Sdílet prostřednictvím

Kurz: Migrace aplikací z Okty do Microsoft Entra ID

  • Článek

V tomto kurzu se dozvíte, jak migrovat aplikace z Okty do Microsoft Entra ID.

Požadavky

Ke správě aplikace v Microsoft Entra ID potřebujete:

  • Uživatelský účet Microsoft Entra. Pokud ho ještě nemáte, můžete si zdarma vytvořit účet.
  • Jedna z následujících rolí: Správce cloudových aplikací, Správce aplikací nebo vlastník instančního objektu.

Vytvoření inventáře aktuálních aplikací Okta

Před migrací zdokumentujte aktuální nastavení prostředí a aplikace. Ke shromažďování těchto informací můžete použít rozhraní OKta API. Použijte nástroj průzkumníka rozhraní API, například Postman.

Vytvoření inventáře aplikací:

  1. Pomocí aplikace Postman vygenerujte z konzoly pro správu Okta token rozhraní API.

  2. Na řídicím panelu rozhraní API v části Zabezpečení vyberte Tokeny Vytvořit token.>

    Snímek obrazovky s možnostmi Tokeny a Vytvořit tokeny v části Zabezpečení

  3. Zadejte název tokenu a pak vyberte Vytvořit token.

    Snímek obrazovky s položkou Název v části Vytvořit token

  4. Poznamenejte si hodnotu tokenu a uložte ji. Jakmile vyberete OK, dostanete ho, nebude dostupný.

    Snímek obrazovky s polem Hodnota tokenu a možností OK

  5. V aplikaci Postman v pracovním prostoru vyberte Importovat.

    Snímek obrazovky s možností Import v Postmanu

  6. Na stránce Importovat vyberte Odkaz. Pokud chcete rozhraní API importovat, vložte následující odkaz:

https://developer.okta.com/docs/api/postman/example.oktapreview.com.environment

Snímek obrazovky s možnostmi Propojit a Pokračovat při importu

Poznámka:

Neupravujte odkaz s hodnotami tenanta.

  1. Vyberte Importovat.

    Snímek obrazovky s možností Importovat při importu

  2. Po importu rozhraní API změňte výběr prostředí na {yourOktaDomain}.

  3. Pokud chcete upravit prostředí Okta, vyberte ikonu oka . Pak vyberte Edit (Upravit).

    Snímek obrazovky s ikonou oka a možností Upravit v části Přehled

  4. V polích Počáteční hodnota a Aktuální hodnota aktualizujte hodnoty pro adresu URL a klíč rozhraní API. Změňte název tak, aby odrážel vaše prostředí.

  5. Uložte hodnoty.

    Snímek obrazovky s poli Počáteční hodnota a Aktuální hodnota v části Přehled

  6. Načtěte rozhraní API do nástroje Postman.

  7. Vyberte Aplikace>Získat seznam odesílané aplikace.>

Poznámka:

Aplikace můžete vytisknout v tenantovi Okta. Seznam je ve formátu JSON.

Snímek obrazovky s možností Odeslat a seznamem Aplikace

Doporučujeme zkopírovat a převést tento seznam JSON do formátu CSV:

Poznámka:

Pokud chcete mít záznam o aplikacích ve vašem tenantovi Okta, stáhněte si sdílený svazek clusteru.

Migrace aplikace SAML do Microsoft Entra ID

Pokud chcete migrovat aplikaci SAML 2.0 do Microsoft Entra ID, nakonfigurujte aplikaci v tenantovi Microsoft Entra pro přístup k aplikacím. V tomto příkladu převedeme instanci Salesforce.

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce cloudových aplikací.

