Udostępnij za pośrednictwem

Migrowanie federacji Okta do uwierzytelniania firmy Microsoft Entra

  • Artykuł

Z tego samouczka dowiesz się, jak sfederować dzierżawy usługi Office 365 przy użyciu usługi Okta na potrzeby logowania jednokrotnego .

Federację można migrować do identyfikatora Entra firmy Microsoft w sposób przygotowany, aby zapewnić użytkownikom dobre środowisko uwierzytelniania. Podczas migracji etapowej można przetestować odwrotny dostęp federacyjny do pozostałych aplikacji logowania jednokrotnego w usłudze Okta.

Uwaga

Scenariusz opisany w tym samouczku jest tylko jednym z możliwych sposobów implementowania migracji. Należy spróbować dostosować informacje do określonej konfiguracji.

Wymagania wstępne

  • Dzierżawa usługi Office 365 sfederuje się z usługą Okta na potrzeby logowania jednokrotnego
  • Serwer Microsoft Entra Connect lub agenci aprowizacji w chmurze Microsoft Entra Connect skonfigurowany do aprowizacji użytkowników w usłudze Microsoft Entra ID
  • Jedną z następujących ról: Administrator aplikacji, Administrator aplikacji w chmurze lub Administrator tożsamości hybrydowej.

Konfigurowanie programu Microsoft Entra Connect na potrzeby uwierzytelniania

Klienci, którzy sfederują swoje domeny usługi Office 365 z usługą Okta, mogą nie mieć prawidłowej metody uwierzytelniania w identyfikatorze Entra firmy Microsoft. Przed przeprowadzeniem migracji do uwierzytelniania zarządzanego zweryfikuj program Microsoft Entra Connect i skonfiguruj go pod kątem logowania użytkownika.

Skonfiguruj metodę logowania:

  • Synchronizacja skrótów haseł — rozszerzenie funkcji synchronizacji katalogów zaimplementowanej przez serwer Microsoft Entra Connect lub agentów aprowizacji w chmurze
  • Uwierzytelnianie przekazywane — logowanie do aplikacji lokalnych i aplikacji w chmurze przy użyciu tych samych haseł
  • Bezproblemowe logowanie jednokrotne — loguje użytkowników na komputerach firmowych połączonych z siecią firmową
    • Użytkownicy mają dostęp do aplikacji w chmurze bez innych składników lokalnych
    • Zobacz: Microsoft Entra seamless SSO (Bezproblemowe logowanie jednokrotne firmy Microsoft)

Aby utworzyć bezproblemowe środowisko użytkownika uwierzytelniania w usłudze Microsoft Entra ID, wdróż bezproblemową synchronizację skrótów haseł lub uwierzytelnianie przekazywane.

Aby uzyskać wymagania wstępne dotyczące bezproblemowego logowania jednokrotnego, zobacz Szybki start: bezproblemowe logowanie jednokrotne firmy Microsoft.

Na potrzeby tego samouczka skonfigurujesz synchronizację skrótów haseł i bezproblemowe logowanie jednokrotne.

Konfigurowanie programu Microsoft Entra Connect na potrzeby synchronizacji skrótów haseł i bezproblemowego logowania jednokrotnego

  1. Na serwerze Microsoft Entra Connect otwórz aplikację Microsoft Entra Connect .
  2. Wybierz Konfiguruj.
  3. Wybierz pozycję Zmień logowanie użytkownika.
  4. Wybierz Dalej.
  5. Wprowadź poświadczenia administratora tożsamości hybrydowej serwera Microsoft Entra Connect.
  6. Serwer jest skonfigurowany do federacji z okta. Zmień zaznaczenie na Synchronizacja skrótów haseł.
  7. Wybierz pozycję Włącz logowanie jednokrotne.
  8. Wybierz Dalej.
  9. W przypadku lokalnego systemu lokalnego wprowadź poświadczenia administratora domeny.
  10. Wybierz Dalej.
  11. Na ostatniej stronie wybierz pozycję Konfiguruj.
  12. Zignoruj ostrzeżenie dotyczące dołączania hybrydowego firmy Microsoft Entra.

Konfigurowanie funkcji wdrażania etapowego

Napiwek

Kroki opisane w tym artykule mogą się nieznacznie różnić w zależności od portalu, od którego zaczynasz.

Przed przetestowaniem defederowania domeny w usłudze Microsoft Entra ID użyj wdrożenia etapowego uwierzytelniania w chmurze, aby przetestować defederację użytkowników.

