Delen via

Okta-federatie migreren naar Microsoft Entra-verificatie

  • Artikel

In deze zelfstudie leert u hoe u Office 365-tenants kunt federeren met Okta voor eenmalige aanmelding (SSO).

U kunt federatie migreren naar Microsoft Entra-id op een gefaseerde manier om een goede verificatie-ervaring voor gebruikers te garanderen. In een gefaseerde migratie kunt u omgekeerde federatietoegang testen tot resterende Okta SSO-toepassingen.

Notitie

Scenario dat in deze zelfstudie wordt beschreven, is slechts één mogelijke manier om de migratie te implementeren. Probeer de informatie aan uw specifieke installatie aan te passen.

Vereisten

  • Een Office 365-tenant die is gefedereerd naar Okta voor eenmalige aanmelding
  • Een Microsoft Entra Connect-server of Microsoft Entra Connect-cloudinrichtingsagents die zijn geconfigureerd voor het inrichten van gebruikers voor Microsoft Entra ID
  • Een van de volgende rollen: Toepassingsbeheerder, Cloudtoepassingsbeheerder of Hybride identiteitsbeheerder.

Microsoft Entra Connect configureren voor verificatie

Klanten die hun Office 365-domeinen met Okta federeren, hebben mogelijk geen geldige verificatiemethode in Microsoft Entra-id. Voordat u migreert naar beheerde verificatie, valideert u Microsoft Entra Connect en configureert u deze voor gebruikersaanmelding.

De aanmeldingsmethode instellen:

  • Wachtwoord-hashsynchronisatie : een uitbreiding van de adreslijstsynchronisatiefunctie die is geïmplementeerd door microsoft Entra Connect-server of cloudinrichtingsagents
  • Passthrough-verificatie : meld u aan bij on-premises en cloudtoepassingen met dezelfde wachtwoorden
  • Naadloze eenmalige aanmelding : gebruikers aanmelden op bedrijfscomputers die zijn verbonden met het bedrijfsnetwerk

Als u een naadloze verificatiegebruikerservaring in Microsoft Entra ID wilt maken, implementeert u naadloze eenmalige aanmelding voor wachtwoord-hashsynchronisatie of passthrough-verificatie.

Zie quickstart: Naadloze eenmalige aanmelding van Microsoft Entra voor vereisten voor naadloze eenmalige aanmelding.

Voor deze zelfstudie configureert u wachtwoord-hashsynchronisatie en naadloze eenmalige aanmelding.

Microsoft Entra Connect configureren voor wachtwoord-hashsynchronisatie en naadloze eenmalige aanmelding

  1. Open de Microsoft Entra Connect-app op de Microsoft Entra Connect-server .
  2. Selecteer Configureren.
  3. Selecteer Aanmelding van gebruiker wijzigen.
  4. Selecteer Volgende.
  5. Voer de referenties in van de hybride identiteitsbeheerder van de Microsoft Entra Connect-server.
  6. De server is geconfigureerd voor federatie met Okta. Wijzig de selectie in Wachtwoord-hashsynchronisatie.
  7. Selecteer Eenmalige aanmelding inschakelen.
  8. Selecteer Volgende.
  9. Voer voor het lokale on-premises systeem de referenties van de domeinbeheerder in.
  10. Selecteer Volgende.
  11. Selecteer Configureren op de laatste pagina.
  12. Negeer de waarschuwing voor hybride deelname van Microsoft Entra.

Gefaseerde implementatiefuncties configureren

Tip

Stappen in dit artikel kunnen enigszins variëren op basis van de portal waaruit u begint.

Voordat u het defederen van een domein test, gebruikt u in Microsoft Entra ID een gefaseerde implementatie voor cloudverificatie om defedeatie van gebruikers te testen.

