Tutorial: Migración del aprovisionamiento de la sincronización de Okta a la sincronización de Microsoft Entra Connect

En este tutorial, aprenderá a migrar el aprovisionamiento de usuarios de Okta a Microsoft Entra ID y a migrar la sincronización de usuarios o la sincronización universal a Microsoft Entra Connect. Esta funcionalidad permite el aprovisionamiento en Microsoft Entra ID y Office 365.

Nota:

Al migrar plataformas de sincronización, valide los pasos de este artículo en su entorno antes de quitar Microsoft Entra Connect del modo de almacenamiento provisional o habilitar el agente de aprovisionamiento en la nube de Microsoft Entra.

Requisitos previos

Al cambiar del aprovisionamiento de Okta a Microsoft Entra ID, existen dos opciones. Use un servidor de Microsoft Entra Connect o el aprovisionamiento en la nube de Microsoft Entra.

Obtenga más información: Comparación entre Microsoft Entra Connect y la sincronización en la nube.

El aprovisionamiento en la nube de Microsoft Entra es la ruta de migración más familiar para los clientes de Okta que usan la sincronización universal o de usuarios. Los agentes de aprovisionamiento en la nube son ligeros. Se pueden instalar en los controladores de dominio o cerca de ellos, como los agentes de sincronización de directorios de Okta. No los instale en el mismo servidor.

Al sincronizar usuarios, utilice un servidor de Microsoft Entra Connect si su organización necesita cualquiera de las siguientes tecnologías:

• Sincronización de dispositivos: unión híbrida de Microsoft Entra o Hello para empresas
• Autenticación de paso a través
• Compatibilidad con más de 150 000 objetos
• Compatibilidad con la escritura diferida

Para usar Microsoft Entra Connect, debe iniciar sesión con un rol de administrador de identidades híbridas.

Nota:

Tenga en cuenta todos los requisitos previos al instalar Microsoft Entra Connect o el aprovisionamiento en la nube de Microsoft Entra. Antes de continuar con la instalación, consulte Requisitos previos de Microsoft Entra Connect.

Confirmación del atributo ImmutableID sincronizado por Okta

El atributo ImmutableID vincula los objetos sincronizados a sus homólogos locales. Okta toma el valor de objectGUID de Active Directory de un objeto local y lo convierte en una cadena codificada en Base 64. A continuación, marca de manera predeterminada esa cadena en el campo ImmutableID de Microsoft Entra ID.

Puede conectarse a PowerShell de Microsoft Graph y examinar el valor actual de ImmutableID. Si no ha usado el módulo de PowerShell de Microsoft Graph, ejecute:

Install-Module AzureAD en una sesión administrativa antes de ejecutar los siguientes comandos:

Import-Module AzureAD
Connect-MgGraph

Si dispone del módulo, es posible que aparezca una advertencia para que actualice a la última versión.

1. Importe el módulo instalado.

2. En la ventana de autenticación, inicie sesión como administrador de identidades híbridas como mínimo.

3. Conéctese al inquilino.

4. Compruebe la configuración del valor ImmutableID. El siguiente ejemplo es la conversión por defecto del objectGUID en ImmutableID.

5. Confirme manualmente la conversión local de objectGUID a Base64. Para probar un valor individual, use estos comandos:

   Get-MgUser onpremupn | fl objectguid
   $objectguid = 'your-guid-here-1010'
   [system.convert]::ToBase64String(([GUID]$objectGUID).ToByteArray())
   

Métodos de validación masiva de ObjectGUID

Antes de pasar a Microsoft Entra Connect, es fundamental validar que los valores de ImmutableID de Microsoft Entra ID coincidan con sus valores locales.

El siguiente comando obtiene los usuarios de Microsoft Entra locales y exporta una lista de sus valores objectGUID e ImmutableID ya calculados a un archivo CSV.

