Teilen über

Migrieren von Anwendungen von Okta zu Microsoft Entra ID

  • Artikel

In diesem Lernprogramm erfahren Sie, wie Sie Ihre Anwendungen von Okta zu Microsoft Entra ID migrieren.

Voraussetzungen

Zum Verwalten der Anwendung in Microsoft Entra ID benötigen Sie Folgendes:

  • Ein Microsoft Entra-Benutzerkonto. Falls Sie noch über keins verfügen, können Sie ein kostenloses Konto erstellen.
  • Eine der folgenden Rollen: Cloudanwendungsadministrator, Anwendungsadministrator oder Besitzer des Dienstprinzipals.

Erstellen eines Bestands aktueller Okta-Anwendungen

Dokumentieren Sie vor der Migration die aktuellen Umgebungs- und Anwendungseinstellungen. Sie können die Okta API verwenden, um diese Informationen zu sammeln. Verwenden Sie dazu ein API-Explorer-Tool wie Postman.

So erstellen Sie einen Anwendungsbestand:

  1. Generieren Sie mit der Postman-App über die Okta-Verwaltungskonsole ein API-Token.

  2. Wählen Sie auf dem API-Dashboard unter Security (Sicherheit) Tokens>Create Token („Token“ > „Token erstellen“).

    Screenshot der Optionen „Token“ und „Token erstellen“ unter „Sicherheit“.

  3. Geben Sie einen Tokennamen ein, und klicken Sie dann auf Token erstellen.

    Screenshot: Namenseintrag unter „Token erstellen“

  4. Notieren und speichern Sie den Tokenwert. Nach der Auswahl von OK, verstanden ist es nicht mehr zugänglich.

    Screenshot: Feld mit Tokenwert und Option „OK, verstanden“

  5. Wählen Sie im Arbeitsbereich in der Postman-App Importieren aus.

  6. Wählen Sie auf der Seite Import (Importieren) Link aus. Fügen Sie den folgenden Link ein, um die API zu importieren:

https://developer.okta.com/docs/api/postman/example.oktapreview.com.environment

Screenshot: Optionen „Link“ und „Weiter“ beim Importieren

Hinweis

Ändern Sie den Link nicht in Ihre Mandantenwerte um.

  1. Wählen Sie Importieren aus.

    Screenshot: Option „Importieren“ beim Import

  2. Ändern Sie nach dem API-Import die Auswahl Environment (Umgebung) in {yourOktaDomain} .

  3. Klicken Sie auf das Augensymbol, um Ihre Okta-Umgebung zu bearbeiten. Klicken Sie dann auf Bearbeiten.

    Screenshot: Augensymbol und Option „Bearbeiten“ in der Übersicht

  4. Aktualisieren Sie die Werte für die URL und den API-Schlüssel in den Feldern Anfangswert und Aktueller Wert. Ändern Sie den Namen, um Ihre Umgebung widerzuspiegeln.

  5. Speichern Sie die Werte.

    Screenshot: Felder „Anfangswert“ und „Aktueller Wert“ in der Übersicht

  6. Laden Sie die API in Postman.

  7. Wählen Sie Apps>Get List Apps>Send („Anwendungen“ > „Anwendungsliste abrufen“ > „Senden“).

Hinweis

Sie können die Anwendungen in Ihrem Okta-Mandanten drucken. Die Liste liegt im JSON-Format vor.

Screenshot: Option „Senden“ und die Liste der Apps

Es wird empfohlen, diese JSON-Liste zu kopieren und in ein CSV-Format umzuwandeln:

Hinweis

Laden Sie die CSV-Datei herunter, um einen Datensatz der Anwendungen in Ihrem Okta-Mandanten zu speichern.

Migrieren einer SAML-Anwendung zu Microsoft Entra ID

Um eine SAML 2.0-Anwendung zu Microsoft Entra ID zu migrieren, konfigurieren Sie die Anwendung in Ihrem Microsoft Entra-Mandanten für den Anwendungszugriff. In diesem Beispiel wird eine Salesforce-Instanz konvertiert.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Cloudanwendungsadministrator an.

  2. Browsen Sie zu Identität>Anwendungen>Unternehmensanwendungen>Alle Anwendungen, und wählen Sie dann Neue Anwendung aus.

