Condividi tramite

Eseguire la migrazione della federazione Okta per l'autenticazione di Microsoft Entra

  • Articolo

Questa esercitazione descrive come federare i tenant di Office 365 con Okta per l'accesso Single Sign-On (SSO).

È possibile eseguire la migrazione della federazione a Microsoft Entra ID in più fasi per garantire un'esperienza di autenticazione ottimale per gli utenti. In una migrazione a fasi è possibile testare l'accesso alla federazione inversa per le applicazioni SSO Okta rimanenti.

Nota

Lo scenario descritto in questa esercitazione è solo uno dei modi possibili per implementare la migrazione. È consigliabile provare ad adattare le informazioni alla configurazione specifica.

Prerequisiti

  • Un tenant di Office 365 federato con Okta per l'accesso SSO
  • Un server Microsoft Entra Connect o gli agenti di provisioning cloud di Microsoft Entra Connect configurati per il provisioning degli utenti in Microsoft Entra ID
  • Uno dei ruoli seguenti: Amministratore applicazione, Amministratore applicazione cloud o Amministratore delle identità ibride.

Configurare Microsoft Entra Connect per l'autenticazione

I clienti che configurano la federazione dei loro domini di Office 365 con Okta potrebbero non avere un metodo di autenticazione valido in Microsoft Entra ID. Prima di eseguire la migrazione all'autenticazione gestita, convalidare Microsoft Entra Connect e configurarlo per l'accesso utente.

Configurare il metodo di accesso:

  • Sincronizzazione dell'hash delle password: un'estensione della funzionalità di sincronizzazione della directory implementata dagli agenti di provisioning cloud o dal server Microsoft Entra Connect
  • Autenticazione pass-through: accedere alle applicazioni locali e cloud con le stesse password
  • Accesso SSO facile (Seamless SSO): consente l'accesso agli utenti sui desktop aziendali connessi alla rete aziendale

Per creare un'esperienza utente di autenticazione senza problemi in Microsoft Entra ID, distribuire l'accesso SSO facile per la sincronizzazione dell'hash delle password o l'autenticazione pass-through.

Per i prerequisiti dell'accesso SSO facile, vedere Avvio rapido: Single Sign-On facile di Microsoft Entra.

Per questa esercitazione vengono configurati la sincronizzazione dell'hash delle password e l'accesso SSO facile.

Configurare Microsoft Entra Connect per la sincronizzazione dell'hash delle password e l'accesso SSO facile

  1. Nel server Microsoft Entra Connect aprire l'app Microsoft Entra Connect.
  2. Seleziona Configura.
  3. Selezionare Cambia l'accesso utente.
  4. Selezionare Avanti.
  5. Immettere le credenziali dell'amministratore delle identità ibride del server Microsoft Entra Connect.
  6. Il server è configurato per la federazione con Okta. Modificare la selezione in Sincronizzazione dell'hash delle password.
  7. Selezionare Abilita Single Sign-On.
  8. Selezionare Avanti.
  9. Per il sistema locale, immettere le credenziali dell'amministratore di dominio.
  10. Selezionare Avanti.
  11. Nella pagina finale selezionare Configura.
  12. Ignorare l'avviso per l'aggiunta ibrida a Microsoft Entra.

Configurare le funzionalità per l'implementazione a fasi

Prima di testare la rimozione di un dominio dalla federazione, in Microsoft Entra ID usare un'implementazione a fasi dell'autenticazione cloud per testare la rimozione degli utenti dalla federazione.

Per altre informazioni: Eseguire la migrazione all'autenticazione cloud con implementazione a fasi

Dopo aver abilitato la sincronizzazione dell'hash delle password e l'accesso SSO facile nel server Microsoft Entra Connect, configurare un'implementazione a fasi:

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno come Amministratore delle identità ibride.

  2. Passare a Identità>Gestione ibrida>Microsoft Entra Connect>Sincronizzazione Connect.

  3. Verificare che la sincronizzazione dell'hash delle password sia abilitata nel tenant.

  4. Selezionare Abilita l'implementazione a fasi per l'accesso utente gestito.

  5. Dopo la configurazione del server, l'impostazione Sincronizzazione hash password può essere cambiata in Attiva.

  6. Abilitare l'impostazione.

  7. L'accesso Single Sign-On facile è Disattivato. Se abiliti l'opzione, compare un errore perché lo hai abilitato nel tenant.

  8. Selezionare Gestisci gruppi.

    Screenshot della pagina Abilita le funzionalità dell'implementazione a fasi nell'interfaccia di amministrazione di Microsoft Entra. Viene visualizzato un pulsante Gestisci gruppi.

  9. Aggiungere un gruppo all'implementazione della sincronizzazione dell'hash delle password.

  10. Attendere circa 30 minuti per rendere effettiva la funzionalità nel tenant.

  11. Quando la funzionalità diventa effettiva, gli utenti non vengono reindirizzati a Okta quando tentano di accedere ai servizi di Office 365.