Meer informatie: Migreren naar cloudverificatie met behulp van gefaseerde implementatie

Nadat u wachtwoord-hashsynchronisatie en naadloze eenmalige aanmelding hebt ingeschakeld op de Microsoft Entra Connect-server, configureert u een gefaseerde implementatie:

  1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een hybride identiteitsbeheerder.

  2. Blader naar Hybride>identiteitsbeheer>Microsoft Entra Connect>Sync.

  3. Controleer of Wachtwoord-hashsynchronisatie is ingeschakeld in de tenant.

  4. Selecteer Gefaseerde implementatie voor de beheerde gebruikersaanmelding inschakelen.

  5. Na de serverconfiguratie kan de instelling Wachtwoord-hashsynchronisatie worden gewijzigd in Aan.

  6. Schakel de instelling in.

  7. Naadloze eenmalige aanmelding is uitgeschakeld. Als u deze optie inschakelt, wordt er een fout weergegeven omdat u deze hebt ingeschakeld in de tenant.

  8. Selecteer Groepen beheren.

    Schermopname van de pagina Gefaseerde implementatiefuncties inschakelen in het Microsoft Entra-beheercentrum. Er wordt een knop Groepen beheren weergegeven.

  9. Voeg een groep toe aan de implementatie van wachtwoord-hashsynchronisatie.

  10. Wacht ongeveer 30 minuten totdat de functie van kracht wordt in uw tenant.

  11. Wanneer de functie van kracht wordt, worden gebruikers niet omgeleid naar Okta wanneer ze toegang proberen te krijgen tot Office 365-services.

De gefaseerde implementatiefunctie bevat een aantal niet-ondersteunde scenario's:

  • Verouderde verificatieprotocollen zoals Post Office Protocol 3 (POP3) en Simple Mail Transfer Protocol (SMTP) worden niet ondersteund.
  • Als u hybride deelname van Microsoft Entra voor Okta hebt geconfigureerd, gaan de hybride joinstromen van Microsoft Entra naar Okta totdat het domein is gedefedeerd.
    • Een aanmeldingsbeleid blijft in Okta voor verouderde verificatie van Windows-clients van Microsoft Entra hybrid join.

Een Okta-app maken in Microsoft Entra-id

Gebruikers die zijn geconverteerd naar beheerde verificatie, hebben mogelijk toegang nodig tot toepassingen in Okta. Registreer voor gebruikerstoegang tot deze toepassingen een Microsoft Entra-toepassing die is gekoppeld aan de startpagina van Okta.

Configureer de registratie van de bedrijfstoepassing voor Okta.

  1. Meld u als cloudtoepassingsbeheerder aan bij het Microsoft Entra-beheercentrum.

  2. Blader naar >>Alle toepassingen.

    Schermopname van het linkermenu van het Microsoft Entra-beheercentrum.

  3. Selecteer Nieuwe toepassing.

    Schermopname van de pagina Alle toepassingen in het Microsoft Entra-beheercentrum. Er is een nieuwe toepassing zichtbaar.

  4. Selecteer Uw eigen toepassing maken.

  5. Noem de Okta-app in het menu.

  6. Selecteer Een toepassing registreren waaraan u werkt om te integreren met Microsoft Entra-id.

  7. Selecteer Maken.

  8. Selecteer Accounts in een organisatiemap (Elke Microsoft Entra Directory - Multitenant).a0>

  9. Selecteer Registreren.

    Schermopname van Een toepassing registreren.

  10. Selecteer App-registraties in het menu Microsoft Entra ID.

  11. Open de gemaakte registratie.

Schermopname van de pagina App-registraties in het Microsoft Entra-beheercentrum. De nieuwe app-registratie wordt weergegeven.

  1. Noteer de tenant-id en de toepassings-id.

Notitie

U hebt de tenant-id en toepassings-id nodig om de id-provider in Okta te configureren.

Schermopname van de pagina Okta Application Access in het Microsoft Entra-beheercentrum. De tenant-id en toepassings-id worden weergegeven.

