Oracle Unified Directory LDAP統合リファレンス
このトピックでは、Oracle Unified Directory(OUD)のLDAP統合に固有のリファレンス情報を提供します。Okta LDAP Agentをインストールする際に、OUDディレクトリをOktaと統合するためにこの情報が必要になります。「Okta LDAP Agentのインストール」を参照してください。
既知の問題
- セルフサービスによるパスワードリセットを要求し、管理者がリセットした後でパスワードの変更が必要なユーザーは、Okta End-User Dashboardにアクセスするために新しいパスワードを2回入力しなければなりません。
- プロビジョニング設定が[Do nothing(何もしない)]である場合は、ユーザーが非アクティブ化されても、Oktaではアクティブなままになります。単一のソースがユーザープロファイル属性を提供する場合、非アクティブ化されたユーザーはソースから切断され、Oktaがユーザープロファイル属性のソースになります。
統合の構成
「Okta LDAP Agentのインストール」に記載されているエージェントの初期インストールおよび構成時のOUDの属性は次のとおりです。
- [LDAP version(LDAPバージョン)]:OUD。OUDオプションは、Oktaサポートがアクティブ化しない限り使用できません。
- [Unique Identifier Attribute(一意の識別子属性)]:entryuuid
- DN属性:entrydn
- [User Object Class(ユーザーオブジェクトクラス)]:inetorgpersonj
- ユーザーオブジェクトフィルター:(objectclass=inetorgperson)
- [*Account Disabled Attribute(*アカウントで無効になっている属性)]:ds-pwp-account-disabled
- [*Account Disabled Value(*アカウントで無効になっている値)]:TRUE
- [*Account Enabled Value(*アカウントで有効になっている値)]:FALSE
- パスワード属性:userpassword
- [Password Expiration Attribute(パスワード有効期限切れ属性):passwordexpirationtime
- [Group Object Class(グループオブジェクトクラス)]:groupofuniquenames
- [Group Object Filter(グループオブジェクトフィルター)]:(objectclass=groupofuniquenames)
- [Member Attribute(メンバー属性)]:uniquemember
スキーマの読み出し
AUXクラスの属性を追加するには、補助クラスを補助オブジェクトクラスとしてディレクトリのプロビジョニング構成に追加します。
パスワード変更
ユーザーはOkta End-User Dashboardで[Settings(設定)]を選択してパスワードを変更できます。
パスワードのリセット
パスワードリセットは、管理者またはユーザーがパスワードを忘れた場合のフローによってトリガーされます。
新しいパスワードがパスワードポリシーの基準を満たさない場合は、パスワードのリセットが失敗する可能性があります。
ユーザーは、期限切れのパスワードを更新できません。期限切れのパスワードをリセットできるのは管理者です。
パスワードの検証
pwdPolicyオブジェクトクラスを使用して、OUD固有のパスワードポリシーを実装します。
LDAPインスタンスでパスワードの長さや有効期限などの設定を構成できます。
インポート
OUD LDAP統合に関して特別な考慮事項はありません。
JITプロビジョニング
OUDジャストインタイム(JIT)プロビジョニングに関して特別な考慮事項はありません。ユーザーID(UID)は、メール形式を使用してOktaユーザー名のデフォルト設定と一致させます。サインインのトリガーに外部IDプロバイダー(IDP)を使用しないでください。
JITプロビジョニングを正常に完了するには、次の条件が満たされている必要があります。
- 構成された命名属性(UIDなど)の値がOktaに存在しないこと。
- 構成された命名属性(UIDなど)の値が、JITが有効なすべてのディレクトリで一意であること。
- 必須属性が提示されていること。Oktaのデフォルトはemail、givenName、sn、uidです。
- パスワードが正しいこと。
- [Account Disabled Attribute(アカウントで無効になっている属性)]が、LDAPサーバーでfalseに設定されていること。
JITプロビジョニングが正常に完了すると、LDAP設定ページとProfile Editorで指定されたユーザー属性がインポートされます。追加の必須属性を選択するには、Profile Editorを使用します。
メンバーシップのインポート
インポート時にデフォルトのOUD設定を使用すると、objectClassがgroupofuniquenamesのユーザーグループがインポートされ、uniquememberグループ属性で指定されたユーザーに追加されます。
membership属性がseeAlsoに設定されている場合は、seeAlsoユーザー属性に追加されたグループにユーザーが割り当てられます。
プロビジョニング
ユーザーの作成時または割り当て時にパスワードを設定できるようにするには、LDAPインスタンスでDelAuthを無効にし、LDAP_PUSH_PASSWORD_UPDATESを有効にし、パスワード同期を有効にします。これらの設定により、ユーザーが初めてログインすると、または割り当てられると、LDAPエージェントはPASSWORD_UPDATEアクションを送信します。これらの設定を行わない場合、パスワードはLDAPインスタンスに転送されません。
ユーザープロファイルの作成時にパスワードを作成して割り当てるには、次の手順を実行します。
- LDAPプッシュパスワードの更新を有効にするには、Oktaサポートに連絡してください。
- 次の手順を実行して、委任認証を無効にします。
- Okta Admin Consoleで、 に移動します。
- [Delegated Authentication(委任認証)]ペインで[Edit(編集)]をクリックします。
- [Enable delegated authentication to LDAP(LDAPへの委任認証を有効にする)]チェックボックスをオフにします。
- [Save(保存)]をクリックします。
- デフォルト設定を受け入れてすべてのLDAPユーザーパスワードをリセットし、[Disable LDAP Authentication(LDAP認証を無効にする)]をクリックします。
- Okta Admin Consoleで に移動します。
- [Edit(編集)]をクリックし、[Sync Password(パスワードを同期)]の横にある[Enable(有効)]を選択して、[Save(保存)]をクリックします。
[Sync Password(パスワードを同期)]が有効になると、LDAPエージェントはユーザーが初めてサインインする時にPASSWORD_UPDATEアクションを送信します。
既存のOktaユーザーをLDAPに割り当てるには、次の手順を実行します。
- Okta Admin Consoleで に移動します。
- [Edit(編集)]をクリックし、[Create Users(ユーザーを作成)]の横にある[Enable(有効)]を選択して、[Save(保存)]をクリックします。
- をクリックします。
- ユーザーを割り当てるOktaグループを選択します。
- [Manage Directories(ディレクトリを管理)]をクリックします。
- 左側のペインでLDAPインスタンスを選択し、[Next(次へ)]をクリックします。
- [Provisioning Destination DN(プロビジョニング宛先DN)]フィールドに、新規ユーザーのLDAPコンテナーの完全識別名(DN)を入力します。
- [Confirm Changes(変更を確認)]をクリックします。
トラブルシューティング
LDAPディレクトリ認証に失敗すると、診断と解決に役立つ次のようなメッセージがエージェントログに表示されます。