1. Ejecute el siguiente comando en PowerShell de Microsoft Graph en un controlador de dominio local:

   Get-ADUser -Filter * -Properties objectGUID | Select-Object
   UserPrincipalName, Name, objectGUID, @{Name = 'ImmutableID';
   Expression = {
   [system.convert]::ToBase64String((GUID).tobytearray())
   } } | export-csv C:\Temp\OnPremIDs.csv
   

2. Ejecute el siguiente comando en una sesión de PowerShell de Microsoft Graph para enumerar los valores sincronizados:

   Get-MgUser -all $true | Where-Object {$_.dirsyncenabled -like
   "true"} | Select-Object UserPrincipalName, @{Name = 'objectGUID';
   Expression = {
   [GUID][System.Convert]::FromBase64String($_.ImmutableID) } },
   ImmutableID | export-csv C:\\temp\\AzureADSyncedIDS.csv
   

3. Después de ambas exportaciones, confirme que los valores de ImmutableID del usuario coinciden.

   Importante

   Si los valores de ImmutableID en la nube no coinciden con los valores de objectGUID, ha modificado los valores predeterminados de la sincronización de Okta. Es probable que haya elegido otro atributo para determinar los valores de ImmutableID. Antes de ir a la sección siguiente, identifique qué atributo de origen rellena los valores de ImmutableID. Antes de deshabilitar la sincronización de Okta, actualice el atributo Okta que está sincronizando.

Instalación de Microsoft Entra Connect en modo de almacenamiento provisional

Una vez que prepare la lista de objetivos de origen y destino, instale un servidor de Microsoft Entra Connect. Si usa el aprovisionamiento en la nube de Microsoft Entra Connect, omita esta sección.

1. Descargue e instale Microsoft Entra Connect en un servidor. Consulte Instalación personalizada de Microsoft Entra Connect.

2. En el panel izquierdo, seleccione Identificación de usuarios.

3. En la página Identificación exclusiva de los usuarios, en Seleccione cómo deben identificarse los usuarios con Microsoft Entra ID, seleccione Elegir un atributo específico.

4. Si no modificó los valores predeterminados de Okta, seleccione mS-DS-ConsistencyGUID.

   Advertencia

   Este paso es crítico. Asegúrese de que el atributo seleccionado para un delimitador de origen rellene los usuarios de Microsoft Entra. Si selecciona el atributo incorrecto, desinstale Microsoft Entra Connect y vuelva a instalarlo para volver a seleccionar esta opción.

5. Seleccione Siguiente.

6. En el panel izquierdo, seleccione Configurar.

7. En la página Listo para configurar, seleccione Habilitar modo de almacenamiento provisional.

8. Seleccione Instalar.

9. Compruebe que los valores de ImmutableID coinciden.

10. Una vez completada la configuración, seleccione Salir.

11. Abra el Servicio de sincronización como administrador.

12. Busque la sincronización completa en el espacio del conector de domain.onmicrosoft.com.

13. Confirme que hay usuarios en la pestaña Conectores con Actualizaciones de flujos.

14. Compruebe que no hay eliminaciones pendientes en la exportación.

15. Seleccione la pestaña Conectores.

16. Resalte el espacio del conector domain.onmicrosoft.com.

17. Seleccione Search Connector Space(Buscar espacio de conector).

18. En el cuadro de diálogo Buscar espacio de conector, en Ámbito, seleccione Exportación pendiente.

19. Seleccione Eliminar.

20. Seleccione Search. Si todos los objetos coinciden, no aparecen registros coincidentes para Eliminaciones.

21. Registre los objetos pendientes de eliminación y sus valores locales.

22. Borrar Eliminar.

23. Seleccione Agregar.

24. Seleccione Modificar.

25. Seleccione Search.

26. Las funciones de actualización aparecen para los usuarios que se están sincronizando con Microsoft Entra ID a través de Okta. Agregue nuevos objetos que Okta no esté sincronizando y que se encuentren en la estructura de unidades organizativas (OU) seleccionada durante la instalación de Microsoft Entra Connect.

27. Para comprobar que Microsoft Entra Connect se comunica con Microsoft Entra ID, haga doble clic en una actualización.

Nota:

Si hay funciones de adición para un usuario en Microsoft Entra ID, su cuenta local no coincide con su cuenta en la nube. Entra Connect crea un nuevo objeto y registra agregaciones nuevas e inesperadas.

28. Antes de salir del modo de almacenamiento provisional, corrija el valor de ImmutableID en Microsoft Entra ID.

En este ejemplo, Okta marcó el atributo mail en la cuenta del usuario, aunque el valor local no era exacto. Cuando Microsoft Entra Connect toma la cuenta, el atributo mail se elimina del objeto.

