將應用程式從Okta遷移至 Microsoft Entra 識別碼

在本教學課程中，您將瞭解如何將應用程式從Okta遷移至 Microsoft Entra ID。

必要條件

若要在 Microsoft Entra ID 中管理應用程式，您需要：

• Microsoft Entra 使用者帳戶。 若尚未有帳戶，可以免費建立帳戶。
• 下列角色其中之一：雲端應用程式管理員、應用程式管理員或服務主體擁有者。

建立目前 Okta 應用程式的清查

移轉之前，先記錄目前的環境和應用程式設定。 您可以使用 Okta API 來收集此資訊。 使用 API 總管工具，例如 Postman。

建立應用程式詳細目錄：

1. 從 Okta 管理主控台，使用 Postman 應用程式產生 API 權杖。

2. 從 API 儀表板 的 [安全性] 下，選取 [權杖]> [建立權杖]。

   

3. 輸入權杖名稱，然後選取 [建立權杖]。

   

4. 記錄權杖值，然後儲存。 選取[確定，明白了]之後，它將無法存取。

   

5. 在 Postman 應用程式的工作區中，選取 [匯入]。

6. 在 [匯入] 頁面上，選取 [連結]。 若要匯入 API，請插入下列連結：

https://developer.okta.com/docs/api/postman/example.oktapreview.com.environment

注意

請勿使用您的租用戶值修改連結。

7. 選取匯入。

   

8. 匯入 API 之後，將 [環境] 選擇變更為 [{yourOktaDomain}]。

9. 若要編輯您的Okta環境，請選取 眼 圖示。 然後，選取 [編輯]。

   

10. 在 [初始值] 和 [目前值] 欄位中，更新 URL 和 API 金鑰的值。 將名稱變更成您的環境。

11. 儲存值。

    

12. 將 API 載入 Postman。

13. 選取 [Apps] (應用程式)>[Get List Apps] (列出應用程式)> [傳送]。

注意

您可以列印 Okta 租用戶中的應用程式。 此清單為 JSON 格式。

建議您複製此 JSON 清單，並將其轉換成 CSV 格式：

• 使用公用轉換器，例如 Konklone
• 若是 PowerShell，則可使用 ConvertFrom-Json 和 ConvertTo-CSV

注意

若要在 Okta 租用戶中記錄應用程式，請下載 CSV。

將 SAML 應用程式移轉至 Microsoft Entra ID

若要將 SAML 2.0 應用程式移轉至 Microsoft Entra ID，請在 Microsoft Entra 租用戶中設定應用程式，以進行應用程式存取。 在此範例中，我們將轉換 Salesforce 執行個體。

1. 以至少 雲端應用程式系統管理員 的身分登入 Microsoft Entra 系統管理中心。

2. 瀏覽至 [身分識別]>[應用程式]>[企業應用程式]>[所有應用程式]，然後選取 [新增應用程式]。

3. 在Microsoft Entra 資源庫，搜尋 [Salesforce]、選取應用程式，然後選取 [建立]。

   

4. 建立應用程式之後，在 [單一登入 (SSO)] 索引標籤上，選取 [SAML]。

   

5. 下載憑證 (原始) 及同盟中繼資料 XML，將其匯入 Salesforce。

6. 在 Salesforce 管理控制台上，選取 [身分識別]>[單一登入設定]>[從中繼資料檔案新增]。

   

7. 上傳您從 Microsoft Entra 系統管理中心下載的 XML 檔案。 然後選取建立。

8. 上傳您從 Azure 下載的憑證。 選取 [儲存]。

9. 記錄下列欄位中的值。 值位於 Azure 中。

   • 實體識別碼
   • 登入 URL
   • 登出 URL

10. 選取 [下載中繼資料]。

11. 若要將檔案上傳至 Microsoft Entra 系統管理中心，請在 Microsoft Entra ID 中企業應用程式頁面的「SAML SSO 設定」，選取 [上傳中繼資料檔案]。

12. 確定匯入的值會與記錄的值相符。 選取 [儲存]。

    

13. 在 Salesforce 管理主控台中，選取 [公司設定]> [我的網域]。 移至 [驗證驗證]，然後選取 [編輯]。

    

14. 針對登入選項，選取您設定的新 SAML 提供者。 選取 [儲存]。

    

15. 在 Microsoft Entra ID 的 [企業應用程式] 頁面上，選取 [使用者和群組]。 然後新增測試使用者。

    

16. 若要測試設定，請以測試使用者的身分登入。 移至 Microsoft 應用程式庫，然後選取 [Salesforce]。

    

