Zelfstudie: Okta-synchronisatie inrichten migreren naar Microsoft Entra Connect-synchronisatie

In deze zelfstudie leert u hoe u gebruikersinrichting migreert van Okta naar Microsoft Entra ID en gebruikerssynchronisatie of Universal Sync migreert naar Microsoft Entra Connect. Met deze mogelijkheid kunt u inrichten in Microsoft Entra ID en Office 365.

Notitie

Wanneer u synchronisatieplatforms migreert, valideert u stappen in dit artikel voordat u Microsoft Entra Connect verwijdert uit de faseringsmodus of schakelt u de Microsoft Entra-cloudinrichtingsagent in.

Vereisten

Wanneer u overstapt van Okta-inrichting naar Microsoft Entra ID, zijn er twee opties. Gebruik een Microsoft Entra Connect-server of Microsoft Entra-cloudinrichting.

Meer informatie: Vergelijking tussen Microsoft Entra Connect en cloudsynchronisatie.

Microsoft Entra-cloudinrichting is het meest vertrouwde migratiepad voor Okta-klanten die Universal Sync of User Sync gebruiken. De cloudinrichtingsagents zijn lichtgewicht. U kunt ze installeren op of in de buurt van domeincontrollers, zoals de Okta-directorysynchronisatieagents. Installeer ze niet op dezelfde server.

Wanneer u gebruikers synchroniseert, gebruikt u een Microsoft Entra Connect-server als uw organisatie een van de volgende technologieën nodig heeft:

• Apparaatsynchronisatie: Hybride deelname van Microsoft Entra of Hello voor Bedrijven
• Pass-through-verificatie
• Ondersteuning voor meer dan 150.000 objecten
• Ondersteuning voor terugschrijven

Als u Microsoft Entra Connect wilt gebruiken, moet u zich aanmelden met de rol Hybrid Identity Administrator.

Notitie

Houd rekening met alle vereisten wanneer u Microsoft Entra Connect of Microsoft Entra-cloudinrichting installeert. Zie Vereisten voor Microsoft Entra Connect voordat u doorgaat met de installatie.

Bevestig het onveranderbare ID-kenmerk gesynchroniseerd door Okta

Het kenmerk ImmutableID koppelt gesynchroniseerde objecten aan hun on-premises tegenhangers. Okta neemt de Active Directory-objectGUID van een on-premises object en converteert het naar een met Base-64 gecodeerde tekenreeks. Standaard wordt die tekenreeks gestempeld naar het veld ImmutableID in Microsoft Entra ID.

U kunt verbinding maken met Microsoft Graph PowerShell en de huidige immutableID-waarde bekijken. Als u de Microsoft Graph PowerShell-module nog niet hebt gebruikt, voert u het volgende uit:

Install-Module AzureAD in een beheersessie voordat u de volgende opdrachten uitvoert:

Import-Module AzureAD
Connect-MgGraph

Als u de module hebt, kan er een waarschuwing worden weergegeven om bij te werken naar de nieuwste versie.

1. Importeer de geïnstalleerde module.

2. Meld u in het verificatievenster aan als ten minste een hybride identiteitsbeheerder.

3. Maak verbinding met de tenant.

4. Controleer de waarde-instellingen van immutableID. In het volgende voorbeeld wordt de objectGUID standaard geconverteerd naar de ImmutableID.

5. Bevestig handmatig de conversie van objectGUID naar Base64 on-premises. Gebruik deze opdrachten om een afzonderlijke waarde te testen:

   Get-MgUser onpremupn | fl objectguid
   $objectguid = 'your-guid-here-1010'
   [system.convert]::ToBase64String(([GUID]$objectGUID).ToByteArray())
   

ObjectGUID-methoden voor massavalidatie

Voordat u overstapt naar Microsoft Entra Connect, is het essentieel om te controleren of de onveranderbare ID-waarden in Microsoft Entra-id overeenkomen met hun on-premises waarden.

Met de volgende opdracht worden on-premises Microsoft Entra-gebruikers opgehaald en wordt een lijst met hun objectGUID-waarden en ImmutableID-waarden geëxporteerd die al zijn berekend naar een CSV-bestand.