  1. Selecteer certificaten en geheimen in het linkermenu.
  2. Selecteer Nieuw clientgeheim.
  3. Voer een geheime naam in.
  4. Voer de vervaldatum in.
  5. Noteer de geheime waarde en id.

Notitie

De waarde en id worden later niet weergegeven. Als u de gegevens niet opneemt, moet u een geheim opnieuw genereren.

  1. Selecteer API-machtigingen in het linkermenu.

  2. Verleent de toepassing toegang tot de OpenID Connect-stack (OIDC).

  3. Selecteer Een machtiging toevoegen.

  4. Microsoft Graph selecteren

  5. Selecteer Gedelegeerde machtigingen.

  6. Voeg in de sectie OpenID-machtigingen e-mail, openid en profiel toe.

  7. Selecteer Machtigingen toevoegen.

  8. Selecteer Beheerderstoestemming verlenen voor <tenantdomeinnaam>.

  9. Wacht totdat de status Verleend wordt weergegeven.

    Schermopname van de pagina API-machtigingen met een bericht waarvoor toestemming is verleend.

  10. Selecteer Huisstijl in het linkermenu.

  11. Voor de URL van de startpagina voegt u de startpagina van uw gebruikerstoepassing toe.

  12. Als u in de Okta-beheerportal een nieuwe id-provider wilt toevoegen, selecteert u Beveiliging en vervolgens Id-providers.

  13. Selecteer Microsoft toevoegen.

    Schermopname van de Okta-beheerportal. Microsoft toevoegen wordt weergegeven in de lijst Id-provider toevoegen.

  14. Voer op de pagina Id-provider de toepassings-id in het veld Client-id in.

  15. Voer het clientgeheim in het veld Clientgeheim in.

  16. Selecteer Geavanceerde instelling weergeven. Deze configuratie koppelt standaard de UPN (User Principal Name) in Okta aan de UPN in Microsoft Entra ID voor reverse-federation-toegang.

    Belangrijk

    Als UPN's in Okta en Microsoft Entra-id niet overeenkomen, selecteert u een kenmerk dat gebruikelijk is tussen gebruikers.

  17. De selecties voor automatisch inrichten voltooien.

  18. Als er standaard geen overeenkomst wordt weergegeven voor een Okta-gebruiker, probeert het systeem de gebruiker in te richten in Microsoft Entra-id. Als u de inrichting van Okta hebt gemigreerd, selecteert u Omleiding naar okta-aanmeldingspagina.

    Schermopname van de pagina Algemene instellingen in de Okta-beheerportal. De optie voor het omleiden naar de aanmeldingspagina van Okta wordt weergegeven.

U hebt de id-provider (IDP) gemaakt. Gebruikers naar de juiste IDP verzenden.

  1. Selecteer routeringsregels in het menu Identity Providers en voeg routeringsregel toe.

  2. Gebruik een van de beschikbare kenmerken in het Okta-profiel.

  3. Als u aanmeldingen wilt doorsturen vanaf apparaten en IP-adressen naar Microsoft Entra-id, stelt u het beleid in dat wordt weergegeven in de volgende afbeelding. In dit voorbeeld wordt het kenmerk Divisie niet gebruikt voor alle Okta-profielen. Het is een goede keuze voor IDP-routering.

  4. Noteer de omleidings-URI om deze toe te voegen aan de toepassingsregistratie.

    Schermopname van de locatie van de omleidings-URI.

  5. Selecteer Verificatie in het menu aan de linkerkant van de toepassingsregistratie.

  6. Selecteer Een platform toevoegen

  7. Selecteer Web.

  8. Voeg de omleidings-URI toe die u hebt opgenomen in de IDP in Okta.

  9. Selecteer Toegangstokens en id-tokens.

  10. Selecteer Directory in de beheerconsole.

  11. Selecteer Personen.

  12. Als u het profiel wilt bewerken, selecteert u een testgebruiker.

  13. Voeg In het profiel ToAzureAD toe. Zie de volgende afbeelding.

  14. Selecteer Opslaan.

    Schermopname van de Okta-beheerportal. Profielinstellingen worden weergegeven en het vak Delen heeft ToAzureAD.

