Compartilhar via

Migrar a federação Okta para a autenticação Microsoft Entra

  • Artigo

Neste tutorial, saiba como federar locatários Office 365 com o Okta para SSO (logon único).

Você pode migrar a federação para a ID do Microsoft Entra por etapas para garantir uma boa experiência de autenticação para os usuários. Em uma migração por etapas, você pode testar o acesso reverso de federação aos aplicativos de SSO restantes do Okta.

Observação

O cenário descrito neste tutorial é apenas uma maneira possível de implementar a migração. Você deve tentar adaptar as informações à sua configuração específica.

Pré-requisitos

  • Um locatário do Office 365 federado ao Okta para SSO
  • Um servidor do Microsoft Entra Connect ou agentes de provisionamento em nuvem do Microsoft Entra Connect configurados para o provisionamento de usuário na ID do Microsoft Entra
  • Uma das seguintes funções: Administrador de Aplicativos, Administrador de Aplicativos na Nuvem ou Administrador de Identidade Híbrida.

Configurar o Microsoft Entra Connect para autenticação

Os clientes que fazem a federação de domínios do Office 365 com o Okta talvez não tenham um método de autenticação válido na ID do Microsoft Entra. Antes de migrar para a autenticação gerenciada, valide o Microsoft Entra Connect e configure-o para a entrada do usuário.

Configure o método de entrada:

  • Sincronização de hash de senha – Uma extensão do recurso de sincronização de diretório implementada pelo servidor do Microsoft Entra Connect ou pelos agentes de provisionamento em nuvem
  • Autenticação de passagem – entre em aplicativos locais e de nuvem usando as mesmas senhas
  • SSO contínuo – conecta usuários em áreas de trabalho corporativas conectadas à rede corporativa

Para criar uma experiência de usuário de autenticação perfeita na ID do Microsoft Entra, implante o SSO contínuo na sincronização de hash de senha ou na autenticação de passagem.

Para ver os pré-requisitos do SSO contínuo, confira Início Rápido: Logon único contínuo do Microsoft Entra.

Para esse tutorial, configuraremos a sincronização de hash de senha e o SSO contínuo.

Configurar o Microsoft Entra Connect para a sincronização de hash de senha e o SSO contínuo

  1. No servidor do Microsoft Entra Connect, abra o aplicativo Microsoft Entra Connect.
  2. Selecione Configurar.
  3. Selecione Alterar credenciais de usuário.
  4. Selecione Avançar.
  5. Insira as credenciais do Administrador de Identidade Híbrida do servidor Microsoft Entra Connect.
  6. O servidor está configurado para a federação com o Okta. Altere a seleção para Sincronização de hash de senha.
  7. Selecione Habilitar logon único.
  8. Selecione Avançar.
  9. Para o sistema local, insira as credenciais de administrador de domínio.
  10. Selecione Avançar.
  11. Na página final, selecione Configurar.
  12. Ignore o aviso sobre o ingresso no Microsoft Entra híbrido.

Configurar recursos de distribuição em etapas

Dica

As etapas neste artigo podem variar ligeiramente com base no portal do qual você começa.

Antes de testar a desfederação de um domínio, na ID do Microsoft Entra, use uma distribuição em etapas da autenticação de nuvem para testar a desfederação de usuários.

Saiba mais: Migrar para a autenticação de nuvem usando a distribuição em etapas

Depois de habilitar a sincronização de hash de senha e o SSO contínuo no servidor do Microsoft Entra Connect, configure uma distribuição em etapas:

  1. Entre no centro de administração do Microsoft Entra como, no mínimo, um Administrador de identidade híbrida.

  2. Navegue até Identidade>Gerenciamento híbrido >Microsoft Entra Connect>Sincronização do Connect.

  3. Confirme se a Sincronização de Hash de Senha está habilitada no locatário.

  4. Selecione Habilitar a distribuição em etapas para entrada de usuário gerenciada.

  5. Após a configuração do servidor, a configuração Sincronização de Hash de Senha pode mudar para Ativada.

  6. Habilite a configuração.

  7. O Logon único contínuo está Desativado. Se você tiver habilitado, um erro será exibido porque você o habilitou no locatário.

  8. Selecione Gerenciar grupos.

    Captura de tela da página de recursos Habilitar distribuição em etapas no centro de administração do Microsoft Entra. O botão Gerenciar grupos é exibido.

  9. Adicione um grupo à distribuição da sincronização de hash de senha.

  10. Aguarde cerca de 30 minutos para que o recurso entre em vigor em seu locatário.

  11. Quando o recurso entrar em vigor, os usuários não serão redirecionados para o Okta ao tentar acessar os serviços do Office 365.

