Перенос федерации Okta на аутентификацию Microsoft Entra

В этом руководстве описано, как федеративные клиенты Office 365 с Okta for single sign-on (SSO).

Вы можете перенести федерацию в идентификатор Microsoft Entra таким образом, чтобы обеспечить хороший интерфейс проверки подлинности для пользователей. В поэтапной миграции можно проверить обратный доступ к федерациям для оставшихся приложений единого входа Okta.

Примечание.

Сценарий, описанный в этом руководстве, является единственным возможным способом реализации миграции. Необходимо попытаться адаптировать информацию к определенной настройке.

Необходимые компоненты

• Арендатор Office 365 с федеративным единым доступом к Okta.
• Сервер Microsoft Entra Connect или агенты подготовки облака Microsoft Entra Connect, настроенные для подготовки пользователей к идентификатору Microsoft Entra ID
• Одна из следующих ролей: администратор приложений, администратор облачных приложений или администратор гибридных удостоверений.

Настройка Microsoft Entra Connect для проверки подлинности

Клиенты, федеративные домены Office 365 с Okta, могут не иметь допустимый метод проверки подлинности в идентификаторе Microsoft Entra. Перед миграцией на управляемую проверку подлинности проверьте Microsoft Entra Connect и настройте его для входа пользователя.

Настройте метод входа:

• Синхронизация хэша паролей — расширение функции синхронизации каталогов, реализованной сервером Microsoft Entra Connect или агентами облачной подготовки
  • Эта функция используется для входа в службы Microsoft Entra, такие как Microsoft 365
  • Войдите в службу с помощью пароля для входа в экземпляр локальная служба Active Directory
  • См. сведения о синхронизации хэша паролей с идентификатором Microsoft Entra?
• Сквозная проверка подлинности — вход в локальные и облачные приложения с одинаковыми паролями
  • При входе пользователей с помощью идентификатора Microsoft Entra агент сквозной проверки подлинности проверяет пароли в локальной ad.
  • См. вход пользователей с помощью сквозной проверки подлинности Microsoft Entra
• Простой единый вход — вход пользователей на корпоративных настольных компьютерах, подключенных к корпоративной сети
  • Пользователи имеют доступ к облачным приложениям без других локальных компонентов
  • См. простой единый вход Microsoft Entra

Чтобы создать простой пользовательский интерфейс проверки подлинности в идентификаторе Microsoft Entra, разверните простой единый вход в синхронизацию хэша паролей или сквозную проверку подлинности.

Предварительные требования для простого единого входа см . в кратком руководстве. Microsoft Entra простой единый вход.

В этом руководстве описана настройка синхронизации хэша паролей и простого единого входа.

Настройка Microsoft Entra Connect для синхронизации хэша паролей и простого единого входа

1. На сервере Microsoft Entra Connect откройте приложение Microsoft Entra Connect .
2. Выберите Настроить.
3. Выберите "Изменить вход пользователя".
4. Выберите Далее.
5. Введите учетные данные администратора гибридного удостоверения сервера Microsoft Entra Connect.
6. Сервер настроен для федерации с Okta. Выберите параметр Синхронизация хэша паролей.
7. Выберите пункт Включить единый вход.
8. Выберите Далее.
9. Для локальной локальной системы введите учетные данные администратора домена.
10. Выберите Далее.
11. На конечной странице нажмите кнопку "Настроить".
12. Игнорировать предупреждение гибридного соединения Microsoft Entra.

Настройка функций поэтапного развертывания

Совет

Действия, описанные в этой статье, могут немного отличаться на портале, с который вы начинаете работу.

Перед проверкой отсрочки домена в идентификаторе Microsoft Entra используйте поэтапное развертывание облачной проверки подлинности для тестирования отложенных пользователей.

Дополнительные сведения. Миграция на облачную проверку подлинности с помощью поэтапного развертывания

После включения синхронизации хэша паролей и простого единого входа на сервере Microsoft Entra Connect настройте поэтапное развертывание:

1. Войдите в Центр администрирования Microsoft Entra как минимум гибридный администратор удостоверений.

2. Перейдите к службе синхронизации Microsoft Entra Connect Connect> для гибридного управления>удостоверениями.>

3. Убедитесь, что синхронизация хэша паролей включена в клиенте.

4. Выберите Включение поэтапного развертывания для управляемого входа пользователей.