17. 若要登入，請選取已設定的身分識別提供者 (IdP)。

    

注意

如果設定正確，測試使用者會進入 Salesforce 首頁。 如需疑難排解的協助，請參閱偵錯指南。

18. 在 [企業應用程式] 頁面上，將其餘使用者以正確的角色指派給 Salesforce 應用程式。

注意

將其餘使用者新增至 Microsoft Entra 應用程式之後，使用者可以測試連線，以確認他們具有存取權。 測試連線後再進行下一步。

19. 在 Salesforce 管理主控台中，選取 [公司設定]> [我的網域]。

20. 在 [驗證設定] 下，選取 [編輯]。 針對驗證服務，清除 Okta 的選取項目。

    

將 OpenID Connect 或 OAuth 2.0 應用程式移轉至 Microsoft Entra ID

提示

本文中的步驟可能會依據您開始的入口網站而稍有不同。

若要將 OpenID Connect (OIDC) 或 OAuth 2.0 應用程式移轉至 Microsoft Entra ID，請在您的 Microsoft Entra 租用戶中設定應用程式以進行存取。 在此範例中，我們會轉換自訂 OIDC 應用程式。

若要完成移轉，請針對 Okta 租用戶中的所有應用程式重複設定。

1. 以至少 雲端應用程式系統管理員 的身分登入 Microsoft Entra 系統管理中心。

2. 瀏覽至 [身分識別]>[應用程式]>[企業應用程式]>[所有應用程式]。

3. 選取 [新增應用程式]。

4. 選取 [建立您自己的應用程式]。

5. 在出現的功能表上，為 OIDC 應用程式命名，然後選取 [註冊要與 Microsoft Entra ID 整合的應用程式]。

6. 選取 建立。

7. 在下一個頁面上，為您註冊的應用程式設定租用戶。 如需詳細資訊，請參閱 Microsoft Entra ID 中的租用戶。 前往 任何組織目錄中的帳戶 (任何 Microsoft Entra 目錄 - 多租用戶)>註冊。

   

8. 在 [應用程式註冊] 頁面上，於 [Microsoft Entra ID] 下方開啟已建立的註冊。

注意

視應用程式案例而定，會有各種設定動作。 大部分的案例都需要應用程式用戶端密碼。

8. 從 [概觀] 頁面，複製 [應用程式 (用戶端) 識別碼]。 您會在應用程式中使用此識別碼。

9. 選取左側的 [憑證與秘密]。 然後選擇 [+ 新增客戶端密碼]。 為用戶端秘密命名，然後設定其到期日。

10. 記錄祕密的值與識別碼。

注意

如果您找不到用戶端密碼，將無法加以擷取。 而是要重新產生祕密。

11. 從左側選取 [API 權限]。 然後，為 OIDC 堆疊授與應用程式存取權。

12. 選取 [+ 新增權限]>[Microsoft Graph]>[委派權限]。

13. 在 [OpenId 權限] 區段中，選取 [電子郵件]、 [OpenId] 和 [設定檔]。 然後選取 [新增權限]。

14. 若要改善使用者體驗，並隱藏使用者同意提示，請選取 [Grant admin consent for Tenant Domain Name] (將系統管理員同意授與租用戶的網域名稱)。 等待 [已授與] 狀態出現。

    

15. 如果您的應用程式有重新導向 URI，請輸入該 URI。 若回覆 URL 的目標是 [驗證] 索引標籤，然後是 [新增平台] 及 [Web]，請輸入該 URL。

16. 選取 [存取權杖] 和 [識別碼權杖]。

17. 選取設定。

18. 如果需要，在 [驗證] 功能表的 [進階設定] 和 [允許公用用戶端流程] 底下，選取 [是]。

    

19. 在測試之前，請在已設定 OIDC 的應用程式中匯入應用程式識別碼和客戶端密碼。

注意

使用先前的步驟，以用戶端標識碼、秘密和範圍等設定來設定應用程式。

將自訂授權伺服器移轉至 Microsoft Entra ID

Okta 授權伺服器會一對一對應至 公開 API的應用程式註冊。

將預設的 Okta 授權伺服器對應至 Microsoft Graph 範圍或權限。

下一步

• 將 Okta 同盟移轉至 Microsoft Entra ID
• 將 Okta 同步佈建移轉至以 Microsoft Entra Connect 為基礎的同步處理
• 將 Okta 登入原則移轉至 Microsoft Entra 條件式存取