Compartilhar via

Tutorial: migrar seus aplicativos do Okta para o Microsoft Entra ID

  • Artigo

Neste tutorial, você aprenderá a migrar seus aplicativos do Okta para o Microsoft Entra ID.

Pré-requisitos

Para gerenciar o aplicativo no Microsoft Entra ID, você precisa:

  • De uma conta de usuário do Microsoft Entra. Se você ainda não tem uma conta, é possível criar uma conta gratuita.
  • Uma das seguintes funções: administrador de aplicativo de nuvem, administrador de aplicativos ou proprietário da entidade de serviço.

Criar um inventário de aplicativos Okta atuais

Antes da migração, documente as configurações atuais do ambiente e do aplicativo. Use a API do Okta para coletar essas informações. Use uma ferramenta do gerenciador de API, como o Postman.

Para criar um inventário de aplicativos:

  1. Com o aplicativo Postman, a partir do console de administrador do Okta, gere um token de API.

  2. No painel da API em Segurança, selecione Tokens>Criar Token.

    Captura de tela das opções Tokens e Criar Tokens em Segurança.

  3. Inserir um nome de token e, em seguida, selecionar Criar token.

    Captura de tela da entrada Nome em Criar Token.

  4. Registre o valor do token e salve-o. Depois de selecionar OK, entendi, ele não está acessível.

    Captura de tela do campo Valor do Token e a opção OK, entendi.

  5. No aplicativo Postman, no espaço de trabalho, selecione Importar.

  6. Na página Importar, selecione Vincular. Para importar a API, insira o link a seguir:

https://developer.okta.com/docs/api/postman/example.oktapreview.com.environment

Captura de tela das opções Vincular e Continuar em Importação.

Observação

Não modifique o link com seus valores de locatário.

  1. Selecione Importar.

    Captura de tela da opção Importar em Importar.

  2. Assim que a API for importada, altere a seleção do Ambiente para {yourOktaDomain} .

  3. Para editar o ambiente do Okta, selecione o ícone de olho. Em seguida, selecione Editar.

    Captura de tela do ícone de olho e da opção Editar em Visão geral.

  4. Nos campos Valor Inicial e Valor Atual, atualize os valores para a URL e a chave de API. Altere o nome para refletir seu ambiente.

  5. Salve os valores.

    Captura de tela dos campos Valor Inicial e Valor Atual em Visão Geral.

  6. Carregue a API no Postman.

  7. Selecione Aplicativos>GET Listar Aplicativos>Enviar.

Observação

Você pode imprimir os aplicativos em seu locatário do Okta. A lista está no formato JSON.

Captura de tela da opção Enviar e da lista Aplicativos.

Recomendamos que você copie e converta essa lista JSON para um formato CSV:

Observação

Baixe o CSV para manter um registro dos aplicativos em seu locatário do Okta.

Migrar um aplicativo SAML para o Microsoft Entra ID

Para migrar um aplicativo SAML 2.0 para o Microsoft Entra ID, configure o aplicativo no locatário do Microsoft Entra para acesso ao aplicativo. Neste exemplo, convertemos uma instância do Salesforce.

  1. Entre no Centro de administração do Microsoft Entra como pelo menos Administrador de Aplicativo de nuvem.

  2. Navegar até Identidade>Aplicativos>Aplicativos empresariais>Todos os aplicativos e selecionar Novo aplicativo.

  3. Na Galeria do Microsoft Entra, pesquise por Salesforce, selecione o aplicativo e escolha Criar.

    Captura de tela de aplicativos na galeria do Microsoft Entra.

  4. Depois que o aplicativo for criado, na guia Logon único (SSO), selecione SAML.

    Captura de tela da opção SAML no logon único.

  5. Baixe o Certificado (Bruto) e o XML de Metadados de Federação a fim de importá-lo para o Salesforce.

  6. No console de administração do Salesforce, selecione Identidade>Configurações de logon único>Novo do arquivo de metadados.

    Captura de tela da opção Novo do arquivo de metadados em configurações de logon único.

  7. Carregue o arquivo XML que você baixou do centro de administração do Microsoft Entra. Em seguida, selecione Criar.

  8. Carregue o certificado que você baixou do Azure. Selecione Salvar.

  9. Registre os valores nos campos a seguir. Os valores estão no Azure.

    • ID da Entidade
    • URL de logon
    • URL de logoff

  10. Selecione Baixar Metadados.

  11. Para carregar o arquivo no centro de administração do Microsoft Entra, na página Aplicativos empresariais do Microsoft Entra ID, em configurações de SSO do SAML, selecione Carregar arquivo de metadados.

  12. Verifique se os valores importados correspondem aos valores gravados. Clique em Salvar.

    Captura de tela das entradas para logon baseado em SAML e Configuração Básica do SAML.

  13. No console de administração do Salesforce, selecione Configurações da Empresa>Meu Domínio. Vá até a Configuração de Autenticação e selecione Editar.

    Captura de tela da opção Editar em Meu Domínio.

  14. Para uma opção de conexão, selecione o novo provedor SAML que você configurou. Clique em Salvar.

    Captura de tela das opções do Serviço de Autenticação em Configuração de Autenticação.

