Tutorial: Migrar o provisionamento de sincronização do Okta para a sincronização do Microsoft Entra Connect

Neste tutorial, aprenda a migrar o provisionamento de usuários do Okta para o Microsoft Entra ID e migrar o User Sync ou o Universal Sync para o Microsoft Entra Connect. Esse recurso permite o provisionamento no Microsoft Entra ID e no Office 365.

Nota

Ao migrar plataformas de sincronização, valide as etapas deste artigo em relação ao seu ambiente antes de remover o Microsoft Entra Connect do modo de preparo ou habilitar o agente de provisionamento de nuvem do Microsoft Entra.

Pré-requisitos

Quando você alterna do provisionamento Okta para o Microsoft Entra ID, há duas opções. Use um servidor Microsoft Entra Connect ou um provisionamento de nuvem Microsoft Entra.

Saiba mais: Comparação entre o Microsoft Entra Connect e a sincronização na nuvem.

O provisionamento de nuvem do Microsoft Entra é o caminho de migração mais familiar para clientes Okta que usam o Universal Sync ou o User Sync. Os agentes de provisionamento de nuvem são leves. Você pode instalá-los em controladores de domínio ou perto deles, como os agentes de sincronização de diretório Okta. Não os instale no mesmo servidor.

Ao sincronizar usuários, use um servidor Microsoft Entra Connect se sua organização precisar de qualquer uma das seguintes tecnologias:

• Sincronização de dispositivos: Microsoft Entra hybrid join ou Hello for Business
• Autenticação pass-through
• Suporte para mais de 150.000 objetos
• Suporte para write-back

Para usar o Microsoft Entra Connect, você precisa entrar com uma função de Administrador de Identidade Híbrida.

Nota

Leve todos os pré-requisitos em consideração ao instalar o provisionamento em nuvem do Microsoft Entra Connect ou do Microsoft Entra. Antes de continuar com a instalação, consulte Pré-requisitos para o Microsoft Entra Connect.

Confirmar atributo ImmutableID sincronizado por Okta

O atributo ImmutableID vincula objetos sincronizados a suas contrapartes locais. Okta usa o objectGUID do Ative Directory de um objeto local e o converte em uma cadeia de caracteres codificada em Base-64. Por padrão, ele carimba essa cadeia de caracteres no campo ImmutableID no Microsoft Entra ID.

Você pode se conectar ao Microsoft Graph PowerShell e examinar o valor ImmutableID atual. Se você não tiver usado o módulo do Microsoft Graph PowerShell, execute-o em uma sessão administrativa antes de executar comandos:

Se você tiver o módulo, um aviso pode aparecer para atualizar para a versão mais recente.

1. Importe o módulo instalado.

2. Na janela de autenticação, entre como pelo menos um Administrador de Identidade Híbrida.

3. Conecte-se ao locatário.

4. Verifique as configurações do valor ImmutableID. O exemplo a seguir é o padrão de converter o objectGUID em ImmutableID.

5. Confirme manualmente a conversão de objectGUID para Base64 local. Para testar um valor individual, use estes comandos:

   Get-MgUser onpremupn | fl objectguid
   $objectguid = 'your-guid-here-1010'
   [system.convert]::ToBase64String(([GUID]$objectGUID).ToByteArray())
   

Métodos de validação em massa ObjectGUID

Antes de mudar para o Microsoft Entra Connect, é fundamental validar se os valores ImmutableID no Microsoft Entra ID correspondem aos seus valores locais.

O comando a seguir obtém usuários locais do Microsoft Entra e exporta uma lista de seus valores objectGUID e valores ImmutableID já calculados para um arquivo CSV.

1. Execute o seguinte comando no Microsoft Graph PowerShell em um controlador de domínio local:

   Get-MgUser -Filter * -Properties objectGUID | Select-Object
   UserPrincipalName, Name, objectGUID, @{Name = 'ImmutableID';
   Expression = {
   [system.convert]::ToBase64String((GUID).tobytearray())
   } } | export-csv C:\Temp\OnPremIDs.csv
   

2. Execute um comando em uma sessão do Microsoft Graph PowerShell para listar os valores sincronizados.

3. Após ambas as exportações, confirme se os valores ImmutableID do usuário correspondem.

   Importante

   Se os valores ImmutableID na nuvem não corresponderem aos valores objectGUID, você modificou os padrões para Okta sync. Você provavelmente escolheu outro atributo para determinar os valores ImmutableID. Antes de ir para a próxima seção, identifique qual atributo de origem preenche os valores ImmutableID. Antes de desativar a sincronização do Okta, atualize o atributo Okta está sincronizando.

Instalar o Microsoft Entra Connect no modo de preparo

Depois de preparar a lista de destinos de origem e destino, instale um servidor Microsoft Entra Connect. Se você usa o provisionamento de nuvem do Microsoft Entra Connect, ignore esta seção.

1. Transfira e instale o Microsoft Entra Connect num servidor. Consulte Instalação personalizada do Microsoft Entra Connect.

2. No painel esquerdo, selecione Identificando usuários.

3. Na página Identificando exclusivamente seus usuários, em Selecione como os usuários devem ser identificados com a ID do Microsoft Entra, selecione Escolher um atributo específico.

4. Se você não modificou o padrão Okta, selecione mS-DS-ConsistencyGUID.

   Aviso

   Este passo é fundamental. Verifique se o atributo selecionado para uma âncora de origem preenche os usuários do Microsoft Entra. Se você selecionar o atributo errado, desinstale e reinstale o Microsoft Entra Connect para selecionar novamente essa opção.

