Migrowanie aplikacji z usługi Okta do identyfikatora Entra firmy Microsoft
Z tego samouczka dowiesz się, jak migrować aplikacje z usługi Okta do identyfikatora Entra firmy Microsoft.
Wymagania wstępne
Aby zarządzać aplikacją w usłudze Microsoft Entra ID, potrzebne są następujące elementy:
- Konto użytkownika Microsoft Entra. Jeśli jeszcze go nie masz, możesz bezpłatnie utworzyć konto.
- Jedną z następujących ról: Administrator aplikacji w chmurze, Administrator aplikacji lub właściciel jednostki usługi.
Tworzenie spisu bieżących aplikacji Usługi Okta
Przed migracją należy udokumentować bieżące środowisko i ustawienia aplikacji. Aby zebrać te informacje, możesz użyć interfejsu API Usługi Okta. Użyj narzędzia eksploratora interfejsu API, takiego jak Postman.
Aby utworzyć spis aplikacji:
Za pomocą aplikacji Postman z poziomu konsoli administracyjnej usługi Okta wygeneruj token interfejsu API.
Na pulpicie nawigacyjnym interfejsu API w obszarze Zabezpieczenia wybierz pozycję >.
Wprowadź nazwę tokenu, a następnie wybierz pozycję Utwórz token.
Zarejestruj wartość tokenu i zapisz ją. Po wybraniu OK,jest on niedostępny.
W aplikacji Postman w obszarze roboczym wybierz pozycję Importuj.
Na stronie Importowanie wybierz pozycję Połącz. Aby zaimportować interfejs API, wstaw następujący link:
https://developer.okta.com/docs/api/postman/example.oktapreview.com.environment
Uwaga
Nie modyfikuj łącza przy użyciu wartości dzierżawy.
Wybierz Importuj.
Po zaimportowaniu interfejsu API zmień wybór środowiska na {yourOktaDomain}.
Aby edytować środowisko Okta, wybierz ikonę oka . Wybierz pozycję Edytuj.
W polach Wartość początkowa i Bieżąca wartość zaktualizuj wartości adresu URL i klucza interfejsu API. Zmień nazwę, aby odzwierciedlała środowisko.
Zapisz wartości.
Wybierz pozycję >>Wyślij.
Uwaga
Aplikacje można wydrukować w dzierżawie usługi Okta. Lista jest w formacie JSON.
Zalecamy skopiowanie i przekonwertowanie tej listy JSON na format CSV:
- Używanie konwertera publicznego, takiego jak Konklone
- Lub w przypadku programu PowerShell użyj polecenia ConvertFrom-Json i ConvertTo-CSV
Uwaga
Aby uzyskać rekord aplikacji w dzierżawie usługi Okta, pobierz plik CSV.
Migrowanie aplikacji SAML do identyfikatora Entra firmy Microsoft
Aby przeprowadzić migrację aplikacji SAML 2.0 do identyfikatora Entra firmy Microsoft, skonfiguruj aplikację w dzierżawie microsoft Entra na potrzeby dostępu do aplikacji. W tym przykładzie konwertujemy wystąpienie usługi Salesforce.
Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator aplikacji w chmurze.
Przejdź do pozycji Identity>Applications Enterprise Applications>Wszystkie aplikacje>, a następnie wybierz pozycję Nowa aplikacja.
W galerii Microsoft Entra wyszukaj pozycję Salesforce, wybierz aplikację, a następnie wybierz pozycję Utwórz.
Po utworzeniu aplikacji na karcie Logowanie jednokrotne wybierz pozycję SAML.
Pobierz plik XML metadanych certyfikatu (nieprzetworzonego) i metadanych federacji, aby zaimportować go do usługi Salesforce.
W konsoli administracyjnej usługi Salesforce wybierz pozycję Identity Single Sign-On Settings New (Ustawienia>) w pliku metadanych.
Przekaż pobrany plik XML z centrum administracyjnego firmy Microsoft Entra. Następnie wybierz Utwórz.
Przekaż certyfikat pobrany z platformy Azure. Wybierz pozycję Zapisz.
Zapisz wartości w następujących polach. Wartości znajdują się na platformie Azure.
- Identyfikator jednostki
- Adres URL logowania
- Adres URL wylogowywania
Wybierz pozycję Pobierz metadane.
Aby przekazać plik do centrum administracyjnego firmy Microsoft Entra, na stronie Aplikacje dla przedsiębiorstw Microsoft Entra ID w ustawieniach logowania jednokrotnego SAML wybierz pozycję Przekaż plik metadanych.
Upewnij się, że zaimportowane wartości są zgodne z zarejestrowanymi wartościami. Wybierz pozycję Zapisz.
W konsoli administracyjnej usługi Salesforce wybierz pozycję Ustawienia>firmy Moja domena. Przejdź do pozycji Konfiguracja uwierzytelniania, a następnie wybierz pozycję Edytuj.
W przypadku opcji logowania wybierz skonfigurowanego nowego dostawcę SAML. Wybierz pozycję Zapisz.
W polu Microsoft Entra ID na stronie Aplikacje dla przedsiębiorstw wybierz pozycję Użytkownicy i grupy. Następnie dodaj użytkowników testowych.
Aby przetestować konfigurację, zaloguj się jako użytkownik testowy. Przejdź do galerii aplikacji firmy Microsoft, a następnie wybierz pozycję Salesforce.