La funzionalità di implementazione a fasi presenta alcuni scenari non supportati:

  • I protocolli di autenticazione legacy, ad esempio Post Office Protocol 3 (POP3) e SMTP (Simple Mail Transfer Protocol) non sono supportati.
  • Se è stata configurata l'aggiunta ibrida di Microsoft Entra per Okta, i flussi di aggiunta ibrida di Microsoft Entra passano a Okta fino a quando il dominio non viene rimosso dalla federazione.
    • I criteri di accesso rimangono in Okta per l'autenticazione legacy dei client Windows aggiunti in modalità ibrida a Microsoft Entra.

Creare un'app Okta in Microsoft Entra ID

Gli utenti convertiti all'autenticazione gestita potrebbero dover accedere alle applicazioni in Okta. Per l'accesso utente a tali applicazioni, registrare un'applicazione Microsoft Entra che si collega alla home page di Okta.

Configurare la registrazione dell'applicazione aziendale per Okta.

  1. Accedere all'Interfaccia di amministrazione di Microsoft Entra almeno come Amministratore applicazione cloud.

  2. Passare a Identità>Applicazioni>Applicazioni aziendali>Tutte le applicazioni.

    Screenshot del menu a sinistra dell'interfaccia di amministrazione di Microsoft Entra.

  3. Selezionare Nuova applicazione.

    Screenshot che mostra la pagina Tutte le applicazioni nell'interfaccia di amministrazione di Microsoft Entra. È visibile una nuova applicazione.

  4. Selezionare Crea un'applicazione personalizzata.

  5. Nel menu assegnare un nome all'app Okta.

  6. Selezionare Registrare l'applicazione che si sta sviluppando per integrarla con Microsoft Entra ID.

  7. Seleziona Crea.

  8. Selezionare Account in qualsiasi directory organizzativa (Qualsiasi directory di Microsoft Entra - Multi-tenant).

  9. Selezionare Registra.

    Screenshot di Registra un'applicazione.

  10. Nel menu di Microsoft Entra ID selezionare Registrazioni app.

  11. Aprire la registrazione creata.

Screenshot della pagina Registrazioni app nell'interfaccia di amministrazione di Microsoft Entra. Verrà visualizzata la nuova registrazione dell'app.

  1. Registrare l'ID tenant e l'ID applicazione.

Nota

Sono necessari l'ID tenant e l'ID applicazione per configurare il provider di identità in Okta.

Screenshot della pagina Accesso all'applicazione Okta nell'interfaccia di amministrazione di Microsoft Entra. Vengono visualizzati l'ID tenant e l'ID applicazione.

  1. Nel menu a sinistra selezionare Certificati e segreti.
  2. Selezionare Nuovo segreto client.
  3. Immettere il nome del segreto.
  4. Immettere la data di scadenza.
  5. Registrare il valore del segreto e l'ID.

Nota

Il valore e l'ID non vengono visualizzati in un secondo momento. Se non si registrano le informazioni, sarà necessario rigenerare un segreto.

  1. Nel menu a sinistra selezionare Autorizzazioni API.

  2. Concedere quindi all'applicazione l'accesso allo stack OpenID Connect (OIDC).

  3. Seleziona Aggiungi autorizzazione.

  4. Selezionare Microsoft Graph.

  5. Seleziona Autorizzazioni delegate.

  6. Nella sezione Autorizzazioni OpenID aggiungere email, openid e profile.

  7. Selezionare Aggiungi autorizzazioni.

  8. Selezionare Concedi consenso amministratore per <nome dominio tenant>.

  9. Attendere che venga visualizzato lo stato Concesso.

    Screenshot della pagina Autorizzazioni API con un messaggio per il consenso concesso.

  10. Nel menu a sinistra selezionare Personalizzazione.

  11. In Pagina iniziale URL aggiungere la home page dell'applicazione utente.

  12. Nel portale di amministrazione di Okta, per aggiungere un nuovo provider di identità selezionare Sicurezza e quindi Provider di identità.

  13. Selezionare Add Microsoft.

    Screenshot del portale di amministrazione di Okta. L'opzione Add Microsoft viene visualizzata nell'elenco Add Identity Provider.

  14. Nella pagina Identity Provider immettere l'ID applicazione nel campo Client ID.

  15. Immettere il segreto client nel campo Client Secret.

  16. Selezionare Show Advanced Setting. Per impostazione predefinita, questa configurazione collega il nome dell'entità utente (UPN) in Okta all'UPN in Microsoft Entra ID per l'accesso alla federazione inversa.

    Importante

    Se gli UPN in Okta e Microsoft Entra ID non corrispondono, selezionare un attributo in comune tra gli utenti.

  17. Completare le selezioni di provisioning automatico.

  18. Per impostazione predefinita, se non viene visualizzata alcuna corrispondenza per un utente Okta, il sistema tenta di effettuare il provisioning dell'utente in Microsoft Entra ID. Se è stata eseguita la migrazione del provisioning da Okta, selezionare Redirect to Okta sign-in page.

