Udostępnij za pośrednictwem


Migrowanie aplikacji z usługi Okta do identyfikatora Entra firmy Microsoft

Z tego samouczka dowiesz się, jak migrować aplikacje z usługi Okta do identyfikatora Entra firmy Microsoft.

Wymagania wstępne

Aby zarządzać aplikacją w usłudze Microsoft Entra ID, potrzebne są następujące elementy:

  • Konto użytkownika Microsoft Entra. Jeśli jeszcze go nie masz, możesz bezpłatnie utworzyć konto.
  • Jedną z następujących ról: Administrator aplikacji w chmurze, Administrator aplikacji lub właściciel jednostki usługi.

Tworzenie spisu bieżących aplikacji Usługi Okta

Przed migracją należy udokumentować bieżące środowisko i ustawienia aplikacji. Aby zebrać te informacje, możesz użyć interfejsu API Usługi Okta. Użyj narzędzia eksploratora interfejsu API, takiego jak Postman.

Aby utworzyć spis aplikacji:

  1. Za pomocą aplikacji Postman z poziomu konsoli administracyjnej usługi Okta wygeneruj token interfejsu API.

  2. Na pulpicie nawigacyjnym interfejsu API w obszarze Zabezpieczenia wybierz pozycję >.

    Zrzut ekranu przedstawiający opcje Tokeny i Utwórz tokeny w obszarze Zabezpieczenia.

  3. Wprowadź nazwę tokenu, a następnie wybierz pozycję Utwórz token.

    Zrzut ekranu przedstawiający wpis Nazwa w obszarze Tworzenie tokenu.

  4. Zarejestruj wartość tokenu i zapisz ją. Po wybraniu OK,jest on niedostępny.

    Zrzut ekranu przedstawiający pole Wartość tokenu i opcję OK.

  5. W aplikacji Postman w obszarze roboczym wybierz pozycję Importuj.

  6. Na stronie Importowanie wybierz pozycję Połącz. Aby zaimportować interfejs API, wstaw następujący link:

https://developer.okta.com/docs/api/postman/example.oktapreview.com.environment

Zrzut ekranu przedstawiający opcje Połącz i Kontynuuj w obszarze Importowanie.

Uwaga

Nie modyfikuj łącza przy użyciu wartości dzierżawy.

  1. Wybierz Importuj.

    Zrzut ekranu przedstawiający opcję Importuj w obszarze Importuj.

  2. Po zaimportowaniu interfejsu API zmień wybór środowiska na {yourOktaDomain}.

  3. Aby edytować środowisko Okta, wybierz ikonę oka . Wybierz pozycję Edytuj.

    Zrzut ekranu przedstawiający ikonę oka i opcję Edytuj w obszarze Przegląd.

  4. W polach Wartość początkowa i Bieżąca wartość zaktualizuj wartości adresu URL i klucza interfejsu API. Zmień nazwę, aby odzwierciedlała środowisko.

  5. Zapisz wartości.

    Zrzut ekranu przedstawiający pola Wartość początkowa i Bieżąca wartość w obszarze Przegląd.

  6. Załaduj interfejs API do narzędzia Postman.

  7. Wybierz pozycję >>Wyślij.

Uwaga

Aplikacje można wydrukować w dzierżawie usługi Okta. Lista jest w formacie JSON.

Zrzut ekranu przedstawiający opcję Wyślij i listę Aplikacje.

Zalecamy skopiowanie i przekonwertowanie tej listy JSON na format CSV:

Uwaga

Aby uzyskać rekord aplikacji w dzierżawie usługi Okta, pobierz plik CSV.

Migrowanie aplikacji SAML do identyfikatora Entra firmy Microsoft

Aby przeprowadzić migrację aplikacji SAML 2.0 do identyfikatora Entra firmy Microsoft, skonfiguruj aplikację w dzierżawie microsoft Entra na potrzeby dostępu do aplikacji. W tym przykładzie konwertujemy wystąpienie usługi Salesforce.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator aplikacji w chmurze.

  2. Przejdź do pozycji Identity>Applications Enterprise Applications>Wszystkie aplikacje>, a następnie wybierz pozycję Nowa aplikacja.

  3. W galerii Microsoft Entra wyszukaj pozycję Salesforce, wybierz aplikację, a następnie wybierz pozycję Utwórz.

    Zrzut ekranu aplikacji w galerii Microsoft Entra.

  4. Po utworzeniu aplikacji na karcie Logowanie jednokrotne wybierz pozycję SAML.

    Zrzut ekranu przedstawiający opcję SAML w przypadku logowania jednokrotnego.