Dowiedz się więcej: Migrowanie do uwierzytelniania w chmurze przy użyciu wdrożenia etapowego

Po włączeniu synchronizacji skrótów haseł i bezproblemowego logowania jednokrotnego na serwerze Microsoft Entra Connect skonfiguruj wdrożenie etapowe:

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator tożsamości hybrydowej.

  2. Przejdź do >Sync.

  3. Upewnij się, że synchronizacja skrótów haseł jest włączona w dzierżawie.

  4. Wybierz pozycję Włącz wdrożenie etapowe dla logowania zarządzanego użytkownika.

  5. Po skonfigurowaniu serwera ustawienie Synchronizacja skrótów haseł może zmienić się na Włączone.

  6. Włącz ustawienie.

  7. Bezproblemowe logowanie jednokrotne jest wyłączone. Jeśli ją włączysz, pojawi się błąd, ponieważ została włączona w dzierżawie.

  8. Wybierz pozycję Zarządzaj grupami.

    Zrzut ekranu przedstawiający stronę Włącz funkcje wdrażania etapowego w centrum administracyjnym firmy Microsoft Entra. Zostanie wyświetlony przycisk Zarządzaj grupami.

  9. Dodaj grupę do wdrożenia synchronizacji skrótów haseł.

  10. Poczekaj około 30 minut, aż funkcja wejdzie w życie w dzierżawie.

  11. Gdy funkcja zostanie w życie, użytkownicy nie będą przekierowywani do usługi Okta podczas próby uzyskania dostępu do usług Office 365.

Funkcja wdrażania etapowego ma nieobsługiwane scenariusze:

  • Starsze protokoły uwierzytelniania, takie jak Post Office Protocol 3 (POP3) i Simple Mail Transfer Protocol (SMTP) nie są obsługiwane.
  • Jeśli skonfigurowano przyłączanie hybrydowe firmy Microsoft Entra dla usługi Okta, przepływy dołączania hybrydowego firmy Microsoft Entra przechodzą do usługi Okta, dopóki domena nie zostanie zfederowana.
    • Zasady logowania pozostają w usłudze Okta na potrzeby starszego uwierzytelniania klientów systemu Windows dołączonych hybrydowo do firmy Microsoft Entra.

Tworzenie aplikacji Okta w identyfikatorze Entra firmy Microsoft

Użytkownicy przekonwertowani na uwierzytelnianie zarządzane mogą potrzebować dostępu do aplikacji w usłudze Okta. Aby uzyskać dostęp użytkowników do tych aplikacji, zarejestruj aplikację Firmy Microsoft Entra, która łączy się ze stroną główną usługi Okta.

Skonfiguruj rejestrację aplikacji dla przedsiębiorstw dla usługi Okta.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator aplikacji w chmurze.

  2. Przejdź do sekcji Identity>Applications Enterprise Applications>Wszystkie aplikacje.>

    Zrzut ekranu przedstawiający menu po lewej stronie centrum administracyjnego firmy Microsoft Entra.

  3. Wybierz pozycję Nowa aplikacja.

    Zrzut ekranu przedstawiający stronę Wszystkie aplikacje w centrum administracyjnym firmy Microsoft Entra. Nowa aplikacja jest widoczna.

  4. Wybierz pozycję Utwórz własną aplikację.

  5. W menu nadaj aplikacji nazwę Okta.

  6. Wybierz pozycję Zarejestruj aplikację, nad którą pracujesz, aby zintegrować z identyfikatorem Entra firmy Microsoft.

  7. Wybierz pozycję Utwórz.

  8. Wybierz pozycję Konta w dowolnym katalogu organizacyjnym (Dowolny katalog Microsoft Entra Directory — multitenant).

  9. Wybierz pozycję Zarejestruj.

    Zrzut ekranu przedstawiający rejestrowanie aplikacji.

  10. W menu Microsoft Entra ID wybierz pozycję Rejestracje aplikacji.

  11. Otwórz utworzoną rejestrację.

Zrzut ekranu przedstawiający stronę Rejestracje aplikacji w centrum administracyjnym firmy Microsoft Entra. Zostanie wyświetlona nowa rejestracja aplikacji.

  1. Zarejestruj identyfikator dzierżawy i identyfikator aplikacji.

Uwaga

Aby skonfigurować dostawcę tożsamości w usłudze Okta, potrzebny jest identyfikator dzierżawy i identyfikator aplikacji.

Zrzut ekranu przedstawiający stronę dostępu do aplikacji Okta w centrum administracyjnym firmy Microsoft Entra. Zostanie wyświetlony identyfikator dzierżawy i identyfikator aplikacji.