  2. Přejděte k podnikovým aplikacím>Identita>Aplikace>Všechny aplikace a pak vyberte Nová aplikace.

    Snímek obrazovky s možností Nová aplikace ve všech aplikacích

  3. V galerii Microsoft Entra vyhledejte Salesforce, vyberte aplikaci a pak vyberte Vytvořit.

    Snímek obrazovky s aplikacemi v galerii Microsoft Entra

  4. Po vytvoření aplikace vyberte na kartě Jednotné přihlašování (SSO) SAML.

    Snímek obrazovky s možností SAML při jednotném přihlašování

  5. Stáhněte si certifikát (raw) a XML federačních metadat a importujte ho do Salesforce.

    Snímek obrazovky s položkami XML certifikátů (nezpracovaných) a federačních metadat v rámci podpisového certifikátu SAML

  6. V konzole pro správu Salesforce vyberte v souboru metadat nová >nastavení>jednotného přihlašování identit.

    Snímek obrazovky s možností Nový ze souboru metadat v části nastavení Jednotné přihlašování

  7. Nahrajte soubor XML, který jste stáhli z Centra pro správu Microsoft Entra. Pak vyberte Vytvořit.

  8. Nahrajte certifikát, který jste stáhli z Azure. Zvolte Uložit.

    Snímek obrazovky s položkou certifikátu zprostředkovatele identity v Jednotné přihlašování SAML

  9. Poznamenejte si hodnoty v následujících polích. Hodnoty jsou v Azure.

    • Entity ID
    • Přihlašovací adresa URL
    • Adresa URL odhlášení

  10. Vyberte Stáhnout metadata.

    Snímek obrazovky s možností Stáhnout metadata, také položky pro ID entity a vaši organizaci

  11. Pokud chcete nahrát soubor do Centra pro správu Microsoft Entra, na stránce podnikové aplikace Microsoft Entra ID vyberte v nastavení jednotného přihlašování SAML soubor metadat nahrát.

  12. Zajistěte, aby importované hodnoty odpovídaly zaznamenaným hodnotám. Zvolte Uložit.

    Snímek obrazovky s položkami pro přihlašování založené na SAML a základní konfigurací SAML

  13. V konzole pro správu Salesforce vyberte Nastavení>společnosti My Domain. Přejděte do části Konfigurace ověřování a pak vyberte Upravit.

    Snímek obrazovky s možností Upravit v části Moje doména

  14. Pro možnost přihlášení vyberte nového zprostředkovatele SAML, který jste nakonfigurovali. Zvolte Uložit.

    Snímek obrazovky s možnostmi ověřovací služby v části Konfigurace ověřování

  15. Na stránce Podnikové aplikace v Microsoft Entra ID vyberte Uživatelé a skupiny. Pak přidejte testovací uživatele.

    Snímek obrazovky s uživateli a skupinami se seznamem testovacích uživatelů

  16. Pokud chcete konfiguraci otestovat, přihlaste se jako testovací uživatel. Přejděte do galerie aplikací Microsoftu a pak vyberte Salesforce.

    Snímek obrazovky s možností Salesforce v části Všechny aplikace v Moje aplikace

  17. Pokud se chcete přihlásit, vyberte nakonfigurovaného zprostředkovatele identity (IdP).

    Snímek obrazovky s přihlašovací stránkou Salesforce

Poznámka:

Pokud je konfigurace správná, testovací uživatel přejde na domovskou stránku Salesforce. Nápovědu k řešení potíží najdete v průvodci laděním.

  1. Na stránce Podnikové aplikace přiřaďte zbývající uživatele k aplikaci Salesforce se správnými rolemi.

Poznámka:

Po přidání zbývajících uživatelů do aplikace Microsoft Entra mohou uživatelé otestovat připojení, aby měli přístup. Otestujte připojení před dalším krokem.

  1. V konzole pro správu Salesforce vyberte Nastavení>společnosti Moje doména.

  2. V části Konfigurace ověřování vyberte Upravit. U ověřovací služby zrušte výběr okta.

    Snímek obrazovky s možnostmi Uložit a Ověřovací služba v části Konfigurace ověřování

Migrace aplikace OpenID Connect nebo OAuth 2.0 do Microsoft Entra ID

Tip

Postup v tomto článku se může mírně lišit v závislosti na portálu, od který začínáte.