1. Voer de volgende opdracht uit in Microsoft Graph PowerShell op een on-premises domeincontroller:

   Get-ADUser -Filter * -Properties objectGUID | Select-Object
   UserPrincipalName, Name, objectGUID, @{Name = 'ImmutableID';
   Expression = {
   [system.convert]::ToBase64String((GUID).tobytearray())
   } } | export-csv C:\Temp\OnPremIDs.csv
   

2. Voer de volgende opdracht uit in een Microsoft Graph PowerShell-sessie om de gesynchroniseerde waarden weer te geven:

   Get-MgUser -all $true | Where-Object {$_.dirsyncenabled -like
   "true"} | Select-Object UserPrincipalName, @{Name = 'objectGUID';
   Expression = {
   [GUID][System.Convert]::FromBase64String($_.ImmutableID) } },
   ImmutableID | export-csv C:\\temp\\AzureADSyncedIDS.csv
   

3. Controleer na beide exports of de waarden van immutableID van de gebruiker overeenkomen.

   Belangrijk

   Als uw onveranderbare ID-waarden in de cloud niet overeenkomen met objectGUID-waarden, hebt u de standaardwaarden voor Okta-synchronisatie gewijzigd. U hebt waarschijnlijk een ander kenmerk gekozen om onveranderbare ID-waarden te bepalen. Voordat u naar de volgende sectie gaat, moet u bepalen welk bronkenmerk immutableID-waarden vult. Voordat u Okta-synchronisatie uitschakelt, werkt u het kenmerk okta bij dat wordt gesynchroniseerd.

Microsoft Entra Connect installeren in faseringsmodus

Nadat u de lijst met bron- en doeldoelen hebt voorbereid, installeert u een Microsoft Entra Connect-server. Als u Microsoft Entra Connect-cloudinrichting gebruikt, slaat u deze sectie over.

1. Download en installeer Microsoft Entra Connect op een server. Zie de aangepaste installatie van Microsoft Entra Connect.

2. Selecteer Gebruikers identificeren in het linkerdeelvenster.

3. Selecteer op de pagina Uniek identificeren van uw gebruikers onder Selecteren hoe gebruikers moeten worden geïdentificeerd met Microsoft Entra-id de optie Kies een specifiek kenmerk.

4. Als u de okta-standaardinstelling niet hebt gewijzigd, selecteert u mS-DS-ConsistencyGUID.

   Waarschuwing

   Deze stap is essentieel. Zorg ervoor dat het kenmerk dat u selecteert voor een bronanker uw Microsoft Entra-gebruikers vult. Als u het verkeerde kenmerk selecteert, verwijdert en installeert u Microsoft Entra Connect opnieuw om deze optie opnieuw te selecteren.

5. Selecteer Volgende.

6. Selecteer Configureren in het linkerdeelvenster.

7. Op de pagina Gereed om te configureren selecteert u Faseringsmodus inschakelen.

8. Selecteer Installeren.

9. Controleer of de immutableID-waarden overeenkomen.

10. Wanneer de configuratie is voltooid, selecteert u Afsluiten.

11. Open Synchronisatieservice als beheerder.

12. Zoek de Volledige synchronisatie naar de domain.onmicrosoft.com connectorgebied.

13. Controleer of er gebruikers zijn op het tabblad Connectors met stroomupdates .

14. Controleer of er geen verwijderingen in behandeling zijn in de export.

15. Selecteer het tabblad Connectors.

16. Markeer de domain.onmicrosoft.com verbindingslijnruimte.

17. Selecteer de zoekconnectorruimte.

18. In het dialoogvenster Connectorgebied zoeken onder Bereik selecteert u Exporten in behandeling.

19. Selecteer Verwijderen.

20. Selecteer Zoeken. Als alle objecten overeenkomen, worden er geen overeenkomende records weergegeven voor Deletes.

21. Recordobjecten die in behandeling zijn met verwijdering en hun on-premises waarden.

22. Wis verwijderen.

23. Selecteer Toevoegen.

24. Selecteer Wijzigen.

25. Selecteer Zoeken.

26. Updatefuncties worden weergegeven voor gebruikers die worden gesynchroniseerd met Microsoft Entra ID via Okta. Nieuwe objecten toevoegen okta wordt niet gesynchroniseerd. Deze bevinden zich in de organisatie-eenheidsstructuur die is geselecteerd tijdens de installatie van Microsoft Entra Connect.

27. Dubbelklik op een update om te zien wat Microsoft Entra Connect communiceert met Microsoft Entra ID.

Notitie

Als er functies zijn toegevoegd voor een gebruiker in Microsoft Entra ID, komt het on-premises account niet overeen met het cloudaccount. Entra Connect maakt een nieuw object en records nieuwe en onverwachte adds.