  1. W menu po lewej stronie wybierz pozycję Certyfikaty i wpisy tajne.
  2. Wybierz Nowy klucz tajny klienta.
  3. Wprowadź nazwę wpisu tajnego.
  4. Wprowadź datę wygaśnięcia.
  5. Zarejestruj wartość wpisu tajnego i identyfikator.

Uwaga

Wartość i identyfikator nie są wyświetlane później. Jeśli nie rejestrujesz informacji, musisz ponownie wygenerować wpis tajny.

  1. W menu po lewej stronie wybierz pozycję Uprawnienia interfejsu API.

  2. Udziel aplikacji dostępu do stosu OpenID Connect (OIDC).

  3. Wybierz Dodaj uprawnienie.

  4. Wybieranie programu Microsoft Graph

  5. Wybieranie delegowanych uprawnień.

  6. W sekcji Uprawnienia OpenID dodaj adres e-mail, identyfikator openid i profil.

  7. Wybierz Przyznaj uprawnienia.

  8. Wybierz pozycję Udziel zgody administratora dla <nazwy> domeny dzierżawy.

  9. Poczekaj na wyświetlenie stanu Przyznane .

    Zrzut ekranu przedstawiający stronę uprawnień interfejsu API z komunikatem o udzieleniu zgody.

  10. W menu po lewej stronie wybierz pozycję Znakowanie.

  11. W polu Adres URL strony głównej dodaj stronę główną aplikacji użytkownika.

  12. W portalu administracyjnym usługi Okta, aby dodać nowego dostawcę tożsamości, wybierz pozycję Zabezpieczenia, a następnie pozycję Dostawcy tożsamości.

  13. Wybierz pozycję Dodaj firmę Microsoft.

    Zrzut ekranu portalu administracyjnego usługi Okta. Dodaj firmę Microsoft zostanie wyświetlona na liście Dodaj dostawcę tożsamości.

  14. Na stronie Dostawca tożsamości wprowadź identyfikator aplikacji w polu Identyfikator klienta.

  15. Wprowadź klucz tajny klienta w polu Klucz tajny klienta.

  16. Wybierz pozycję Pokaż ustawienia zaawansowane. Domyślnie ta konfiguracja łączy główną nazwę użytkownika (UPN) w usłudze Okta z nazwą UPN w usłudze Microsoft Entra ID w celu uzyskania dostępu do odwrotnej federacji.

    Ważne

    Jeśli nazwy UPN w polach Okta i Microsoft Entra ID nie są zgodne, wybierz atrybut, który jest wspólny dla użytkowników.

  17. Ukończ automatyczne aprowizowanie zaznaczeń.

  18. Domyślnie, jeśli dla użytkownika usługi Okta nie pojawi się dopasowanie, system próbuje aprowizować użytkownika w identyfikatorze Entra firmy Microsoft. Jeśli przeprowadzono migrację aprowizacji z dala od usługi Okta, wybierz pozycję Przekieruj do strony logowania w usłudze Okta.

    Zrzut ekranu przedstawiający stronę Ustawienia ogólne w portalu administracyjnym usługi Okta. Zostanie wyświetlona opcja przekierowania do strony logowania w usłudze Okta.

Utworzono dostawcę tożsamości (IDP). Wyślij użytkowników do poprawnego dostawcy tożsamości.

  1. W menu Dostawcy tożsamości wybierz pozycję Reguły routingu, a następnie dodaj regułę routingu.

  2. Użyj jednego z dostępnych atrybutów w profilu usługi Okta.

  3. Aby kierować logowania z urządzeń i adresów IP do identyfikatora Entra firmy Microsoft, skonfiguruj zasady widoczne na poniższej ilustracji. W tym przykładzie atrybut Division jest nieużywany we wszystkich profilach usługi Okta. Dobrym wyborem jest routing dostawcy tożsamości.

  4. Zarejestruj identyfikator URI przekierowania, aby dodać go do rejestracji aplikacji.

    Zrzut ekranu przedstawiający lokalizację identyfikatora URI przekierowania.

