Condividi tramite

Eseguire la migrazione delle applicazioni da Okta a Microsoft Entra ID

  • Articolo

In questa esercitazione si apprenderà come eseguire la migrazione delle applicazioni da Okta a Microsoft Entra ID.

Prerequisiti

Per gestire l'applicazione in Microsoft Entra ID, è necessario:

  • Un account utente di Microsoft Entra. Chi non ha ancora un account può crearlo gratuitamente.
  • Uno dei ruoli seguenti: Amministratore applicazione cloud, Amministratore di applicazioni oppure proprietario dell'entità servizio.

Creare un inventario delle applicazioni Okta correnti

Prima della migrazione, documentare le impostazioni correnti dell'ambiente e delle applicazioni. È possibile usare l'API Okta per raccogliere queste informazioni. Usare uno strumento di esplorazione delle API, come Postman.

Per creare un inventario di applicazioni:

  1. Con l'app Postman generare un token API dalla console di amministrazione di Okta.

  2. Nel dashboard dell'API, in Security selezionare Tokens>Create Token.

    Screenshot delle opzioni Tokens e Create Token in Security.

  3. Immettere il nome di un token e quindi selezionare Create Token.

    Screenshot della voce Name in Create Token.

  4. Registrare il valore del token e salvarlo. Dopo aver selezionato OK, ho capito, non è accessibile.

    Screenshot del campo Token Value e dell'opzione OK got it.

  5. Nell'area di lavoro nell'app Postman selezionare Importa.

  6. Nella pagina Import selezionare Collegamento. Per importare l'API, inserire il collegamento seguente:

https://developer.okta.com/docs/api/postman/example.oktapreview.com.environment

Screenshot delle opzioni Link e Continue in Import.

Nota

Non modificare il collegamento con i valori del tenant.

  1. Selezionare Importa.

    Screenshot dell'opzione Import in Import.

  2. Dopo l'importazione dell'API, modificare la selezione Environment in {yourOktaDomain}.

  3. Per modificare l'ambiente Okta, selezionare l'icona a forma di occhio . A questo punto selezionare Edit (Modifica).

    Screenshot dell'icona a forma di occhio e dell'opzione Edit in Overview.

  4. Nei campi Initial Value e Current Value aggiornare i valori per l'URL e la chiave API. Modificare il nome in modo che rispecchi l'ambiente.

  5. Salvare i valori.

    Screenshot dei campi Initial Value e Current Value in Overview.

  6. Caricare l'API in Postman.

  7. Selezionare Apps>Get List Apps>Send.

Nota

È possibile stampare le applicazioni nel tenant Okta. L'elenco è in formato JSON.

Screenshot dell'opzione Send e dell'elenco Apps.

È consigliabile copiare e convertire l'elenco JSON in formato CSV:

Nota

Per avere un record delle applicazioni nel tenant Okta, scaricare il file CSV.

Eseguire la migrazione di un'applicazione SAML a Microsoft Entra ID

Per eseguire la migrazione di un'applicazione SAML 2.0 a Microsoft Entra ID, configurare l'applicazione nel tenant di Microsoft Entra per l'accesso all'applicazione. In questo esempio si converte un'istanza di Salesforce.

  1. Accedere all'Interfaccia di amministrazione di Microsoft Entra almeno come Amministratore applicazione cloud.

  2. Passare a Identità>Applicazioni>Applicazioni aziendali>Tutte le applicazioni e quindi selezionare Nuova applicazione.

  3. Nella raccolta di Microsoft Entra cercare Salesforce, selezionare l'applicazione e quindi selezionare Crea.

    Screenshot delle applicazioni nella raccolta di Microsoft Entra.

  4. Dopo aver creato l'applicazione, nella scheda Single Sign-On (SSO) selezionare SAML.

    Screenshot dell'opzione SAML in Single Sign-On.

  5. Scaricare il Certificato (non elaborato) e il file XML dei metadati di federazione per importarlo in Salesforce.

  6. Nella console di amministrazione di Salesforce selezionare Identità>Impostazioni Single Sign-On>Nuova da file di metadati.

    Screenshot dell'opzione New from Metadata File in Single Sign-On Settings.

  7. Caricare il file XML scaricato dall'interfaccia di amministrazione di Microsoft Entra. Selezionare Crea.

  8. Caricare il certificato scaricato da Azure. Seleziona Salva.

  9. Registrare i valori nei campi seguenti. I valori sono in Azure.

    • L'ID entità
    • URL di accesso
    • URL di disconnessione

  10. Selezionare Scarica metadati.

  11. Per caricare il file nell'interfaccia di amministrazione di Microsoft Entra, nella pagina Applicazioni aziendali di Microsoft Entra ID, nelle impostazioni SSO SAML selezionare Carica file di metadati.

  12. Verificare che i valori importati corrispondano ai valori registrati. Seleziona Salva.

    Screenshot delle voci per l'accesso basato su SAML e la configurazione SAML di base.

  13. Nella console di amministrazione di Salesforce selezionare Company Settings>My Domain. Passare ad Authentication Configuration e quindi selezionare Edit.

    Screenshot dell'opzione Edit in My Domain.

  14. Per un'opzione di accesso, selezionare il nuovo provider SAML configurato. Seleziona Salva.

    Screenshot delle opzioni Authentication Service in Authentication Configuration.

  15. Nella pagina Applicazioni aziendali in Microsoft Entra ID selezionare Utenti e gruppi. Aggiungere quindi gli utenti di test.

