カスタム属性の一意性の強制適用
Oktaユーザープロファイルのカスタム属性(従業員ID番号など)に対して、属性の一意性を強制適用することができます。各ユーザータイプには一意の属性を最大5つ設定できます。ユーザータイプごとに同じ属性セットを選択する必要はありません。たとえば、ユーザープロファイルAで宣言した5つの一意の属性は、ユーザープロファイルB、C、Dで宣言したものと一致している必要はありません。
一意の属性は、1つのネームスペースをorg内のすべてのユーザータイプで共有します。たとえば、ユーザータイプAとBの両方に「ice cream(アイスクリーム) 」という属性があり、両方のプロファイルでその属性を一意と指定したとしましょう。ユーザータイプAが「chocolate(チョコレート)」という値を持っていた場合、タイプAやBの他のユーザー(または「ice cream(アイスクリーム)」が一意であると宣言された他のユーザータイプ)はその値を持つことができません。異なるタイプの一意の属性間での重複を許容するためには、属性名がやや異なるように修正します。たとえば、「ice creamA(アイスクリームA)」と「ice creamB(アイスクリームB)」は別々に追跡されます。
一意ではない属性は、一意性が追跡されません。「candy(キャンディ)」という属性がタイプEでは一意で、タイプFでは一意ではないとしましょう。タイプEのユーザーが「caramel(キャラメル)」という「candy(キャンディ)」の値を持っていた場合、タイプEの他のユーザーは「caramel」という属性の値を持つことはできません。逆に、タイプFのユーザーは何人でも「caramel(キャラメル)」という「candy(キャンディ)」の値を持つことができます。これは「candy(キャンディ)」はEでは一意ですが、Fでは一意ではないからです。そのため、タイプFのユーザーにとって「candy(キャンディ)」の値は重要ではありません。
Oktaのユーザープロファイルのカスタム属性にのみ、一意性を強制適用することができます。たとえば、Active DirectoryまたはLDAPからユーザーをインポートするとしましょう。一意性の要件に違反する1人または複数のユーザーをインポートしようとすると、それらのユーザーのインポートは失敗します。
一意性が制限されているユーザープロファイルのカスタム属性に重複した値を入力しようとすると、その値がすでに存在することを示すメッセージが表示されます。一意の値を入力するまで、変更を保存することはできません。
既存のカスタム属性を一意の値を必要とするものとしてマークすると、Okta Universal Directoryが既存の重複エントリがないことを確認するための検証チェックを行います。膨大なユーザー記録がある場合、検証に時間がかかることがあります。
検証が完了すると、[プロファイルエディター]ページに以下の情報を示すステータスメッセージが表示されます。
- チェックしたレコードの数
- 見つかった重複の数
- 推定残り時間
重複したレコードが見つかった場合、[Restriction(制限)]のチェックボックスは自動的にクリアされます。属性に一意性を適用する前に、重複する値を解決する必要があります。