  5. W obszarze rejestracji aplikacji w menu po lewej stronie wybierz pozycję Uwierzytelnianie.

  6. Wybieranie pozycji Dodaj platformę

  7. Wybierz pozycję Sieć.

  8. Dodaj identyfikator URI przekierowania zarejestrowany w dostawcy tożsamości w usłudze Okta.

  9. Wybierz pozycję Tokeny dostępu i tokeny identyfikatorów.

  10. W konsoli administracyjnej wybierz pozycję Katalog.

  11. Wybierz pozycję Osoby.

  12. Aby edytować profil, wybierz użytkownika testowego.

  13. W profilu dodaj pozycję ToAzureAD. Zobacz poniższą ilustrację.

  14. Wybierz pozycję Zapisz.

    Zrzut ekranu przedstawiający portal administracyjny usługi Okta. Pojawią się ustawienia profilu, a pole Dział ma wartość ToAzureAD.

  15. Zaloguj się do portalu platformy Microsoft 356 jako zmodyfikowanego użytkownika. Jeśli użytkownik nie jest w pilotażu uwierzytelniania zarządzanego, akcja wchodzi w pętlę. Aby zakończyć pętlę, dodaj użytkownika do środowiska uwierzytelniania zarządzanego.

Testowanie dostępu do aplikacji Okta dla członków pilotażu

Po skonfigurowaniu aplikacji Okta w usłudze Microsoft Entra ID i skonfigurowaniu dostawcy tożsamości w portalu Okta przypisz aplikację do użytkowników.

  1. W centrum administracyjnym firmy Microsoft Entra przejdź do >dla> przedsiębiorstw.

  2. Wybierz utworzoną rejestrację aplikacji.

  3. Przejdź do pozycji Użytkownicy i grupy.

  4. Dodaj grupę, która jest skorelowana z pilotażem uwierzytelniania zarządzanego.

    Uwaga

    Możesz dodawać użytkowników i grupy ze strony Aplikacje dla przedsiębiorstw. Nie można dodawać użytkowników z menu Rejestracje aplikacji.

    Zrzut ekranu przedstawiający stronę Użytkownicy i grupy centrum administracyjnego firmy Microsoft Entra. Zostanie wyświetlona grupa o nazwie Grupa przejściowa uwierzytelniania zarządzanego.

  5. Poczekaj około 15 minut.

  6. Zaloguj się jako użytkownik pilotażowy uwierzytelniania zarządzanego.

  7. Przejdź do Moje aplikacje.

    Zrzut ekranu przedstawiający galerię Moje aplikacje. Pojawi się ikona aplikacji Okta Application Access.

  8. Aby powrócić do strony głównej usługi Okta, wybierz kafelek Dostęp do aplikacji Okta.

Testowanie uwierzytelniania zarządzanego na członkach pilotażu

Po skonfigurowaniu aplikacji okta reverse-federation poproś użytkowników o przeprowadzenie testów w środowisku uwierzytelniania zarządzanego. Zalecamy skonfigurowanie znakowania firmowego, aby ułatwić użytkownikom rozpoznawanie dzierżawy.

Dowiedz się więcej: Konfigurowanie znakowania firmowego.

Ważne

Zanim zfederujesz domeny z usługi Okta, zidentyfikuj wymagane zasady dostępu warunkowego. Środowisko można zabezpieczyć przed odcięciem. Zobacz Tutorial: Migrate Okta sign-on policies to Microsoft Entra Conditional Access (Samouczek: migrowanie zasad logowania usługi Okta do usługi Microsoft Entra Conditional Access).

Defederowanie domen usługi Office 365

Jeśli twoja organizacja jest komfortowo w środowisku uwierzytelniania zarządzanego, możesz defederować domenę z poziomu usługi Okta. Aby rozpocząć, użyj następujących poleceń, aby nawiązać połączenie z programem Microsoft Graph PowerShell. Jeśli nie masz modułu programu Microsoft Graph PowerShell, pobierz go, wprowadzając polecenie Install-Module Microsoft.Graph.

  1. W programie PowerShell zaloguj się do usługi Microsoft Entra ID przy użyciu konta administratora tożsamości hybrydowej.

     Connect-MgGraph -Scopes "Domain.ReadWrite.All", "Directory.AccessAsUser.All"

  2. Aby przekonwertować domenę, uruchom następujące polecenie:

     Update-MgDomain -DomainId yourdomain.com -AuthenticationType "Managed"

  3. Sprawdź, czy domena jest konwertowana na zarządzaną, uruchamiając następujące polecenie. Typ uwierzytelniania powinien być ustawiony na zarządzany.

    Get-MgDomain -DomainId yourdomain.com

Po ustawieniu domeny na zarządzane uwierzytelnianie należy wyłączyć związek dzierżawy usługi Office 365 z Okta, jednocześnie utrzymując dostęp użytkowników do strony głównej Okta.

Następne kroki