5. После настройки сервера параметр синхронизации хэша паролей может измениться на On.

6. Включите параметр.

7. Простой единый вход — Off. Если вы включите это, появится ошибка, потому что оно включено в среде арендатора.

8. Выберите Управление группами.

   

9. Добавьте группу в развертывание синхронизации хэша паролей.

10. Подождите около 30 минут, пока функция войдет в силу в клиенте.

11. Когда функция вступает в силу, пользователи не перенаправляются в Okta при попытке доступа к службам Office 365.

Функция поэтапного развертывания не поддерживает некоторые сценарии.

• Устаревшие протоколы аутентификации, такие как протокол последующей отправки почты 3 (POP3) и простой протокол передачи почты (SMTP), не поддерживаются.
• Если вы настроили гибридное соединение Microsoft Entra для Okta, потоки гибридного соединения Microsoft Entra переходят в Okta, пока домен не будет отложен.
  • Политика входа остается в Okta для устаревшей проверки подлинности клиентов Windows гибридного соединения Microsoft Entra.

Создание приложения Okta в идентификаторе Microsoft Entra

Пользователям, преобразованным в управляемую проверку подлинности, может потребоваться доступ к приложениям в Okta. Для доступа пользователей к этим приложениям зарегистрируйте приложение Microsoft Entra, которое ссылается на домашнюю страницу Okta.

Настройте регистрацию корпоративных приложений для Okta.

1. Войдите в Центр администрирования Microsoft Entra как минимум администратор облачных приложений.

2. Перейдите к приложениям>

   

3. Выберите Новое приложение.

   

4. Выберите Создать собственное приложение.

5. В меню назовите приложение Okta.

6. Выберите Зарегистрировать приложение, над которым вы работаете, чтобы интегрироваться с идентификатором Microsoft Entra.

7. Нажмите кнопку создания.

8. Выберите учетные записи в любом каталоге организации (любой каталог Microsoft Entra — Multitenant).

9. Выберите Зарегистрировать.

   

10. В меню идентификатора Microsoft Entra выберите Регистрация приложений.

11. Откройте созданную регистрацию.

12. Запишите идентификатор клиента и идентификатор приложения.

Примечание.

Для настройки поставщика удостоверений в Okta требуется идентификатор клиента и идентификатор приложения.

13. В меню слева выберите Сертификаты и секреты.
14. Щелкните Создать секрет клиента.
15. Введите имя секрета.
16. Введите дату окончания срока действия.
17. Запишите значение секрета и идентификатор.

Примечание.

Значение и идентификатор не отображаются позже. Если вы не записываете информацию, необходимо повторно создать секрет.

18. В меню слева выберите Разрешения API.

19. Предоставьте приложению доступ к стеку OpenID Connect (OIDC).

20. Выберите Добавить разрешение.

21. Выбор Microsoft Graph

22. Выберите Делегированные разрешения.

23. В разделе разрешений OpenID добавьте разрешения email, openid и profile.

24. Выберите Добавить разрешения.

25. Выберите "Предоставить согласие администратора" для <доменного имени> клиента.

26. Дождитесь появления предоставленного состояния.

    

27. В меню слева выберите Фирменная символика.

28. Для URL-адреса домашней страницы добавьте домашнюю страницу приложения пользователя.

29. Чтобы добавить новый поставщик удостоверений, на портале администрирования Okta выберите "Безопасность " и "Поставщики удостоверений".

30. Щелкните Add Microsoft (Добавить корпорацию Майкрософт).

    

31. На странице поставщика удостоверений введите идентификатор приложения в поле идентификатора клиента.

32. Введите секрет клиента в поле секрета клиента.

33. Выберите Show Advanced Settings (Показать дополнительные параметры). По умолчанию эта конфигурация связывает имя участника-пользователя (UPN) в Okta с именем участника-пользователя в идентификаторе Microsoft Entra id для доступа к обратной федерации.

    Внимание

    Если имена участника-пользователя в Okta и идентификаторе Microsoft Entra не совпадают, выберите атрибут, распространенный для пользователей.

34. Завершите выборки автоматической подготовки.

35. По умолчанию, если для пользователя Okta не отображается совпадение, система пытается подготовить пользователя в идентификаторе Microsoft Entra. При переносе подготовки из Okta выберите "Перенаправление" на страницу входа в Okta.