Aby się zalogować, wybierz skonfigurowanego dostawcę tożsamości (IdP).
Uwaga
Jeśli konfiguracja jest poprawna, użytkownik testowy znajduje się na stronie głównej usługi Salesforce. Aby uzyskać pomoc dotyczącą rozwiązywania problemów, zobacz przewodnik debugowania.
- Na stronie Aplikacje dla przedsiębiorstw przypisz pozostałych użytkowników do aplikacji Salesforce z odpowiednimi rolami.
Uwaga
Po dodaniu pozostałych użytkowników do aplikacji Microsoft Entra użytkownicy mogą przetestować połączenie, aby upewnić się, że mają dostęp. Przetestuj połączenie przed następnym krokiem.
W konsoli administracyjnej usługi Salesforce wybierz pozycję Ustawienia>firmy Moja domena.
W obszarze Konfiguracja uwierzytelniania wybierz pozycję Edytuj. W przypadku usługi uwierzytelniania wyczyść zaznaczenie opcji Okta.
Migrowanie aplikacji OpenID Connect lub OAuth 2.0 do identyfikatora Entra firmy Microsoft
Napiwek
Kroki opisane w tym artykule mogą się nieznacznie różnić w zależności od portalu, od którego zaczynasz.
Aby przeprowadzić migrację aplikacji OpenID Connect (OIDC) lub OAuth 2.0 do identyfikatora Entra firmy Microsoft, w dzierżawie firmy Microsoft Entra skonfiguruj aplikację pod kątem dostępu. W tym przykładzie konwertujemy niestandardową aplikację OIDC.
Aby ukończyć migrację, powtórz konfigurację dla wszystkich aplikacji w dzierżawie usługi Okta.
Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator aplikacji w chmurze.
Przejdź do sekcji Identity>Applications Enterprise Applications>Wszystkie aplikacje.>
Wybierz pozycję Nowa aplikacja.
Wybierz pozycję Utwórz własną aplikację.
W wyświetlonym menu nadaj nazwę aplikacji OIDC, a następnie wybierz pozycję Zarejestruj aplikację, nad którą pracujesz, aby zintegrować z identyfikatorem Entra firmy Microsoft.
Wybierz pozycję Utwórz.
Na następnej stronie skonfiguruj dzierżawę rejestracji aplikacji. Aby uzyskać więcej informacji, zobacz Dzierżawa w usłudze Microsoft Entra ID. Przejdź do pozycji Konta w dowolnym katalogu organizacyjnym (dowolny katalog Microsoft Entra — multitenant)>Zarejestruj.
Na stronie Rejestracje aplikacji w obszarze Microsoft Entra ID otwórz utworzoną rejestrację.
Uwaga
W zależności od scenariusza aplikacji istnieją różne akcje konfiguracji. Większość scenariuszy wymaga wpisu tajnego klienta aplikacji.
Na stronie Przegląd zapisz identyfikator aplikacji (klienta). Ten identyfikator jest używany w aplikacji.
Po lewej stronie wybierz pozycję Certyfikaty i wpisy tajne. Następnie wybierz pozycję + Nowy klucz tajny klienta. Nazwij klucz tajny klienta i ustaw jego wygaśnięcie.
Zarejestruj wartość i identyfikator wpisu tajnego.
Uwaga
Jeśli wpis tajny klienta zostanie zagubiony, nie będzie można go pobrać. Zamiast tego ponownie wygeneruj wpis tajny.
Po lewej stronie wybierz pozycję Uprawnienia interfejsu API. Następnie przyznaj aplikacji dostęp do stosu OIDC.
Wybierz pozycję + Dodaj uprawnienia>delegowane programu Microsoft Graph.>
W sekcji Uprawnienia OpenId wybierz pozycję email, openid i profil. Wybierz opcję Dodaj uprawnienia.
Aby poprawić środowisko użytkownika i pominąć monity o wyrażenie zgody użytkownika, wybierz pozycję Udziel zgody administratora dla nazwy domeny dzierżawy. Poczekaj na wyświetlenie stanu Przyznane .
Jeśli aplikacja ma identyfikator URI przekierowania, wprowadź identyfikator URI. Jeśli adres URL odpowiedzi jest przeznaczony dla karty Uwierzytelnianie, a następnie dodaj platformę i sieć Web, wprowadź adres URL.
Wybierz pozycję Tokeny dostępu i tokeny identyfikatorów.
Wybierz Konfiguruj.
W razie potrzeby w menu Uwierzytelnianie w obszarze Ustawienia zaawansowane i Zezwalaj na przepływy klientów publicznych wybierz pozycję Tak.
Przed przetestowaniem w aplikacji skonfigurowanej przez usługę OIDC zaimportuj identyfikator aplikacji i klucz tajny klienta.
Uwaga
Wykonaj poprzednie kroki, aby skonfigurować aplikację przy użyciu ustawień, takich jak identyfikator klienta, wpis tajny i zakresy.
Migrowanie niestandardowego serwera autoryzacji do identyfikatora Entra firmy Microsoft
Serwery autoryzacji usługi Okta mapować jeden do jednego do rejestracji aplikacji, które uwidaczniają interfejs API.
Zamapuj domyślny serwer autoryzacji Okta na zakresy lub uprawnienia programu Microsoft Graph.