5. Selecione Seguinte.

6. No painel esquerdo, selecione Configurar.

7. Na página Pronto para configurar, selecione Ativar modo de preparação.

8. Selecione Instalar.

9. Verifique se os valores ImmutableID correspondem.

10. Quando a configuração estiver concluída, selecione Sair.

11. Abra o Serviço de Sincronização como administrador.

12. Encontre a sincronização completa com o domain.onmicrosoft.com espaço do conector.

13. Confirme se há usuários na guia Conectores com atualizações de fluxo.

14. Verifique se não há exclusões pendentes na exportação.

15. Selecione a guia Conectores .

16. Realce o domain.onmicrosoft.com espaço do conector.

17. Selecione Espaço do conector de pesquisa.

18. Na caixa de diálogo Espaço do Conector de Pesquisa, em Escopo, selecione Exportação Pendente.

19. Selecione Eliminar.

20. Selecione Pesquisar. Se todos os objetos corresponderem, nenhum registro correspondente será exibido para Exclusões.

21. Registre objetos pendentes de exclusão e seus valores locais.

22. Desmarque Excluir.

23. Selecione Adicionar.

24. Selecione Modificar.

25. Selecione Pesquisar.

26. As funções de atualização aparecem para os usuários que estão sendo sincronizados com o Microsoft Entra ID via Okta. Adicionar novos objetos Okta não está sincronizando, que estão na estrutura de unidade organizacional (UO) selecionada durante a instalação do Microsoft Entra Connect.

27. Para ver o que o Microsoft Entra Connect comunica com o Microsoft Entra ID, clique duas vezes em uma atualização.

Nota

Se houver funções de adição para um usuário no ID do Microsoft Entra, sua conta local não corresponderá à conta na nuvem. O Entra Connect cria um novo objeto e registra adições novas e inesperadas.

28. Antes de sair do modo de preparo, corrija o valor ImmutableID no Microsoft Entra ID.

Neste exemplo, Okta carimbou o atributo mail na conta do usuário, embora o valor local não fosse preciso. Quando o Microsoft Entra Connect assume a conta, o atributo mail é excluído do objeto.

29. Verifique se as atualizações incluem atributos esperados no Microsoft Entra ID. Se vários atributos estiverem sendo excluídos, você poderá preencher valores do AD local antes de remover o modo de preparo.

Nota

Antes de continuar, verifique se os atributos do usuário estão sincronizados e aparecem na guia Exportação pendente . Se forem excluídos, verifique se os valores ImmutableID correspondem e se o usuário está em uma UO selecionada para sincronização.

Instalar agentes de sincronização na nuvem do Microsoft Entra Connect

Depois de preparar sua lista de destinos de origem e destino, instale e configure os agentes de sincronização de nuvem do Microsoft Entra Connect. Consulte Tutorial: Integrar uma única floresta com um único locatário do Microsoft Entra.

Nota

Se você usa um servidor Microsoft Entra Connect, ignore esta seção.

Desabilitar o provisionamento do Okta para o Microsoft Entra ID

Depois de verificar a instalação do Microsoft Entra Connect, desative o provisionamento do Okta para o Microsoft Entra ID.

1. Ir para o portal Okta

2. Selecione Aplicativos.

3. Selecione o aplicativo Okta que provisiona os usuários para o Microsoft Entra ID.

4. Selecione o separador Aprovisionamento.

5. Selecione a seção Integração .

   

6. Selecione Editar.

7. Desmarque a opção Ativar integração de API.

8. Selecione Guardar.

   

   Nota

   Se você tiver vários aplicativos do Office 365 que lidam com o provisionamento para a ID do Microsoft Entra, verifique se eles foram desativados.

Desativar o modo de preparo no Microsoft Entra Connect

Depois de desativar o provisionamento Okta, o servidor Microsoft Entra Connect pode sincronizar objetos.

Nota

Se você usa agentes de sincronização na nuvem do Microsoft Entra Connect, ignore esta seção.

1. A partir do ambiente de trabalho, execute o assistente de instalação a partir do ambiente de trabalho.
2. Selecione Configurar.
3. Selecione Configurar modo de preparo
4. Selecione Seguinte.
5. Insira as credenciais da conta de Administrador de Identidade Híbrida para seu ambiente.
6. Desmarque Ativar modo de preparação.
7. Selecione Seguinte.
8. Selecione Configurar.
9. Após a configuração, abra o Serviço de Sincronização como administrador.
10. No conector domain.onmicrosoft.com, exiba a opção Exportar.
11. Verifique adições, atualizações e exclusões.
12. A migração está concluída. Execute novamente o assistente de instalação para atualizar e expandir os recursos do Microsoft Entra Connect.

Ativar agentes de sincronização na nuvem

Gorjeta

As etapas neste artigo podem variar ligeiramente com base no portal a partir do qual você começou.

Depois de desativar o provisionamento Okta, o agente de sincronização de nuvem do Microsoft Entra Connect pode sincronizar objetos.

1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Identidade Híbrida.
2. Navegue até Gerenciamento híbrido de>identidade>, Microsoft Entra Connect>Connect Sync.
3. Selecione Perfil de configuração .
4. Selecione Ativar.
5. Retorne ao menu de provisionamento e selecione Logs.
6. Confirme se o conector de provisionamento atualizou os objetos in-loco. Os agentes de sincronização na nuvem não são destrutivos. As atualizações falham se uma correspondência não for encontrada.
7. Se um usuário estiver incompatível, faça atualizações para vincular os valores ImmutableID.
8. Reinicie a sincronização de provisionamento na nuvem.

Próximos passos

• Tutorial: Migrar seus aplicativos do Okta para o Microsoft Entra ID
• Tutorial: Migrar a federação Okta para a autenticação gerenciada do Microsoft Entra ID
• Tutorial: Migrar políticas de início de sessão do Okta para o Acesso Condicional