    Screenshot di Utenti e gruppi con un elenco di utenti di test.

  16. Per testare la configurazione, accedere come utente di test. Passare alla raccolta di app di Microsoft e quindi selezionare Salesforce.

    Screenshot dell'opzione Salesforce in Tutte le app in App personali.

  17. Per accedere, selezionare il provider di identità (IdP) configurato.

    Screenshot della pagina di accesso di Salesforce.

Nota

Se la configurazione è corretta, l'utente di test accede alla home page di Salesforce. Per informazioni sulla risoluzione dei problemi, vedere la guida al debug.

  1. Nella pagina Applicazioni aziendali assegnare gli utenti rimanenti all'applicazione Salesforce con i ruoli corretti.

Nota

Dopo aver aggiunto gli utenti rimanenti all'applicazione Microsoft Entra, gli utenti possono testare la connessione per assicurarsi di avere accesso. Testare la connessione prima del passaggio successivo.

  1. Nella console di amministrazione di Salesforce selezionare Company Settings>My Domain.

  2. In Authentication Configuration selezionare Edit. Per il servizio di autenticazione, deselezionare la selezione per Okta.

    Screenshot delle opzioni Save e Authentication Service in Authentication Configuration.

Eseguire la migrazione di un'applicazione OpenID Connect o OAuth 2.0 a Microsoft Entra ID

Suggerimento

I passaggi descritti in questo articolo possono variare leggermente in base al portale da cui si inizia.

Per eseguire la migrazione di un'applicazione OpenID Connect (OIDC) o OAuth 2.0 a Microsoft Entra ID, nel tenant di Microsoft Entra configurare l'applicazione per l'accesso. In questo esempio si converte un'app OIDC personalizzata.

Per completare la migrazione, ripetere la configurazione per tutte le applicazioni nel tenant Okta.

  1. Accedere all'Interfaccia di amministrazione di Microsoft Entra almeno come Amministratore applicazione cloud.

  2. Passare a Identità>Applicazioni>Applicazioni aziendali>Tutte le applicazioni.

  3. Selezionare Nuova applicazione.

  4. Selezionare Crea un'applicazione personalizzata.

  5. Nel menu visualizzato assegnare un nome all'app OIDC e quindi selezionare Registrare l'applicazione che si sta sviluppando per integrarla con Microsoft Entra ID.

  6. Seleziona Crea.

  7. Nella pagina successiva configurare la tenancy della registrazione dell'applicazione. Per altre informazioni, vedere Tenancy in Microsoft Entra ID. Passare ad Account in qualsiasi directory organizzativa (Qualsiasi directory di Microsoft Entra - Multi-tenant)>Registra.

    Screenshot dell'opzione Account in qualsiasi directory organizzativa (Qualsiasi directory di Microsoft Entra - Multi-tenant).

  8. Nella pagina Registrazioni app, in Microsoft Entra ID aprire la registrazione creata.

Nota

A seconda dello scenario dell'applicazione, sono disponibili varie azioni di configurazione. La maggior parte degli scenari richiede un segreto client dell'app.

  1. Nella pagina Panoramica registrare l'ID applicazione (client). L'ID viene usato nell'applicazione.

  2. A sinistra selezionare Certificati e segreti. Selezionare quindi + Nuovo segreto client. Specificare un nome per il segreto client e impostarne la scadenza.

  3. Registrare il valore e l'ID del segreto.

Nota

Se non si trova il segreto client, non è possibile recuperarlo. Sarà invece necessario rigenerarlo.

  1. A sinistra selezionare Autorizzazioni API. Concedere quindi all'applicazione l'accesso allo stack OIDC.

  2. Selezionare + Aggiungi autorizzazione>Microsoft Graph>Autorizzazioni delegate.

  3. Nella sezione Autorizzazioni OpenID selezionareemail, openid e profile. Quindi seleziona Aggiungi autorizzazioni.

  4. Per migliorare l'esperienza utente ed eliminare le richieste di consenso utente, selezionare Concedi consenso amministratore per Nome dominio tenant. Attendere che venga visualizzato lo stato Concesso.

    Screenshot del messaggio Il consenso amministratore per le autorizzazioni richieste è stato fornito, in Autorizzazioni API.

  5. Se l'applicazione ha un URI di reindirizzamento, immettere l'URI. Se l'URL di risposta è destinato alla scheda Autenticazione, seguito da Aggiungi una piattaforma e Web, immettere l'URL.

  6. Selezionare Token di accesso e Token ID.

  7. Seleziona Configura.

  8. Se necessario, nel menu Autenticazione in Impostazioni avanzate e Consenti flussi client pubblici selezionare .

    Screenshot dell'opzione Sì in Autenticazione.

  9. Prima di eseguire il test, nell'applicazione configurata da OIDC importare l'ID applicazione e il segreto client.

Nota

Usare i passaggi precedenti per configurare l'applicazione con impostazioni quali ID client, segreto e ambiti.

Eseguire la migrazione di un server di autorizzazione personalizzato a Microsoft Entra ID

I server di autorizzazione Okta eseguono il mapping uno-a-uno alle registrazioni delle applicazioni che espongono un'API.

Eseguire il mapping del server di autorizzazione Okta predefinito agli ambiti o alle autorizzazioni di Microsoft Graph.

Screenshot dell'opzione Aggiungi un ambito in Esporre un'API.

Passaggi successivi