    

Вы создали поставщика удостоверений (IDP). Отправьте пользователям правильный идентификатор поставщика удостоверений.

1. В меню "Поставщики удостоверений" выберите "Правила маршрутизации" и "Добавить правило маршрутизации".

2. Используйте один из доступных атрибутов в профиле Okta.

3. Чтобы направлять входы с устройств и IP-адресов в идентификатор Microsoft Entra ID, настройте политику, показанную на следующем рисунке. В этом примере атрибут Division не используется во всех профилях Okta. Это хороший выбор для маршрутизации поставщика удостоверений.

4. Запишите URI перенаправления, чтобы добавить его в регистрацию приложения.

   

5. В меню слева в регистрации приложения выберите "Проверка подлинности".

6. Выберите " Добавить платформу"

7. Выберите Интернет.

8. Добавьте URI перенаправления, записанный в idP в Okta.

9. Выберите Маркеры доступа и Токены ИД.

10. В консоли администрирования выберите каталог.

11. Выберите "Люди".

12. Чтобы изменить профиль, выберите тестового пользователя.

13. В профиле добавьте ToAzureAD. См. следующее изображение.

14. Выберите Сохранить.

    

15. Войдите на портал Microsoft 356 в качестве измененного пользователя. Если пользователь не входит в пилотный проект управляемой проверки подлинности, действие вводит цикл. Чтобы выйти из цикла, добавьте пользователя в службу управляемой проверки подлинности.

Тестирование доступа к приложениям Okta на пилотных пользователях

После настройки приложения Okta в идентификаторе Microsoft Entra и настройки поставщика удостоверений на портале Okta назначьте приложение пользователям.

1. В Центре администрирования Microsoft Entra перейдите к приложениям Identity>Applications>Enterprise.

2. Выберите созданную регистрацию приложения.

3. Перейдите к пользователям и группам.

4. Добавьте группу, которая соответствует пилотной службе управляемой проверки подлинности.

   Примечание.

   Вы можете добавить пользователей и группы на странице корпоративных приложений . Невозможно добавлять пользователей из меню Регистрация приложений.

   

5. Подождите около 15 минут.

6. Войдите в качестве пилотного пользователя управляемой проверки подлинности.

7. Перейдите в раздел My Apps (Мои приложения).

   

8. Чтобы вернуться на домашнюю страницу Okta, выберите плитку Okta Application Access .

Тестирование управляемой проверки подлинности на пилотных элементах

После настройки приложения обратной федерации Okta попросите пользователей провести тестирование на управляемой проверке подлинности. Рекомендуется настроить фирменную символику компании, чтобы помочь пользователям распознать клиент.

Дополнительные сведения: настройка фирменной символики компании.

Внимание

Прежде чем отложить домены из Okta, определите необходимые политики условного доступа. Вы можете защитить среду перед отключением. См. руководство. Перенос политик входа Okta в условный доступ Microsoft Entra.

Отмена федерации доменов Office 365

Если вашей организации подходит управляемая проверка подлинности, вы можете отменить федерацию домена с Okta. Чтобы начать, используйте следующие команды для подключения к Microsoft Graph PowerShell. Если у вас нет модуля Microsoft Graph PowerShell, скачайте его, введя Install-Module Microsoft.Graphего.

1. В PowerShell войдите в идентификатор Microsoft Entra с помощью учетной записи гибридного администратора удостоверений.

    Connect-MgGraph -Scopes "Domain.ReadWrite.All", "Directory.AccessAsUser.All"
   

2. Чтобы преобразовать домен, выполните следующую команду:

    Update-MgDomain -DomainId yourdomain.com -AuthenticationType "Managed"
   

3. Убедитесь, что домен преобразуется в управляемый, выполнив следующую команду. Тип проверки подлинности должен быть задан для управления.

   Get-MgDomain -DomainId yourdomain.com
   

После настройки домена для управляемой проверки подлинности вы разъединяете учетную запись Office 365 от Okta, сохраняя доступ пользователей к домашней странице Okta.

Следующие шаги

• Руководство. Перенос подготовки синхронизации Okta в синхронизацию На основе Microsoft Entra Connect
• Руководство. Перенос политик входа Okta в условный доступ Microsoft Entra
• Руководство. Перенос приложений из Okta в идентификатор Microsoft Entra