Partilhar via

Migrar a federação Okta para a autenticação do Microsoft Entra

  • Artigo

Neste tutorial, aprenda a federar locatários do Office 365 com Okta para logon único (SSO).

Você pode migrar a federação para o Microsoft Entra ID de forma faseada para garantir uma boa experiência de autenticação para os usuários. Em uma migração em estágios, você pode testar o acesso de federação reversa aos aplicativos Okta SSO restantes.

Nota

O cenário descrito neste tutorial é apenas uma maneira possível de implementar a migração. Você deve tentar adaptar as informações à sua configuração específica.

Pré-requisitos

  • Um locatário do Office 365 federado ao Okta para SSO
  • Um servidor Microsoft Entra Connect ou agentes de provisionamento de nuvem do Microsoft Entra Connect configurados para provisionamento de usuário para Microsoft Entra ID
  • Uma das seguintes funções: Administrador de Aplicativos, Administrador de Aplicativos na Nuvem ou Administrador de Identidade Híbrida.

Configurar o Microsoft Entra Connect para autenticação

Os clientes que federam seus domínios do Office 365 com o Okta podem não ter um método de autenticação válido no Microsoft Entra ID. Antes de migrar para a autenticação gerenciada, valide o Microsoft Entra Connect e configure-o para entrada do usuário.

Configure o método de entrada:

  • Sincronização de hash de senha - uma extensão do recurso de sincronização de diretórios implementado pelo servidor Microsoft Entra Connect ou agentes de provisionamento de nuvem
  • Autenticação de passagem - inicie sessão em aplicações locais e na nuvem com as mesmas palavras-passe
  • SSO contínuo - inicia sessão em utilizadores em ambientes de trabalho empresariais ligados à rede empresarial

Para criar uma experiência de usuário de autenticação contínua no Microsoft Entra ID, implante o SSO contínuo para sincronização de hash de senha ou autenticação de passagem.

Para obter os pré-requisitos de SSO contínuo, consulte Guia de início rápido: Microsoft Entra logon único contínuo.

Para este tutorial, você configura a sincronização de hash de senha e o SSO contínuo.

Configurar o Microsoft Entra Connect para sincronização de hash de senha e SSO contínuo

  1. No servidor Microsoft Entra Connect, abra o aplicativo Microsoft Entra Connect .
  2. Selecione Configurar.
  3. Selecione Alterar login do usuário.
  4. Selecione Seguinte.
  5. Insira as credenciais do Administrador de Identidade Híbrida do servidor Microsoft Entra Connect.
  6. O servidor está configurado para federação com Okta. Altere a seleção para Sincronização de hash de senha.
  7. Selecione Ativar logon único.
  8. Selecione Seguinte.
  9. Para o sistema local local, insira as credenciais de administrador de domínio.
  10. Selecione Seguinte.
  11. Na página final, selecione Configurar.
  12. Ignore o aviso para a associação híbrida do Microsoft Entra.

Configurar recursos de distribuição em estágios

Gorjeta

As etapas neste artigo podem variar ligeiramente com base no portal a partir do qual você começou.

Antes de testar a desfederação de um domínio, no Microsoft Entra ID use uma distribuição em estágios de autenticação em nuvem para testar usuários desfederados.

Saiba mais: Migrar para a autenticação na nuvem usando a distribuição em estágios

Depois de habilitar a sincronização de hash de senha e o SSO contínuo no servidor Microsoft Entra Connect, configure uma distribuição em estágios:

  1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Identidade Híbrida.

  2. Navegue até >Connect Sync.

  3. Confirme se a Sincronização de Hash de Senha está habilitada no locatário.

  4. Selecione Ativar distribuição em estágios para entrada de usuário gerenciado.

  5. Após a configuração do servidor, a configuração Sincronização de Hash de Senha pode ser alterada para Ativado.

  6. Habilite a configuração.

  7. O logon único contínuo está desativado. Se você habilitá-lo, um erro aparecerá porque você o habilitou no locatário.

  8. Selecione Gerenciar grupos.

    Captura de ecrã da página Ativar funcionalidades de distribuição faseada no centro de administração do Microsoft Entra. Um botão Gerenciar grupos é exibido.

  9. Adicione um grupo à distribuição de sincronização de hash de senha.

  10. Aguarde cerca de 30 minutos para que o recurso entre em vigor no seu locatário.

  11. Quando o recurso entra em vigor, os usuários não são redirecionados para Okta ao tentar acessar os serviços do Office 365.