  15. No Microsoft Entra ID, na página Aplicativos empresariais, selecione Usuários e grupos. Em seguida, adicione usuários de teste.

    Captura de tela de Usuários e grupos com uma lista de usuários de teste.

  16. Para testar a configuração, entre como um usuário de teste. Vá até a galeria de aplicativos da Microsoft e selecione Salesforce.

    Captura de tela da opção Salesforce em Todos os Aplicativos, em Meus Aplicativos.

  17. Para entrar, selecione o IdP (provedor de identidade) configurado.

    Captura de tela da página de entrada do Salesforce.

Observação

Se a configuração estiver correta, o usuário de teste estará na home page do Salesforce. Para obter ajuda sobre solução de problemas, confira o Guia de depuração.

  1. Na página Aplicativos empresariais, atribua os usuários restantes ao aplicativo Salesforce com as funções corretas.

Observação

Depois de adicionar os usuários restantes ao aplicativo do Microsoft Entra, os usuários podem testar a conexão para garantir que tenham acesso. Teste a conexão antes da próxima etapa.

  1. No console de administração do Salesforce, selecione Configurações da Empresa>Meu Domínio.

  2. Em Configuração de Autenticação, selecione Editar. Para o serviço de autenticação, desmarque a seleção para Okta.

    Captura de tela da opção Salvar e das opções do Serviço de Autenticação em Configuração de Autenticação.

Migrar um aplicativo OpenID Connect ou OAuth 2.0 para o Microsoft Entra ID

Dica

As etapas neste artigo podem variar ligeiramente com base no portal do qual você começa.

Para migrar um aplicativo OpenID Connect (OIDC) ou OAuth 2,0 para o Microsoft Entra ID, em seu locatário do Microsoft Entra, configure o aplicativo para acesso. Neste exemplo, vamos converter um aplicativo OIDC personalizado.

Para concluir a migração, repita a configuração para todos os aplicativos no locatário Okta.

  1. Entre no Centro de administração do Microsoft Entra como pelo menos Administrador de Aplicativo de nuvem.

  2. Navegue até Identidade>Aplicativos>Aplicativos Empresariais>Todos os aplicativos.

  3. Selecione Novo aplicativo.

  4. Selecione Criar seu próprio aplicativo.

  5. No menu que aparecer, nomeie o aplicativo OIDC e selecione Registrar um aplicativo no qual você esteja trabalhando para integrá-lo ao Microsoft Entra ID.

  6. Selecione Criar.

  7. Na página seguinte, configure a locação do registro do aplicativo. Para obter mais informações, confira Locação no Microsoft Entra ID. Vá para Contas em qualquer diretório organizacional (qualquer diretório do Microsoft Entra – multilocatário)>Registrar-se.

    Captura de tela da opção de Contas em qualquer diretório organizacional (qualquer diretório do Microsoft Entra – multilocatário).

  8. Na página Registros de aplicativo, em Microsoft Entra ID, abra o registro criado.

Observação

Dependendo do cenário do aplicativo, há várias ações de configuração. A maioria dos cenários exige um segredo do cliente do aplicativo.

  1. Na página Visão Geral, registre a ID do aplicativo (cliente) . Você usa essa ID em seu aplicativo.

  2. À esquerda, selecione Certificados e Segredos. Depois, selecione + Novo segredo do cliente. Nomeie o segredo do cliente e defina a expiração dele.

  3. Grave o valor e a ID do segredo.

Observação

Se você perder o segredo do cliente, não poderá recuperá-lo. Em vez disso, gerar um segredo novamente.

  1. À esquerda, selecione Permissões da API. Em seguida, conceda ao aplicativo acesso à pilha OIDC.

  2. Selecione + Adicionar permissão>Microsoft Graph>Permissões delegadas.

  3. Na seção Permissões do OpenId, selecione email, openid e perfil. Em seguida, selecione Adicionar permissões.

  4. Para aprimorar a experiência do usuário e suprimir os avisos de consentimento do usuário, selecione Fornecer o consentimento do administrador para Nome de domínio do locatário. Aguarde até que o status Concedido apareça.

    Captura de tela do consentimento do administrador concedido com êxito para a mensagem de permissões solicitadas, em Permissões de API.

  5. Se o seu aplicativo tiver um URI de redirecionamento, insira-o. Se a URL de resposta for direcionada para a guia Autenticação, seguida de Adicionar uma plataforma e Web, insira a URL.

  6. Selecione Tokens de acesso e Tokens de ID.

  7. Selecione Configurar.

  8. Se necessário, no menu Autenticação, em Configurações avançadas e Permitir fluxos de clientes públicos, selecione Sim.

    Captura de tela da opção Sim na Autenticação.

  9. Ante de testar, em seu aplicativo configurado pelo OIDC, importe a ID do aplicativo e o segredo do cliente.

Observação

Use as etapas anteriores para configurar seu aplicativo com configurações como ID, Segredo e Escopos do Cliente.

Migrar um servidor de autorização personalizado para o Microsoft Entra ID

Os servidores de autorização do Okta mapeiam um para um para registros de aplicativo que expõem uma API.

Mapeie o servidor de autorização padrão do Okta para os escopos ou permissões do Microsoft Graph.

Captura de tela da opção Adicionar um escopo em Expor e API.

Próximas etapas