Поделиться через

Перенос приложений из Okta в идентификатор Microsoft Entra

  • Статья

В этом руководстве описано, как перенести приложения из Okta в идентификатор Microsoft Entra.

Необходимые компоненты

Для управления приложением в идентификаторе Microsoft Entra необходимо:

  • Учетная запись пользователя Microsoft Entra. Если ее нет, можно создать учетную запись бесплатно.
  • Одна из следующих ролей: администратор облачных приложений, администратор приложений или владелец субъекта-службы.

Создание данных инвентаризации текущих приложений Okta

Перед миграцией задокументируйте текущие параметры среды и приложения. Для сбора этих сведений можно использовать API Okta. Используйте средство обозревателя API, например Postman.

Чтобы создать инвентаризацию приложений, выполните приведенные действия.

  1. С помощью приложения Postman в консоли администрирования Okta создайте маркер API.

  2. На панели мониторинга API в разделе Безопасность выберите Маркеры>Создать маркер.

    Снимок экрана: параметры маркеров и создания маркеров в разделе

  3. Введите имя маркера и нажмите кнопку "Создать маркер".

    Снимок экрана: запись

  4. Запишите значение маркера и сохраните его. Выбрав ОК, получите его, он недоступен.

    Снимок экрана: поле

  5. В рабочей области в приложении Postman выберите Import (Импорт).

  6. На странице Import (Импорт) выберите Link (Ссылка). Чтобы импортировать API, вставьте следующую ссылку:

https://developer.okta.com/docs/api/postman/example.oktapreview.com.environment

Снимок экрана: параметры ссылки и продолжения импорта.

Примечание.

Не изменяйте ссылку значениями своего арендатора.

  1. Выберите Импорт.

    Снимок экрана: параметр импорта при импорте.

  2. После импорта API измените значение параметра Environment (Среда) на {ваш_домен_Okta}.

  3. Чтобы изменить среду Okta, выберите значок в виде глаза . Затем выберите Edit (Изменить).

    Снимок экрана: значок глаза и параметр

  4. В полях начального значения и текущего значения обновите значения для URL-адреса и ключа API. Измените имя в соответствии со своей средой.

  5. Сохраните значения.

    Снимок экрана: поля начального значения и текущего значения в обзоре.

  6. Загрузите API в Postman.

  7. Выберите Apps (Приложения) >Get List Apps (Получить список приложений) >Send (Отправить).

Примечание.

Приложения можно распечатать в клиенте Okta. Список формируется в формате JSON.

Снимок экрана: параметр

Рекомендуется скопировать и преобразовать этот список JSON в формат CSV:

Примечание.

Чтобы получить запись приложений в клиенте Okta, скачайте CSV-файл.

Перенос приложения SAML в идентификатор Microsoft Entra

Чтобы перенести приложение SAML 2.0 в идентификатор Microsoft Entra, настройте приложение в клиенте Microsoft Entra для доступа к приложениям. В этом примере мы преобразуем экземпляр Salesforce.

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор облачных приложений.

  2. Перейдите к приложениям Identity>Applications>Enterprise All,> а затем выберите "Создать приложение".

  3. В коллекции Microsoft Entra найдите Salesforce, выберите приложение и нажмите кнопку "Создать".

    Снимок экрана: приложения в коллекции Microsoft Entra.

  4. После создания приложения на вкладке Единый вход выберите SAML.

    Снимок экрана: параметр SAML для единого входа.

  5. Скачайте сертификат (необработанный) и XML-файл метаданных федерации, чтобы импортировать их в Salesforce.

  6. В консоли администрирования Salesforce выберите "Параметры>" из файла метаданных.

    Снимок экрана: параметр

  7. Отправьте XML-файл, скачанный из Центра администрирования Microsoft Entra. Затем выберите Создать.

  8. Отправьте сертификат, скачанный из Azure. Выберите Сохранить.

  9. Запишите значения в приведенных ниже полях. Значения находятся в Azure.

    • идентификатор сущности;
    • Login URL (URL-адрес для входа)
    • URL-адрес выхода.

  10. Выберите " Скачать метаданные".

  11. Чтобы отправить файл в Центр администрирования Microsoft Entra, на странице приложений Microsoft Entra ID Enterprise в параметрах единого входа SAML выберите "Отправить файл метаданных".

  12. Убедитесь, что импортированные значения соответствуют записанным значениям. Выберите Сохранить.

    Снимок экрана: записи для входа на основе SAML и базовой конфигурации SAML.

  13. В консоли администрирования Salesforce выберите Company Settings (Параметры организации) >My Domain (Мой домен). Перейдите на страницу Authentication Configuration (Конфигурация проверки подлинности) щелкните Edit (Изменить).

    Снимок экрана: параметр

  14. Для параметра входа выберите новый настроенный поставщик SAML. Выберите Сохранить.

    Снимок экрана: параметры службы проверки подлинности в разделе

  15. В идентификаторе Microsoft Entra на странице корпоративных приложений выберите "Пользователи и группы". Затем добавьте тестовых пользователей.