O recurso de distribuição em estágios tem alguns cenários sem suporte:

  • Não há suporte para protocolos de autenticação herdados, como Post Office Protocol 3 (POP3) e SMTP (Simple Mail Transfer Protocol).
  • Se você configurou a associação híbrida do Microsoft Entra para Okta, os fluxos de associação híbrida do Microsoft Entra vão para Okta até que o domínio seja desfederado.
    • Uma política de logon permanece no Okta para autenticação herdada de clientes Windows de ingresso híbrido do Microsoft Entra.

Criar um aplicativo Okta no Microsoft Entra ID

Os usuários que converteram para autenticação gerenciada podem precisar de acesso a aplicativos no Okta. Para acesso do usuário a esses aplicativos, registre um aplicativo Microsoft Entra vinculado à página inicial do Okta.

Configure o registro do aplicativo corporativo para Okta.

  1. Entre no centro de administração do Microsoft Entra como pelo menos um administrador de aplicativos na nuvem.

  2. Navegue até >Todos os aplicativos.

    Captura de ecrã do menu esquerdo do centro de administração do Microsoft Entra.

  3. Selecione Nova aplicação.

    Captura de ecrã que mostra a página Todas as aplicações no centro de administração do Microsoft Entra. Um novo aplicativo é visível.

  4. Selecione Criar seu próprio aplicativo.

  5. No menu, nomeie o aplicativo Okta.

  6. Selecione Registrar um aplicativo no qual você está trabalhando para integrar com o Microsoft Entra ID.

  7. Selecione Criar.

  8. Selecione Contas em qualquer diretório organizacional (Any Microsoft Entra Directory - Multitenant).

  9. Selecione Registar.

    Captura de ecrã de Registar uma aplicação.

  10. No menu ID do Microsoft Entra, selecione Registros de aplicativos.

  11. Abra o registo criado.

Captura de ecrã da página Registos de aplicações no centro de administração do Microsoft Entra. O novo registro do aplicativo é exibido.

  1. Registre a ID do locatário e a ID do aplicativo.

Nota

Você precisa da ID do Locatário e da ID do Aplicativo para configurar o provedor de identidade no Okta.

Captura de ecrã da página Okta Application Access no centro de administração do Microsoft Entra. A ID do Locatário e a ID do Aplicativo são exibidas.

  1. No menu à esquerda, selecione Certificados & segredos.
  2. Selecione Novo segredo do cliente.
  3. Insira um nome secreto.
  4. Insira a data de validade.
  5. Registre o valor secreto e o ID.

Nota

O valor e o ID não aparecem mais tarde. Se você não registrar as informações, deverá gerar novamente um segredo.

  1. No menu à esquerda, selecione Permissões de API.

  2. Conceda ao aplicativo acesso à pilha OpenID Connect (OIDC).

  3. Selecione Adicionar uma permissão.

  4. Selecione Microsoft Graph

  5. Selecione Permissões delegadas.

  6. Na seção de permissões OpenID, adicione e-mail, openid e perfil.

  7. Selecione Adicionar permissões.

  8. Selecione Conceder consentimento de administrador para <o nome> de domínio do locatário.

  9. Aguarde até que o status Concedido apareça.

    Captura de tela da página de permissões da API com uma mensagem para consentimento concedido.

  10. No menu à esquerda, selecione Branding.

  11. Para URL da página inicial, adicione a home page do aplicativo de usuário.

  12. No portal de administração Okta, para adicionar um novo provedor de identidade, selecione Segurança e, em seguida , Provedores de identidade.

  13. Selecione Adicionar Microsoft.

    Captura de tela do portal de administração Okta. Adicionar Microsoft aparece na lista Adicionar Provedor de Identidade.

  14. Na página Provedor de Identidade, insira a ID do Aplicativo no campo ID do Cliente.

  15. Insira o segredo do cliente no campo Segredo do cliente.

  16. Selecione Mostrar configurações avançadas. Por padrão, essa configuração vincula o nome principal do usuário (UPN) em Okta ao UPN no ID do Microsoft Entra para acesso de federação reversa.

    Importante

    Se os UPNs no Okta e no ID do Microsoft Entra não corresponderem, selecione um atributo comum entre os usuários.

  17. Conclua as seleções de provisionamento automático.

  18. Por padrão, se nenhuma correspondência aparecer para um usuário Okta, o sistema tentará provisionar o usuário no ID do Microsoft Entra. Se você migrou o provisionamento para fora do Okta, selecione Redirecionar para a página de entrada do Okta.

    Captura de ecrã da página Definições Gerais no portal de administração Okta. A opção para redirecionar para a página de entrada Okta é exibida.