29. Compruebe que las actualizaciones incluyen los atributos esperados en Microsoft Entra ID. Si se eliminan varios atributos, puede rellenar valores de AD locales antes de quitar el modo de almacenamiento provisional.

Nota:

Antes de continuar, asegúrese de que los atributos de usuario se están sincronizando y aparecen en la pestaña Exportación pendiente. Si se eliminan, asegúrese de que los valores de ImmutableID coinciden y el usuario está en una unidad organizativa seleccionada para la sincronización.

Instalación de los agentes de sincronización en la nube de Microsoft Entra Connect

Una vez que haya preparado la lista de objetivos de origen y destino, es el momento de instalar y configurar los agentes de sincronización en la nube de Microsoft Entra Connect. Consulte Tutorial: Integración de un único bosque con un único inquilino de Microsoft Entra.

Nota:

Si usa un servidor de Microsoft Entra Connect, omita esta sección.

Deshabilitación del aprovisionamiento de Okta en Microsoft Entra ID

Después de comprobar la instalación de Microsoft Entra Connect, deshabilite el aprovisionamiento de Okta en Microsoft Entra ID.

1. Vaya al portal de Okta

2. Seleccione Aplicaciones.

3. Seleccione la aplicación de Okta que aprovisiona usuarios en Microsoft Entra ID.

4. Seleccione la pestaña Aprovisionamiento.

5. Seleccione la sección Integración.

   

6. Seleccione Editar.

7. Desactive la opción Habilitar integración de API.

8. Seleccione Guardar.

   

   Nota:

   Si tiene varias aplicaciones de Office 365 que administran el aprovisionamiento en Microsoft Entra ID, asegúrese de que están desactivadas.

Deshabilitación del modo de almacenamiento provisional en Microsoft Entra Connect

Una vez deshabilitado el aprovisionamiento de Okta, el servidor de Microsoft Entra Connect puede sincronizar objetos.

Nota:

Si usa los agentes de sincronización en la nube de Microsoft Entra Connect, omita esta sección.

1. Desde el escritorio, ejecute el Asistente para la instalación.
2. Seleccione Configurar.
3. Seleccione Configurar modo de almacenamiento provisional
4. Seleccione Siguiente.
5. Escriba las credenciales de la cuenta de Administrador de identidades híbridas para su entorno.
6. Borrar Habilitar el modo almacenamiento provisional.
7. Seleccione Siguiente.
8. Seleccione Configurar.
9. Después de la configuración, abra el Servicio de sincronización como administrador.
10. Consulte la Exportación en el conector de domain.onmicrosoft.com.
11. Compruebe las adiciones, las actualizaciones y las eliminaciones.
12. La migración se ha completado. Vuelva a ejecutar el Asistente para la instalación para actualizar y expandir las características de Microsoft Entra Connect.

Habilitación de los agentes de sincronización en la nube

Sugerencia

Los pasos de este artículo pueden variar ligeramente en función del portal desde donde comienza.

Una vez deshabilitado el aprovisionamiento de Okta, el agente de sincronización en la nube de Microsoft Entra Connect puede sincronizar objetos.

1. Inicie sesión en el centro de administración de Microsoft Entra al menos como Administrador de identidad híbrida.
2. Vaya a Identidad>Administración híbrida>Microsoft Entra Connect>Sincronización de Connect.
3. Seleccione el perfil de Configuración.
4. Seleccione Habilitar.
5. Vuelva al menú de aprovisionamiento y seleccione Registros.
6. Confirme que el conector de aprovisionamiento ha actualizado los objetos locales. Los agentes de sincronización en la nube no son destructivos. Se produce un error en las actualizaciones si no se encuentra ninguna coincidencia.
7. Si un usuario no coincide, realice las actualizaciones para enlazar los valores de ImmutableID.
8. Reinicie la sincronización del aprovisionamiento en la nube.

Pasos siguientes

• Tutorial: Migración de sus aplicaciones de Okta a Microsoft Entra ID
• Tutorial: Migración de la federación Okta a la autenticación administrada por Microsoft Entra ID
• Tutorial: migración de directivas de inicio de sesión de Okta al acceso condicional