Pokud chcete migrovat aplikaci OpenID Connect (OIDC) nebo OAuth 2.0 na Microsoft Entra ID, nakonfigurujte v tenantovi Microsoft Entra aplikaci pro přístup. V tomto příkladu převedeme vlastní aplikaci OIDC.

K dokončení migrace opakujte konfiguraci pro všechny aplikace v tenantovi Okta.

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce cloudových aplikací.

  2. Přejděte k podnikovým aplikacím>Identita>Aplikace>Všechny aplikace.

  3. Vyberte Nová aplikace.

  4. Vyberte Vytvořit vlastní aplikaci.

  5. V zobrazené nabídce pojmenujte aplikaci OIDC a pak vyberte Zaregistrovat aplikaci, na které pracujete, aby se integroval s Microsoft Entra ID.

  6. Vyberte Vytvořit.

  7. Na další stránce nastavte tenanta registrace vaší aplikace. Další informace naleznete v tématu Tenantancy v Microsoft Entra ID. Přejděte na Účty v libovolném organizačním adresáři (Libovolný adresář Microsoft Entra – Víceklient)>Zaregistrujte se.

    Snímek obrazovky s možností Účty v libovolném organizačním adresáři (Libovolný adresář Microsoft Entra – Víceklient).

  8. Na Registrace aplikací stránce v části Microsoft Entra ID otevřete vytvořenou registraci.

Poznámka:

V závislosti na scénáři aplikace existují různé akce konfigurace. Většina scénářů vyžaduje tajný klíč klienta aplikace.

  1. Na stránce Přehled si poznamenejte ID aplikace (klienta). Toto ID použijete ve své aplikaci.

  2. Vlevo vyberte Certifikáty a tajné kódy. Pak vyberte + Nový tajný klíč klienta. Pojmenujte tajný klíč klienta a nastavte jeho vypršení platnosti.

    Snímek obrazovky s položkami nového tajného klíče klienta u certifikátů a tajných kódů

  3. Poznamenejte si hodnotu a ID tajného klíče.

Poznámka:

Pokud tajný klíč klienta chybně zadáte, nemůžete ho načíst. Místo toho znovu vygenerujte tajný kód.

  1. Na levé straně vyberte oprávnění rozhraní API. Pak aplikaci udělte přístup k zásobníku OIDC.

  2. Vyberte + Přidat oprávnění>Delegovaná oprávnění Microsoft Graphu.>

  3. V části Oprávnění OpenId vyberte e-mail, openid a profil. Poté vyberte Přidat oprávnění.

  4. Pokud chcete zlepšit uživatelské prostředí a potlačit výzvy k vyjádření souhlasu uživatele, vyberte Udělit souhlas správce pro název domény tenanta. Počkejte, až se zobrazí stav Uděleno .

    Snímek obrazovky se zprávou o požadovaných oprávněních v části Oprávnění rozhraní API, která byla úspěšně udělena souhlasu správce

  5. Pokud má vaše aplikace identifikátor URI přesměrování, zadejte identifikátor URI. Pokud adresa URL odpovědi cílí na kartu Ověřování a pak přidejte platformu a web, zadejte adresu URL.

  6. Vyberte Přístupové tokeny a tokeny ID.

  7. Vyberte Konfigurovat.

  8. V případě potřeby v nabídce Ověřování v části Upřesnit nastavení a Povolit toky veřejného klienta vyberte Ano.

    Snímek obrazovky s možností Ano při ověřování

  9. Před testováním naimportujte v aplikaci nakonfigurované OIDC ID aplikace a tajný klíč klienta.

Poznámka:

Pomocí předchozích kroků nakonfigurujte aplikaci s nastavením, jako je ID klienta, tajný klíč a obory.

Migrace vlastního autorizačního serveru do Microsoft Entra ID

Autorizační servery Okta mapují 1:1 na registrace aplikací, které zpřístupňují rozhraní API.

Namapujte výchozí autorizační server Okta na obory nebo oprávnění Microsoft Graphu.

Snímek obrazovky s možností Přidat obor ve zpřístupnění a rozhraní API

Další kroky