  3. Suchen Sie im Microsoft Entra-Katalog nach Salesforce, und wählen Sie die Anwendung und dann Erstellen aus.

    Screenshot: Anwendungen im Microsoft Entra-Katalog

  4. Wählen Sie nach dem Erstellen der Anwendung auf der Registerkarte Einmaliges Anmelden (SSO) SAML aus.

    Screenshot: SAML-Option für einmaliges Anmelden

  5. Laden Sie das Zertifikat (Rohdaten) und die Verbundmetadaten XML für den Import in Salesforce herunter.

  6. Klicken Sie in der Salesforce-Verwaltungskonsole auf Identität>SSO-Einstellungen>Neu aus Metadatendatei.

    Screenshot: Option „New from Metadata File“ (Neu aus Metadatendatei) unter „Single Sign On Settings“ (SSO-Einstellungen)

  7. Laden Sie die XML-Datei hoch, die Sie aus dem Microsoft Entra Admin Center heruntergeladen haben. Klicken Sie anschließend auf Erstellen.

  8. Laden Sie das Zertifikat hoch, das Sie von Azure heruntergeladen haben. Wählen Sie Speichern aus.

  9. Notieren Sie die Werte in den folgenden Feldern. Die Werte befinden sich in Azure.

    • Entitäts-ID
    • Anmelde-URL
    • Abmelde-URL

  10. Wählen Sie Metadaten herunterladen aus.

  11. Wählen Sie auf der Microsoft Entra ID-Seite für Unternehmensanwendungen in den SAML-SSO-Einstellungen Metadatendatei hochladen aus, um die Datei in das Microsoft Entra Admin Center hochzuladen.

  12. Stellen Sie sicher, dass die importierten Werte mit den aufgezeichneten Werten übereinstimmen. Wählen Sie Speichern aus.

    Screenshot: Einträge für SAML-basierte Anmeldung und grundlegende SAML-Konfiguration

  13. Klicken Sie in der Salesforce-Verwaltungskonsole auf Company Settings>My Domain („Unternehmenseinstellungen“ > „Meine Domäne“). Navigieren Sie zu Authentication Configuration (Authentifizierungskonfiguration), und klicken Sie auf Edit (Bearbeiten).

    Screenshot: Option „Bearbeiten“ unter „Meine Domäne“

  14. Wählen Sie für eine Anmeldeoption den neuen SAML-Anbieter aus, den Sie konfiguriert haben. Wählen Sie Speichern aus.

    Screenshot: Authentifizierungsdienstoptionen in der Authentifizierungskonfiguration

  15. Wählen Sie in Microsoft Entra ID auf der Seite Unternehmensanwendungen die Option Benutzer und Gruppen aus. Fügen Sie dann Testbenutzer hinzu.

    Screenshot: Benutzer und Gruppen mit einer Liste von Testbenutzern

  16. Melden Sie sich zum Testen der Konfiguration als Testbenutzer an. Navigieren Sie zum Microsoft-App-Katalog, und wählen Sie dann Salesforce aus.

    Screenshot: Salesforce-Option unter „Alle Apps“ in „Meine Apps“

  17. Wählen Sie zur Anmeldung den konfigurierten Identitätsanbieter (IdP) aus.

    Screenshot: Salesforce-Anmeldeseite

Hinweis

Wenn die Konfiguration korrekt ist, wird der Testbenutzer auf der Salesforce-Startseite angezeigt. Informationen zur Problembehandlung finden Sie im Debugging-Leitfaden.

  1. Weisen Sie auf der Seite Unternehmensanwendungen der Salesforce-Anwendung die verbleibenden Benutzer mit den richtigen Rollen zu.

Hinweis

Nachdem Sie die verbleibenden Benutzer*innen der Microsoft Entra-Anwendung hinzugefügt haben, können die Benutzer*innen die Verbindung testen, um sicherzustellen, dass sie Zugriff haben. Testen Sie vor dem nächsten Schritt die Verbindung.

  1. Klicken Sie in der Salesforce-Verwaltungskonsole auf Company Settings>My Domain („Unternehmenseinstellungen“ > „Meine Domäne“).

  2. Klicken Sie unter Authentication Configuration (Authentifizierungskonfiguration) auf Edit (Bearbeiten). Heben Sie für den Authentifizierungsdienst die Auswahl für Okta auf.

    Screenshot: Option „Speichern“ und Authentifizierungsdienstoptionen in der Authentifizierungskonfiguration

Migrieren einer OpenID Connect- oder OAuth 2.0-Anwendung zu Microsoft Entra ID

Tipp

Die Schritte in diesem Artikel können je nach dem Portal, mit dem Sie beginnen, geringfügig variieren.

Um eine OpenID Connect-Anwendung (OIDC) oder eine OAuth 2.0-Anwendung zu Microsoft Entra ID zu migrieren, konfigurieren Sie in Ihrem Microsoft Entra-Mandanten die Anwendung für den Zugriff. In diesem Beispiel konvertieren wir eine benutzerdefinierte OIDC-App.