  5. Pobierz plik XML metadanych certyfikatu (nieprzetworzonego) i metadanych federacji, aby zaimportować go do usługi Salesforce.

  6. W konsoli administracyjnej usługi Salesforce wybierz pozycję Identity Single Sign-On Settings New (Ustawienia>) w pliku metadanych.

    Zrzut ekranu przedstawiający opcję Nowy z pliku metadanych w obszarze Logowanie jednokrotne Ustawienia.

  7. Przekaż pobrany plik XML z centrum administracyjnego firmy Microsoft Entra. Następnie wybierz Utwórz.

  8. Przekaż certyfikat pobrany z platformy Azure. Wybierz pozycję Zapisz.

  9. Zapisz wartości w następujących polach. Wartości znajdują się na platformie Azure.

    • Identyfikator jednostki
    • Adres URL logowania
    • Adres URL wylogowywania
  10. Wybierz pozycję Pobierz metadane.

  11. Aby przekazać plik do centrum administracyjnego firmy Microsoft Entra, na stronie Aplikacje dla przedsiębiorstw Microsoft Entra ID w ustawieniach logowania jednokrotnego SAML wybierz pozycję Przekaż plik metadanych.

  12. Upewnij się, że zaimportowane wartości są zgodne z zarejestrowanymi wartościami. Wybierz pozycję Zapisz.

    Zrzut ekranu przedstawiający wpisy logowania opartego na protokole SAML i podstawową konfigurację protokołu SAML.

  13. W konsoli administracyjnej usługi Salesforce wybierz pozycję Ustawienia>firmy Moja domena. Przejdź do pozycji Konfiguracja uwierzytelniania, a następnie wybierz pozycję Edytuj.

    Zrzut ekranu przedstawiający opcję Edytuj w obszarze Moja domena.

  14. W przypadku opcji logowania wybierz skonfigurowanego nowego dostawcę SAML. Wybierz pozycję Zapisz.

    Zrzut ekranu przedstawiający opcje usługi uwierzytelniania w obszarze Konfiguracja uwierzytelniania.

  15. W polu Microsoft Entra ID na stronie Aplikacje dla przedsiębiorstw wybierz pozycję Użytkownicy i grupy. Następnie dodaj użytkowników testowych.

    Zrzut ekranu przedstawiający użytkowników i grupy z listą użytkowników testowych.

  16. Aby przetestować konfigurację, zaloguj się jako użytkownik testowy. Przejdź do galerii aplikacji firmy Microsoft, a następnie wybierz pozycję Salesforce.

    Zrzut ekranu przedstawiający opcję Salesforce w obszarze Wszystkie aplikacje w Moje aplikacje.

  17. Aby się zalogować, wybierz skonfigurowanego dostawcę tożsamości (IdP).

    Zrzut ekranu przedstawiający stronę logowania usługi Salesforce.

Uwaga

Jeśli konfiguracja jest poprawna, użytkownik testowy znajduje się na stronie głównej usługi Salesforce. Aby uzyskać pomoc dotyczącą rozwiązywania problemów, zobacz przewodnik debugowania.

  1. Na stronie Aplikacje dla przedsiębiorstw przypisz pozostałych użytkowników do aplikacji Salesforce z odpowiednimi rolami.

Uwaga

Po dodaniu pozostałych użytkowników do aplikacji Microsoft Entra użytkownicy mogą przetestować połączenie, aby upewnić się, że mają dostęp. Przetestuj połączenie przed następnym krokiem.

  1. W konsoli administracyjnej usługi Salesforce wybierz pozycję Ustawienia>firmy Moja domena.

  2. W obszarze Konfiguracja uwierzytelniania wybierz pozycję Edytuj. W przypadku usługi uwierzytelniania wyczyść zaznaczenie opcji Okta.

    Zrzut ekranu przedstawiający opcję Zapisz i opcje usługi uwierzytelniania w obszarze Konfiguracja uwierzytelniania.

Migrowanie aplikacji OpenID Connect lub OAuth 2.0 do identyfikatora Entra firmy Microsoft

Napiwek

Kroki opisane w tym artykule mogą się nieznacznie różnić w zależności od portalu, od którego zaczynasz.

Aby przeprowadzić migrację aplikacji OpenID Connect (OIDC) lub OAuth 2.0 do identyfikatora Entra firmy Microsoft, w dzierżawie firmy Microsoft Entra skonfiguruj aplikację pod kątem dostępu. W tym przykładzie konwertujemy niestandardową aplikację OIDC.