28. Voordat u de faseringsmodus afsluit, corrigeert u de immutableID-waarde in Microsoft Entra-id.

In dit voorbeeld heeft Okta het e-mailkenmerk aan het account van de gebruiker gestempeld, hoewel de on-premises waarde niet juist was. Wanneer Microsoft Entra Connect het account overneemt, wordt het e-mailkenmerk verwijderd uit het object.

29. Controleer of updates kenmerken bevatten die worden verwacht in Microsoft Entra-id. Als er meerdere kenmerken worden verwijderd, kunt u on-premises AD-waarden invullen voordat u de faseringsmodus verwijdert.

Notitie

Voordat u doorgaat, moet u ervoor zorgen dat gebruikerskenmerken worden gesynchroniseerd en weergegeven op het tabblad Export in behandeling. Als ze worden verwijderd, moet u ervoor zorgen dat de immutableID-waarden overeenkomen en dat de gebruiker zich in een geselecteerde organisatie-eenheid bevindt voor synchronisatie.

Microsoft Entra Connect-cloudsynchronisatieagents installeren

Nadat u uw lijst met bron- en doeldoelen hebt voorbereid, installeert en configureert u Microsoft Entra Connect-cloudsynchronisatieagents. Zie zelfstudie : Één forest integreren met één Microsoft Entra-tenant.

Notitie

Als u een Microsoft Entra Connect-server gebruikt, slaat u deze sectie over.

Okta-inrichting uitschakelen voor Microsoft Entra-id

Nadat u de installatie van Microsoft Entra Connect hebt gecontroleerd, schakelt u Okta-inrichting uit voor Microsoft Entra-id.

1. Ga naar de Okta-portal

2. Selecteer Sollicitaties.

3. Selecteer de Okta-app waarmee gebruikers worden ingesteld voor Microsoft Entra-id.

4. Selecteer het tabblad Inrichten.

5. Selecteer de sectie Integratie .

   

6. Selecteer Bewerken.

7. Schakel de optie API-integratie inschakelen uit.

8. Selecteer Opslaan.

   

   Notitie

   Als u meerdere Office 365-apps hebt die het inrichten voor Microsoft Entra ID verwerken, moet u ervoor zorgen dat ze zijn uitgeschakeld.

Faseringsmodus uitschakelen in Microsoft Entra Connect

Nadat u Okta-inrichting hebt uitgeschakeld, kan de Microsoft Entra Connect-server objecten synchroniseren.

Notitie

Als u Microsoft Entra Connect-cloudsynchronisatieagents gebruikt, slaat u deze sectie over.

1. Voer vanaf het bureaublad de installatiewizard uit vanaf het bureaublad.
2. Selecteer Configureren.
3. Faseringsmodus configureren selecteren
4. Selecteer Volgende.
5. Voer de referenties in van het Account Hybrid Identity Administrator voor uw omgeving.
6. Schakel de faseringsmodus inschakelen uit.
7. Selecteer Volgende.
8. Selecteer Configureren.
9. Open na de configuratie de synchronisatieservice als beheerder.
10. Bekijk de export op de domain.onmicrosoft.com-connector.
11. Controleer toevoegingen, updates en verwijderingen.
12. De migratie is voltooid. Voer de installatiewizard opnieuw uit om Microsoft Entra Connect-functies bij te werken en uit te vouwen.

Cloudsynchronisatieagenten inschakelen

Tip

Stappen in dit artikel kunnen enigszins variëren op basis van de portal waaruit u begint.

Nadat u Okta-inrichting hebt uitgeschakeld, kan de Microsoft Entra Connect-cloudsynchronisatieagent objecten synchroniseren.

1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een hybride identiteitsbeheerder.
2. Blader naar Hybride>identiteitsbeheer>Microsoft Entra Connect>Sync.
3. Selecteer Configuratieprofiel .
4. Selecteer Inschakelen.
5. Keer terug naar het inrichtingsmenu en selecteer Logboeken.
6. Controleer of de inrichtingsconnector in-place objecten heeft bijgewerkt. De cloudsynchronisatieagenten zijn niet-destructief. Updates mislukken als er geen overeenkomst is gevonden.
7. Als een gebruiker niet overeenkomt, moet u updates uitvoeren om de immutableID-waarden te binden.
8. Start de cloudinrichtingssynchronisatie opnieuw.

Volgende stappen

• Zelfstudie: Uw toepassingen migreren van Okta naar Microsoft Entra-id
• Zelfstudie: Okta-federatie migreren naar door Microsoft Entra ID beheerde verificatie
• Zelfstudie: Okta-aanmeldingsbeleid migreren naar voorwaardelijke toegang