Não há suporte para alguns cenários do recurso de distribuição em etapas:

  • Não há suporte para protocolos de autenticação herdados, como o Protocolo 3 dos Correios (POP3) e o Protocolo SMTP.
  • Se você tiver configurado o ingresso no Microsoft Entra híbrido para o Okta, os fluxos do ingresso no Microsoft Entra híbrido irão para o Okta até que o domínio seja desfederado.
    • Uma política de logon permanece no Okta para a autenticação herdada de clientes do Windows do ingresso no Microsoft Entra híbrido.

Criar um aplicativo do Okta na ID do Microsoft Entra

Os usuários que passaram para a autenticação gerenciada podem precisar de acesso a aplicativos no Okta. Para o acesso do usuário a esses aplicativos, registre um aplicativo do Microsoft Entra que seja vinculado à home page do Okta.

Configure o registro de aplicativo empresarial para o Okta.

  1. Entre no Centro de administração do Microsoft Entra como pelo menos Administrador de Aplicativo de nuvem.

  2. Navegue até Identidade>Aplicativos>Aplicativos Empresariais>Todos os aplicativos.

    Captura de tela do menu esquerdo do centro de administração do Microsoft Entra.

  3. Selecione Novo aplicativo.

    Captura de tela que mostra a página Todos os aplicativos no centro de administração do Microsoft Entra. Um novo aplicativo está visível.

  4. Selecione Criar seu próprio aplicativo.

  5. No menu, nomeie o aplicativo do Okta.

  6. Selecione Registrar um aplicativo no qual você está trabalhando para se integrar à ID do Microsoft Entra.

  7. Selecione Criar.

  8. Escolha Contas em qualquer diretório organizacional (Qualquer diretório do Microsoft Entra – Multilocatário).

  9. Selecione Registrar.

    Captura de tela de Registrar um aplicativo.

  10. No menu da ID do Microsoft Entra, selecione Registros de aplicativo.

  11. Abra o registro criado.

Captura de tela da página de registros de aplicativos no centro de administração do Microsoft Entra. O novo registro do aplicativo aparece.

  1. Registre a ID do Locatário e a ID do Aplicativo.

Observação

Você precisa da ID do Locatário e da ID do Aplicativo para configurar o provedor de identidade no Okta.

Captura de tela da página Acesso ao Aplicativo do Okta no centro de administração do Microsoft Entra. A ID do Locatário e a ID do Aplicativo são exibidas.

  1. No menu à esquerda, selecione Certificados e segredos.
  2. Selecione Novo segredo do cliente.
  3. Insira um nome de segredo.
  4. Insira sua data de validade.
  5. Registre o valor e a ID do segredo.

Observação

O valor e a ID não serão exibidos posteriormente. Se você não registrar as informações, deverá regenerar um segredo.

  1. No menu à esquerda, selecione Permissões da API.

  2. Conceda acesso ao aplicativo à pilha do OpenID Connect (OIDC).

  3. Selecione Adicionar uma permissão.

  4. Selecione Microsoft Graph

  5. Selecione Permissões delegadas.

  6. Na seção de permissões do OpenID, adicione e-mail, openid e perfil.

  7. Escolha Adicionar permissões.

  8. Selecione Conceder consentimento do administrador para o <nome de domínio do locatário>.

  9. Aguarde até que o status Concedido apareça.

    Captura de tela da página de permissões da API com uma mensagem sobre o consentimento concedido.

  10. No menu esquerdo, selecione Identidade visual.

  11. Para a URL da Página inicial, adicione a página inicial do aplicativo do seu usuário.

  12. No portal de administração do Okta, para adicionar um novo provedor de identidade, selecione Segurança e, depois, Provedores de Identidade.

  13. Selecione Adicionar Microsoft.

    Captura de tela do portal de administração do Okta. A opção Adicionar Microsoft é exibida na lista Adicionar Provedor de Identidade.

  14. Na página Provedor de Identidade, insira a ID do Aplicativo no campo ID do Cliente.

  15. Insira o segredo do cliente no campo Segredo do Cliente.

  16. Selecione Mostrar Configurações Avançadas. Por padrão, essa configuração vincula o nome UPN do Okta ao UPN da ID do Microsoft Entra para o acesso de federação reversa.

    Importante

    Se os UPNs do Okta e da ID do Microsoft Entra não corresponderem, selecione um atributo que seja comum entre os usuários.

  17. Conclua as seleções de provisionamento automático.

  18. Por padrão, se nenhuma correspondência for exibida para um usuário do Okta, o sistema tentará provisionar o usuário na ID do Microsoft Entra. Se você tiver migrado o provisionamento para fora do Okta, selecione Redirecionar para a página de logon do Okta.