Wiederholen Sie zum Abschließen der Migration die Konfiguration für alle Anwendungen im Okta-Mandanten.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Cloudanwendungsadministrator an.

  2. Browsen Sie zu Identität>Anwendungen>Unternehmensanwendungen>Alle Anwendungen.

  3. Wählen Sie Neue Anwendung aus.

  4. Wählen Sie Eigene Anwendung erstellen aus.

  5. Geben Sie im daraufhin geöffneten Menü einen Namen für die OIDC-App ein, und wählen Sie dann Von Ihnen bearbeitete Anwendung für die Integration in Microsoft Entra ID registrieren aus.

  6. Wählen Sie Erstellen aus.

  7. Richten Sie auf der nächsten Seite den Mandant ihrer Anwendungsregistrierung ein. Weitere Informationen finden Sie unter Mandanten in Microsoft Entra ID. Navigieren Sie zu Konten in einem beliebigen Organisationsverzeichnis (beliebiges Microsoft Entra-Verzeichnis – mehrinstanzenfähig)>Registrieren.

    Screenshot: Option „Konten in einem beliebigen Organisationsverzeichnis (beliebiges Microsoft Entra-Verzeichnis – mehrinstanzenfähig)“

  8. Öffnen Sie auf der Seite App-Registrierungen unter Microsoft Entra ID die erstellte Registrierung.

Hinweis

Je nach Anwendungsszenario existieren verschiedene Konfigurationsaktionen. Für die meisten Szenarien ist ein geheimer App-Clientschlüssel erforderlich.

  1. Notieren Sie auf der Seite Übersicht die Anwendungs-ID (Client) . Diese ID verwenden Sie in Ihrer Anwendung.

  2. Wählen Sie links Zertifikate und Geheimnisse aus. Wählen Sie dann + Neuer geheimer Clientschlüssel aus. Legen Sie einen Namen und ein Ablaufdatum für den Clientschlüssel fest.

  3. Notieren Sie sich den Wert und die ID des Clientschlüssels.

Hinweis

Wenn Sie den geheimen Clientschlüssel verlegen, können Sie ihn nicht erneut abrufen. Generieren Sie stattdessen ein neues Geheimnis.

  1. Wählen Sie links API-Berechtigungen aus. Gewähren Sie dann der Anwendung Zugriff auf den OIDC-Stapel.

  2. Wählen Sie + Berechtigung hinzufügen>Microsoft Graph>Delegierte Berechtigungen aus.

  3. Wählen Sie im Bereich OpenID-Berechtigungen die Optionen E-Mail, OpenID und Profil aus. Klicken Sie dann auf Berechtigungen hinzufügen.

  4. Um die Benutzerfreundlichkeit zu verbessern und Eingabeaufforderungen für die Benutzereinwilligung zu unterdrücken, wählen Sie Administratorzustimmung für „Mandantendomänenname“ erteilen aus. Warten Sie, bis der Status Gewährt angezeigt wird.

    Screenshot: Meldung „Die Administratoreinwilligung wurde für die angeforderten Berechtigungen erfolgreich erteilt.“ in den API-Berechtigungen

  5. Wenn Ihre Anwendung über einen Umleitungs-URI verfügt, geben Sie den URI ein. Wenn die Antwort-URL auf die Registerkarte Authentifizierung verweist, gefolgt von Plattform hinzufügen und Web, geben Sie die URL ein.

  6. Wählen Sie Zugriffstoken und ID-Token aus.

  7. Wählen Sie Konfigurierenaus.

  8. Wählen Sie bei Bedarf im Menü Authentifizierung unter Erweiterte Einstellungen und Öffentliche Clientflows zulassen die Option Ja aus.

    Screenshot: Option „Ja“ unter „Authentifizierung“

  9. Importieren Sie vor dem Test die Anwendungs-ID und das Clientgeheimnis in Ihre OIDC-konfigurierte Anwendung.

Hinweis

Führen Sie die vorherigen Schritte aus, um Ihre Anwendung mit Einstellungen wie Client-ID, Geheimnis und Geltungsbereichen zu konfigurieren.

Migrieren eines benutzerdefinierten Autorisierungsservers zu Microsoft Entra ID

Okta-Autorisierungsserver ordnen Anwendungsregistrierungen, die eine API verfügbar machen, 1:1 zu.

Ordnen Sie den standardmäßigen Okta-Autorisierungsserver zu Microsoft Graph-Bereichen bzw. -Berechtigungen zu.

Screenshot: Option „Bereich hinzufügen“ unter „Eine API verfügbar machen“

Nächste Schritte