Você criou o provedor de identidade (IDP). Envie os usuários para o IDP correto.

  1. No menu Provedores de Identidade, selecione Regras de Roteamento e Adicionar Regra de Roteamento.

  2. Use um dos atributos disponíveis no perfil Okta.

  3. Para direcionar entradas de dispositivos e IPs para o Microsoft Entra ID, configure a política vista na imagem a seguir. Neste exemplo, o atributo Division não é usado em todos os perfis Okta. É uma boa opção para roteamento de IDP.

  4. Registre o URI de redirecionamento para adicioná-lo ao registro do aplicativo.

    Captura de tela do local do URI de redirecionamento.

  5. No registro do aplicativo, no menu à esquerda, selecione Autenticação.

  6. Selecione Adicionar uma plataforma

  7. Selecione Web.

  8. Adicione o URI de redirecionamento que você registrou no IDP em Okta.

  9. Selecione Tokens de acesso e tokens de ID.

  10. No console de administração, selecione Diretório.

  11. Selecione Pessoas.

  12. Para editar o perfil, selecione um usuário de teste.

  13. No perfil, adicione ToAzureAD. Veja a imagem a seguir.

  14. Selecione Guardar.

    Captura de ecrã do portal de administração Okta. As configurações de perfil são exibidas e a caixa Divisão tem ToAzureAD.

  15. Entre no portal do Microsoft 356 como o usuário modificado. Se o usuário não estiver no piloto de autenticação gerenciada, sua ação entrará em um loop. Para sair do loop, adicione o usuário à experiência de autenticação gerenciada.

Testar o acesso ao aplicativo Okta em membros piloto

Depois de configurar o aplicativo Okta no Microsoft Entra ID e configurar o IDP no portal Okta, atribua o aplicativo aos usuários.

  1. No centro de administração do Microsoft Entra, navegue até Aplicativos Corporativos de Identidade>>.

  2. Selecione o registro do aplicativo que você criou.

  3. Vá para Usuários e grupos.

  4. Adicione o grupo que se correlaciona com o piloto de autenticação gerenciada.

    Nota

    Você pode adicionar usuários e grupos na página Aplicativos corporativos. Não é possível adicionar utilizadores a partir do menu Registos de aplicações.

    Captura de ecrã da página Utilizadores e grupos do centro de administração do Microsoft Entra. Um grupo chamado Grupo de Preparo de Autenticação Gerenciada é exibido.

  5. Aguarde cerca de 15 minutos.

  6. Inicie sessão como utilizador piloto de autenticação gerida.

  7. Aceda a As minhas aplicações.

    Captura de ecrã da galeria As Minhas Aplicações. Um ícone para Okta Application Access é exibido.

  8. Para retornar à página inicial do Okta, selecione o bloco Okta Application Access .

Testar a autenticação gerenciada em membros piloto

Depois de configurar o aplicativo de federação reversa Okta, peça aos usuários que realizem testes na experiência de autenticação gerenciada. Recomendamos que você configure a marca da empresa para ajudar os usuários a reconhecer o locatário.

Saiba mais: Configure a marca da sua empresa.

Importante

Antes de desfederar os domínios do Okta, identifique as políticas de Acesso Condicional necessárias. Você pode proteger seu ambiente antes do corte. Consulte Tutorial: Migrar políticas de logon do Okta para o Acesso Condicional do Microsoft Entra.

Desfederar domínios do Office 365

Quando sua organização estiver confortável com a experiência de autenticação gerenciada, você poderá desfederar seu domínio do Okta. Para começar, use os seguintes comandos para se conectar ao Microsoft Graph PowerShell. Se você não tiver o módulo do Microsoft Graph PowerShell, baixe-o digitando Install-Module Microsoft.Graph.

  1. No PowerShell, entre na ID do Microsoft Entra usando uma conta de Administrador de Identidade Híbrida.

     Connect-MgGraph -Scopes "Domain.ReadWrite.All", "Directory.AccessAsUser.All"

  2. Para converter o domínio, execute o seguinte comando:

     Update-MgDomain -DomainId yourdomain.com -AuthenticationType "Managed"

  3. Verifique se o domínio foi convertido em gerenciado executando o seguinte comando. O tipo de autenticação deve ser definido como gerenciado.

    Get-MgDomain -DomainId yourdomain.com

Depois de definir o domínio para autenticação gerenciada, você desfedera seu locatário do Office 365 da Okta enquanto mantém o acesso do usuário à home page da Okta.

Próximos passos