Aby ukończyć migrację, powtórz konfigurację dla wszystkich aplikacji w dzierżawie usługi Okta.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator aplikacji w chmurze.

  2. Przejdź do sekcji Identity>Applications Enterprise Applications>Wszystkie aplikacje.>

  3. Wybierz pozycję Nowa aplikacja.

  4. Wybierz pozycję Utwórz własną aplikację.

  5. W wyświetlonym menu nadaj nazwę aplikacji OIDC, a następnie wybierz pozycję Zarejestruj aplikację, nad którą pracujesz, aby zintegrować z identyfikatorem Entra firmy Microsoft.

  6. Wybierz pozycję Utwórz.

  7. Na następnej stronie skonfiguruj dzierżawę rejestracji aplikacji. Aby uzyskać więcej informacji, zobacz Dzierżawa w usłudze Microsoft Entra ID. Przejdź do pozycji Konta w dowolnym katalogu organizacyjnym (dowolny katalog Microsoft Entra — multitenant)>Zarejestruj.

    Zrzut ekranu przedstawiający opcję Konta w dowolnym katalogu organizacyjnym (Dowolny katalog Firmy Microsoft — multitenant).

  8. Na stronie Rejestracje aplikacji w obszarze Microsoft Entra ID otwórz utworzoną rejestrację.

Uwaga

W zależności od scenariusza aplikacji istnieją różne akcje konfiguracji. Większość scenariuszy wymaga wpisu tajnego klienta aplikacji.

  1. Na stronie Przegląd zapisz identyfikator aplikacji (klienta). Ten identyfikator jest używany w aplikacji.

  2. Po lewej stronie wybierz pozycję Certyfikaty i wpisy tajne. Następnie wybierz pozycję + Nowy klucz tajny klienta. Nazwij klucz tajny klienta i ustaw jego wygaśnięcie.

  3. Zarejestruj wartość i identyfikator wpisu tajnego.

Uwaga

Jeśli wpis tajny klienta zostanie zagubiony, nie będzie można go pobrać. Zamiast tego ponownie wygeneruj wpis tajny.

  1. Po lewej stronie wybierz pozycję Uprawnienia interfejsu API. Następnie przyznaj aplikacji dostęp do stosu OIDC.

  2. Wybierz pozycję + Dodaj uprawnienia>delegowane programu Microsoft Graph.>

  3. W sekcji Uprawnienia OpenId wybierz pozycję email, openid i profil. Wybierz opcję Dodaj uprawnienia.

  4. Aby poprawić środowisko użytkownika i pominąć monity o wyrażenie zgody użytkownika, wybierz pozycję Udziel zgody administratora dla nazwy domeny dzierżawy. Poczekaj na wyświetlenie stanu Przyznane .

    Zrzut ekranu przedstawiający komunikat Pomyślnie udzielono zgody administratora dla żądanego komunikatu dotyczącego uprawnień w obszarze Uprawnienia interfejsu API.

  5. Jeśli aplikacja ma identyfikator URI przekierowania, wprowadź identyfikator URI. Jeśli adres URL odpowiedzi jest przeznaczony dla karty Uwierzytelnianie, a następnie dodaj platformę i sieć Web, wprowadź adres URL.

  6. Wybierz pozycję Tokeny dostępu i tokeny identyfikatorów.

  7. Wybierz Konfiguruj.

  8. W razie potrzeby w menu Uwierzytelnianie w obszarze Ustawienia zaawansowane i Zezwalaj na przepływy klientów publicznych wybierz pozycję Tak.

    Zrzut ekranu przedstawiający opcję Tak w obszarze Uwierzytelnianie.

  9. Przed przetestowaniem w aplikacji skonfigurowanej przez usługę OIDC zaimportuj identyfikator aplikacji i klucz tajny klienta.

Uwaga

Wykonaj poprzednie kroki, aby skonfigurować aplikację przy użyciu ustawień, takich jak identyfikator klienta, wpis tajny i zakresy.

Migrowanie niestandardowego serwera autoryzacji do identyfikatora Entra firmy Microsoft

Serwery autoryzacji usługi Okta mapować jeden do jednego do rejestracji aplikacji, które uwidaczniają interfejs API.

Zamapuj domyślny serwer autoryzacji Okta na zakresy lub uprawnienia programu Microsoft Graph.

Zrzut ekranu przedstawiający opcję Dodaj zakres na stronie Uwidacznij i interfejs API.

Następne kroki