    Screenshot della pagina General Settings nel portale di amministrazione di Okta. Viene visualizzata l'opzione per il reindirizzamento alla pagina di accesso di Okta.

È stato creato il provider di identità (IdP). Indirizzare gli utenti al provider di identità corretto.

  1. Nel menu Identity Providers selezionare Routing Rules e quindi Add Routing Rule.

  2. Usare uno degli attributi disponibili nel profilo Okta.

  3. Per indirizzare gli accessi da dispositivi e indirizzi IP a Microsoft Entra ID, configurare i criteri visualizzati nell'immagine seguente. In questo esempio, l'attributo Division non è usato in tutti i profili Okta. È una buona scelta per il routing IdP.

  4. Registrare l'URI di reindirizzamento per aggiungerlo alla registrazione dell'applicazione.

    Screenshot del percorso dell'URI di reindirizzamento.

  5. Nel menu a sinistra della registrazione dell'applicazione selezionare Autenticazione.

  6. Selezionare Aggiungi una piattaforma.

  7. Seleziona Web.

  8. Aggiungere l'URI di reindirizzamento registrato nel provider di identità in Okta.

  9. Selezionare Token di accesso e Token ID.

  10. Nella console di amministrazione selezionare Directory.

  11. Selezionare Persone.

  12. Per modificare il profilo, selezionare un utente di test.

  13. Nel profilo aggiungere ToAzureAD. Vedere l'immagine seguente.

  14. Seleziona Salva.

    Screenshot del portale di amministrazione di Okta. Vengono visualizzate le impostazioni del profilo e la casella Division include ToAzureAD.

  15. Accedere al portale di Microsoft 365 come utente modificato. Se l'utente non è incluso nel progetto pilota di autenticazione gestita, l'azione entra in un ciclo. Per uscire dal ciclo, aggiungere l'utente all'esperienza di autenticazione gestita.

Testare l'accesso dell'app Okta per i membri pilota

Dopo aver configurato l'app Okta in Microsoft Entra ID e aver configurato il provider di identità nel portale Okta, assegnare l'applicazione agli utenti.

  1. Nell'interfaccia di amministrazione di Microsoft Entra passare a Identità>Applicazioni>Applicazioni aziendali.

  2. Selezionare la registrazione dell'app creata.

  3. Passare a Utenti e gruppi.

  4. Aggiungere il gruppo correlato al progetto pilota di autenticazione gestita.

    Nota

    È possibile aggiungere utenti e gruppi dalla pagina Applicazioni aziendali. Non è possibile aggiungere utenti dal menu Registrazioni app.

    Screenshot della pagina Utenti e gruppi dell'interfaccia di amministrazione di Microsoft Entra. Viene visualizzato un gruppo denominato Gruppo di gestione temporanea dell'autenticazione gestita.

  5. Attendere circa 15 minuti.

  6. Accedere come utente pilota di autenticazione gestita.

  7. Vai ad App personali.

    Screenshot della raccolta App personali. Viene visualizzata un'icona per Accesso all'applicazione Okta.

  8. Per tornare alla home page di Okta, selezionare il riquadro Accesso all'applicazione Okta.

Testare l'autenticazione gestita per i membri pilota

Dopo aver configurato l'app di federazione inversa Okta, chiedere agli utenti di eseguire test sull'esperienza di autenticazione gestita. È consigliabile configurare la personalizzazione aziendale per aiutare gli utenti a riconoscere il tenant.

Altre informazioni: Configurare la personalizzazione aziendale.

Importante

Prima di rimuovere i domini dalla federazione da Okta, identificare i criteri di accesso condizionale necessari. È possibile proteggere l'ambiente prima del distacco. Vedere Esercitazione: Eseguire la migrazione dei criteri di accesso di Okta all'accesso condizionale di Microsoft Entra.

Rimuovere i domini di Office 365 dalla federazione

Quando l'organizzazione è a suo agio con l'esperienza di autenticazione gestita, è possibile rimuovere il dominio dalla federazione da Okta. Per iniziare, usare i comandi seguenti per connettersi a Microsoft Graph PowerShell. Se non si dispone del modulo Microsoft Graph PowerShell, scaricarlo digitando Install-Module Microsoft.Graph.

  1. In PowerShell accedere a Microsoft Entra ID usando un account di amministratore delle identità ibride.

     Connect-MgGraph -Scopes "Domain.ReadWrite.All", "Directory.AccessAsUser.All"

  2. Per convertire il dominio, eseguire il comando seguente:

     Update-MgDomain -DomainId yourdomain.com -AuthenticationType "Managed"

  3. Verificare che il dominio venga convertito in gestito eseguendo il comando seguente. Il tipo di autenticazione deve essere impostato su gestita.

    Get-MgDomain -DomainId yourdomain.com

Dopo aver impostato il dominio sull'autenticazione gestita, è necessario defederare il tenant di Office 365 da Okta mantenendo l'accesso degli utenti alla home page di Okta.

Passaggi successivi