LDAP サーバーのスケジュール設定済みスキャンは通常、夜間に 1 回実行されます。該当するすべてのユーザーレコードの属性を照会し、それらをサーバー上のアカウントと比較します。差異がある場合は、変更された属性を使用してユーザーレコードを変更します。リフレッシュ中に LDAP サーバーにかかる負荷は、照会されるレコードの数と比較される属性の数によって異なります。ピーク時間外にリフレッシュをスケジュールすることをお勧めします。大規模なリフレッシュ操作は、レポートの実行などの他のスケジュールされた操作に影響を与える可能性があるため、競合を最小限に抑えるように計画する必要があります。

LDAP リスナーは永続クエリ (または永続検索) のバージョンです。LDAP サーバーに加えられた変更に対して継続的なクエリを発行し、常に応答をリッスンします。サーバーが永続検索をサポートしていると仮定すると、該当する LDAP アカウントに加えられた変更はすべて LDAP リスナーに返され、約 10 秒以内にインスタンスに送信されます。これは非常に便利なツールであり、次にスケジュールされたリフレッシュを待たずに、ユーザーのアカウントの詳細をほぼリアルタイムでコピーできます。

LDAP 統合が確立されると、インスタンスのアカウントがまだない場合でも、新しいユーザーがシステムにログインできるようになります。新しいユーザーがインスタンスにログインしようとすると、統合はこのユーザーがインスタンスにアカウントを持っているかどうかを確認します。統合で既存のユーザーアカウントが見つからない場合は、入力されたユーザー名が LDAP サーバーに自動的に照会されます。一致する LDAP アカウントが見つかった場合、統合はユーザーが入力したパスワードを使用して認証を試行します。パスワードが有効な場合、インスタンスはユーザーのアカウントを作成し、該当するすべての LDAP 情報をアカウントに指定して、ユーザーをインスタンスにログインさせます。

オンデマンドログインでは、LDAP ユーザーインポート変換マップを使用します。変換マップの要件の詳細については、「LDAP 変換マップ」を参照してください。

LDAP サーバーとの統合により、既存の LDAP データベースのユーザーレコードをインスタンスのデータベースに迅速かつ簡単に入力できます。データの不整合を防ぐために、着信 LDAP レコードを作成、無視、またはスキップすることができます。

LDAP 属性を指定して統合がインポートするデータを制限し、インスタンスに公開するデータのみをインポートすることもできます。通常、指定する LDAP 属性は統合変換マップの一部になります。LDAP 属性を指定しない場合、統合は LDAP サーバーから利用可能なすべてのオブジェクト属性をインポートします。インスタンスは、インポートされた LDAP データを一時インポートセットテーブルに格納するため、インポートする属性が多いほど、インポート時間が長くなります。詳細については、「LDAP 属性の指定」を参照してください。

LDAP サーバーに対して認証することで、ユーザーはネットワークドメイン上の他の内部リソースに使用するものと同じ資格情報を使用してプラットフォームにアクセスします。また、既存のパスワードとセキュリティポリシーを再利用することもできます。たとえば、LDAP サーバーには既にアカウントロックアウトとパスワードの有効期限ポリシーが設定されている場合があります。

LDAP を有効にすると、次のフィールドでユーザーレコードが更新されます。