    Captura de tela da página Configurações gerais no portal de administração do Okta. A opção para redirecionar para a página de logon do Okta é exibida.

Você criou o IDP (provedor de identidade). Envie os usuários para o IDP correto.

  1. No menu Provedores de Identidade, selecione Regras de Roteamento e, depois, Adicionar Regra de Roteamento.

  2. Use um dos atributos disponíveis no perfil do Okta.

  3. Para direcionar as entradas dos dispositivos e dos IPs para a ID do Microsoft Entra, configure a política vista na imagem a seguir. Neste exemplo, o atributo Divisão não é usado em todos os perfis do Okta. É uma boa opção para o roteamento do IDP.

  4. Registre o URI de redirecionamento para adicioná-lo ao registro de aplicativo.

    Captura de tela do local do URI de redirecionamento.

  5. No registro do aplicativo, no menu à esquerda, selecione Autenticação.

  6. Selecione Adicionar uma plataforma

  7. Selecione Web.

  8. Adicione o URI de redirecionamento que você gravou no IDP no Okta.

  9. Selecione Tokens de acesso e Tokens de ID.

  10. No console de administrador, selecione Diretório.

  11. Selecione Pessoas.

  12. Para editar o perfil, selecione um usuário de teste.

  13. No perfil, adicione ToAzureAD. Veja a imagem a seguir.

  14. Clique em Salvar.

    Captura de tela do portal de administração do Okta. As configurações de perfil são exibidas e a caixa Divisão contém o ToAzureAD.

  15. Entre no portal do Microsoft 356 como o usuário modificado. Se seu usuário não fizer parte do piloto da autenticação gerenciada, sua ação criará um loop. Para sair do loop, adicione o usuário à experiência de autenticação gerenciada.

Testar o acesso ao aplicativo Okta em membros piloto

Depois de configurar o aplicativo do Okta na ID do Microsoft Entra e configurar o IdP no portal do Okta, atribua o aplicativo aos usuários.

  1. No centro de administração do Microsoft Entra, navegue até Identidade>Aplicativos>Aplicativos empresariais.

  2. Selecione o registro do aplicativo que você criou.

  3. Clique em Usuários e grupos.

  4. Adicione o grupo correlacionado ao piloto da autenticação gerenciada.

    Observação

    Você pode adicionar usuários e grupos na página Aplicativos empresariais. Não é possível adicionar usuários no menu Registros de aplicativo.

    Captura de tela da página Usuários e grupos do centro de administração do Microsoft Entra. Um grupo chamado Grupo de Preparo de Autenticação Gerenciada é exibido.

  5. Aguarde cerca de 15 minutos.

  6. Entre como um usuário-piloto de autenticação gerenciada.

  7. Acesse Meus Aplicativos.

    Captura de tela da galeria Meus aplicativos. Um ícone para o Acesso ao Aplicativo do Okta é exibido.

  8. Para voltar à página inicial do Okta, selecione o bloco Acesso ao Aplicativo do Okta.

Autenticação gerenciada por teste em membros piloto

Depois de configurar o aplicativo de federação reversa do Okta, solicite que os usuários conduzam testes na experiência de autenticação gerenciada. Recomendamos que você configure a identidade visual da empresa para ajudar os usuários a reconhecerem o locatário.

Saiba mais: Configurar a identidade visual da sua empresa.

Importante

Antes de desfederar os domínios do Okta, identifique as políticas de Acesso Condicional necessárias. Você pode proteger seu ambiente antes do corte. Confira Tutorial: Migrar as políticas de logon do Okta para o acesso condicional do Microsoft Entra.

Retirar a federação de domínios do Office 365

Quando sua organização se sentir confortável com a experiência de autenticação gerenciada, você pode retirar a federação do seu domínio do Okta. Para começar, use os comandos a seguir para se conectar ao PowerShell do Microsoft Graph. Se você não tiver o módulo PowerShell do Microsoft Graph, baixe-o inserindo Install-Module Microsoft.Graph.

  1. No PowerShell, entre no Microsoft Entra ID usando uma conta de Administrador de Identidade Híbrida.

     Connect-MgGraph -Scopes "Domain.ReadWrite.All", "Directory.AccessAsUser.All"

  2. Para converter o domínio, execute o comando a seguir:

     Update-MgDomain -DomainId yourdomain.com -AuthenticationType "Managed"

  3. Verifique se o domínio é convertido em gerenciado executando o comando a seguir. O tipo de autenticação deve ser definido como gerenciado.

    Get-MgDomain -DomainId yourdomain.com

Depois de definir o domínio como autenticação gerenciada, você desfaz a federação do seu tenant do Office 365 com o Okta, mantendo o acesso do usuário à página inicial do Okta.

Próximas etapas