  15. Meld u aan bij de Microsoft 356-portal als de gewijzigde gebruiker. Als uw gebruiker zich niet in de testfase voor beheerde verificatie bevindt, voert uw actie een lus in. Als u de lus wilt afsluiten, voegt u de gebruiker toe aan de beheerde verificatie-ervaring.

De Okta-app-toegang testen op testfaseleden

Nadat u de Okta-app in Microsoft Entra ID hebt geconfigureerd en de IDP in de Okta-portal hebt geconfigureerd, wijst u de toepassing toe aan gebruikers.

  1. Blader in het Microsoft Entra-beheercentrum naar Bedrijfstoepassingen voor identiteitstoepassingen>>.

  2. Selecteer de app-registratie die u hebt gemaakt.

  3. Ga naar Gebruikers en groepen.

  4. Voeg de groep toe die overeenkomt met de testfase van de beheerde verificatie.

    Notitie

    U kunt gebruikers en groepen toevoegen vanaf de pagina Bedrijfstoepassingen . U kunt geen gebruikers toevoegen vanuit het menu App-registraties.

    Schermopname van de pagina Gebruikers en groepen van het Microsoft Entra-beheercentrum. Er wordt een groep met de naam Beheerde verificatiefaseringsgroep weergegeven.

  5. Wacht ongeveer 15 minuten.

  6. Meld u aan als een testgebruiker voor beheerde verificatie.

  7. Ga naar Mijn apps.

    Schermopname van de galerie Mijn apps. Er wordt een pictogram voor Okta Application Access weergegeven.

  8. Als u wilt terugkeren naar de startpagina van Okta, selecteert u de tegel Okta Application Access .

De beheerde verificatie testen op testleden

Nadat u de Okta reverse-federation-app hebt geconfigureerd, vraagt u gebruikers om tests uit te voeren op de beheerde verificatie-ervaring. U wordt aangeraden de huisstijl van het bedrijf te configureren om gebruikers te helpen de tenant te herkennen.

Meer informatie: De huisstijl van uw bedrijf configureren.

Belangrijk

Voordat u de domeinen van Okta verwijdert, moet u de benodigde beleidsregels voor voorwaardelijke toegang identificeren. U kunt uw omgeving beveiligen voordat u afsluit. Zie zelfstudie : Okta-aanmeldingsbeleid migreren naar voorwaardelijke toegang van Microsoft Entra.

Office 365-domeinen verwijderen

Wanneer uw organisatie vertrouwd is met de beheerde verificatie-ervaring, kunt u uw domein verwijderen van Okta. Gebruik om te beginnen de volgende opdrachten om verbinding te maken met Microsoft Graph PowerShell. Als u de Microsoft Graph PowerShell-module niet hebt, downloadt u deze door deze in te voeren Install-Module Microsoft.Graph.

  1. Meld u in PowerShell aan bij Microsoft Entra-id met behulp van een account voor hybride identiteitbeheerder.

     Connect-MgGraph -Scopes "Domain.ReadWrite.All", "Directory.AccessAsUser.All"

  2. Voer de volgende opdracht uit om het domein te converteren:

     Update-MgDomain -DomainId yourdomain.com -AuthenticationType "Managed"

  3. Controleer of het domein is geconverteerd naar beheerd door de volgende opdracht uit te voeren. Het verificatietype moet worden ingesteld op beheerd.

    Get-MgDomain -DomainId yourdomain.com

Nadat u het domein hebt ingesteld op beheerde verificatie, verwijdert u uw Office 365-tenant van Okta terwijl u gebruikerstoegang tot de startpagina van Okta behoudt.

Volgende stappen