    Снимок экрана: пользователи и группы с списком тестовых пользователей.

  16. Чтобы проверить конфигурацию, войдите в систему в качестве тестового пользователя. Перейдите в коллекцию приложений Майкрософт и выберите Salesforce.

    Снимок экрана: параметр Salesforce в разделе

  17. Чтобы войти, выберите настроенный поставщик удостоверений (IdP).

    Снимок экрана: страница входа Salesforce.

Примечание.

Если конфигурация правильна, тестовый пользователь попадает на домашнюю страницу Salesforce. Справочные сведения по устранению неполадок приведены в руководстве по отладке.

  1. На странице корпоративных приложений назначьте остальным пользователям приложение Salesforce правильные роли.

Примечание.

После добавления оставшихся пользователей в приложение Microsoft Entra пользователи могут проверить подключение, чтобы убедиться, что у них есть доступ. Протестируйте подключение перед следующим шагом.

  1. В консоли администрирования Salesforce выберите Company Settings (Параметры организации) >My Domain (Мой домен).

  2. На странице Authentication Configuration (Конфигурация проверки подлинности) щелкните Edit (Изменить). Для службы проверки подлинности снимите флажок для Okta.

    Снимок экрана: параметры

Перенос приложения OpenID Connect или OAuth 2.0 в идентификатор Microsoft Entra

Совет

Действия, описанные в этой статье, могут немного отличаться на портале, с который вы начинаете работу.

Чтобы перенести приложение OpenID Connect (OIDC) или приложение OAuth 2.0 в идентификатор Microsoft Entra в клиенте Microsoft Entra, настройте приложение для доступа. В этом примере мы преобразуем пользовательское приложение OIDC.

Чтобы завершить миграцию, повторите настройку для всех приложений в клиенте Okta.

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор облачных приложений.

  2. Перейдите к приложениям>

  3. Выберите Новое приложение.

  4. Выберите Создать собственное приложение.

  5. В появившемся меню назовите приложение OIDC и выберите "Регистрация приложения, над которым вы работаете для интеграции с идентификатором Microsoft Entra".

  6. Нажмите кнопку создания.

  7. На следующей странице настройте параметры арендатора для регистрации приложения. Дополнительные сведения см. в разделе "Клиентство" в идентификаторе Microsoft Entra. Перейдите к учетным записям в любом каталоге организации (любой каталог Microsoft Entra — Multitenant)>Register.

    Снимок экрана: параметр для учетных записей в любом каталоге организации (любой каталог Microsoft Entra — Multitenant).

  8. На странице Регистрация приложений в разделе идентификатора Microsoft Entra откройте созданную регистрацию.

Примечание.

В зависимости от сценария приложения существуют различные действия конфигурации. Для большинства сценариев требуется секрет клиента приложения.

  1. На странице Обзор запишите значение Идентификатор приложения (клиента). Этот идентификатор используется в приложении.

  2. Выберите Сертификаты и секреты в области слева. Затем выберите + Создать секрет клиента. Укажите имя секрета клиента и задайте срок его действия.

  3. Запишите значение и идентификатор секрета.

Примечание.

Если вы не уместите секрет клиента, его нельзя получить. Вместо этого повторно создайте секрет.

  1. В области слева выберите Разрешения API. Затем предоставьте приложению доступ к стеку OIDC.

  2. Выберите +Добавить разрешения делегированных разрешений>Microsoft Graph.>

  3. В разделе Разрешения OpenID выберите разрешения email, openid и profile. Затем выберите пункт Добавить разрешения.

  4. Чтобы улучшить взаимодействие с пользователем и убрать запросы согласия пользователя, выберите Grant admin consent for Tenant Domain Name (Предоставить согласие администратора для доменного имени арендатора). Дождитесь появления предоставленного состояния.

    Снимок экрана: согласие администратора успешно предоставлено для запрошенного сообщения о разрешениях в соответствии с разрешениями API.

  5. Если у приложения есть универсальный код ресурса (URI) перенаправления, введите универсальный код ресурса (URI). Если URL-адрес ответа предназначен для вкладки проверки подлинности , а затем добавьте платформу и Интернет, введите URL-адрес.

  6. Выберите Маркеры доступа и Токены ИД.

  7. Выберите Настроить.

  8. При необходимости в меню "Проверка подлинности" в разделе "Дополнительные параметры" и "Разрешить потоки общедоступных клиентов" нажмите кнопку "Да".

    Снимок экрана: параметр

  9. Перед тестированием в приложении, настроенном OIDC, импортируйте идентификатор приложения и секрет клиента.

Примечание.

Используйте предыдущие шаги, чтобы настроить приложение с такими параметрами, как идентификатор клиента, секрет и области.

Перенос пользовательского сервера авторизации в идентификатор Microsoft Entra

Серверы авторизации Okta однозначно сопоставляются с регистрациями приложений, которые предоставляют API.

Сопоставляйте сервер авторизации Okta по умолчанию с областями или разрешениями Microsoft Graph.

Снимок экрана: параметр

Следующие шаги