインターフェイスを併用する場合、レポートされるIPアドレスはクライアントIPではなく、アプリサーバーIPです。これは、LDAPを通じたクライアントIP転送の制限によるものです。