Compartir vía

Tutorial: Migración de sus aplicaciones de Okta a Microsoft Entra ID

  • Artículo

En este tutorial, aprenderá a migrar sus aplicaciones de Okta a Microsoft Entra ID.

Requisitos previos

Para administrar la aplicación en Microsoft Entra ID, necesita:

  • Una cuenta de usuario de Microsoft Entra. Si no la tiene, puede crear una cuenta gratis.
  • Uno de los siguientes roles: Administrador de aplicaciones en la nube, Administrador de aplicaciones o propietario de la entidad de servicio.

Creación de un inventario de las aplicaciones actuales de Okta

Antes de realizar la migración, debe documentar la configuración actual del entorno y la aplicación. Puede usar la API de Okta para recopilar esta información. Use una herramienta de exploración de API como Postman.

Para crear un inventario de aplicaciones, haga lo siguiente:

  1. Con la aplicación Postman, desde la consola de administración de Okta, genere un token de API.

  2. En el panel de API, en la sección Seguridad, seleccione Tokens>Crear token.

    Captura de pantalla de las opciones Tokens (Tokens) y Create Tokens (Crear tokens) en Security (Seguridad).

  3. Escriba un nombre de token y, después, seleccione Create Token (Crear token).

    Captura de pantalla de la entrada Name (Nombre) en Create Token (Crear token).

  4. Registre el valor del token y guárdelo. Después de seleccionar OK, got it (Aceptar), no es accesible.

    Captura de pantalla del campo Token Value (Valor del token) y la opción OK, got it (Aceptar).

  5. En la aplicación Postman, en el área de trabajo, seleccione Importar.

  6. En la página Importar, seleccione Vincular. Para importar la API, inserte el vínculo siguiente:

https://developer.okta.com/docs/api/postman/example.oktapreview.com.environment

Captura de pantalla de las opciones Link (Vincular) y Continue (Continuar) en Import (Importar).

Nota:

No modifique el vínculo con los valores del inquilino.

  1. Seleccione Import (Importar).

    Captura de pantalla de la opción Import (Importar) en Import (Importación).

  2. Una vez realizada la importación de la API, cambie la selección de entorno a {suDominiodeOkta}.

  3. Para editar el entorno de Okta, seleccione el icono del ojo. Después, seleccione Editar.

    Captura de pantalla del icono de ojo y la opción Edit (Editar) en Overview (Información general).

  4. En los campos Initial Value (Valor inicial) y Current Value (Valor actual), actualice los valores de la dirección URL y la clave de API. Cambie el nombre para que se refleje el entorno.

  5. Guarde los valores.

    Captura de pantalla de los campos Initial Value (Valor inicial) y Current Value (Valor actual) en Overview (Información general).

  6. Cargue la API en Postman.

  7. Seleccione Aplicaciones>Obtener aplicaciones de lista>Enviar.

Nota:

Puede imprimir las aplicaciones del inquilino de Okta. La lista está en formato JSON.

Captura de pantalla de la opción Send (Enviar) y la lista Apps (Aplicaciones).

Se recomienda copiar y convertir esta lista JSON a un formato de archivo .csv:

Nota:

Para tener un registro de las aplicaciones en el inquilino de Okta, descargue el archivo .csv.

Migración de una aplicación SAML a Microsoft Entra ID

Para migrar una aplicación SAML 2.0 a Microsoft Entra ID, configure la aplicación en el inquilino de Microsoft Entra para el acceso a la aplicación. En este ejemplo, vamos a convertir una instancia de Salesforce.

  1. Inicie sesión en el Centro de administración Microsoft Entra como Administrador de aplicaciones en la nube.

  2. Vaya a Identidad>Aplicaciones>Aplicaciones empresariales>Todas las aplicaciones y, a continuación, seleccione Nueva aplicación.

  3. En Galería de Microsoft Entra, busque la aplicación Salesforce, selecciónela y, a continuación, seleccione Crear.

    Captura de pantalla de las aplicaciones en la Galería de Microsoft Entra.

  4. Una vez creada la aplicación, en la pestaña Inicio de sesión único, seleccione SAML.

    Captura de pantalla de la opción SAML en Inicio de sesión único.

  5. Descargue el Certificado (sin procesar) y XML de metadatos de federación para importarlos en Salesforce.

  6. En la consola de administración de Salesforce, seleccione Identidad>Configuración de inicio de sesión único>Nueva de archivo de metadatos.

    Captura de pantalla de la opción Nueva de archivo de metadatos en Configuración de inicio de sesión único.

  7. Cargue el archivo XML que descargó del Centro de administración de Microsoft Entra. Después, seleccione Crear.

  8. Cargue el certificado que ha descargado de Azure. Seleccione Guardar.

  9. Guarde los valores de los campos siguientes. Los valores están en Azure.

    • El identificador de entidad
    • Dirección URL de inicio de sesión
    • Dirección URL de cierre de sesión

  10. Seleccione Descargar metadatos.

  11. Para cargar el archivo en el centro de administración de Microsoft Entra, vaya a la página Aplicaciones empresariales de Microsoft Entra ID y, en la configuración de SSO de SAML, seleccione Cargar el archivo de metadatos.

  12. Asegúrese de que los valores importados coinciden con los valores registrados. Seleccione Guardar.

    Captura de pantalla de las entradas de Inicio de sesión basado en SAML y Configuración básica de SAML.

  13. En la consola de administración de Salesforce, seleccione Configuración de la compañía>Mi dominio. Vaya a Configuración de autenticación y seleccione Editar.

    Captura de pantalla de la opción Editar en Mi dominio.

  14. Para una opción de inicio de sesión, seleccione el nuevo proveedor SAML que ha configurado. Seleccione Guardar.

    Captura de pantalla de las opciones Servicio de autenticación en Configuración de autenticación.

  15. En Microsoft Entra ID, en la página Aplicaciones empresariales, seleccione Usuarios y grupos. A continuación, agregue usuarios de prueba.

    Captura de pantalla de Usuarios y grupos con una lista de usuarios de prueba.

  16. Para probar la configuración, inicie sesión como un usuario de prueba. Vaya a la galería de aplicaciones de Microsoft y luego seleccione Salesforce.

    Captura de pantalla de la opción Salesforce bajo Todas las aplicaciones, en Aplicaciones.

  17. Para iniciar sesión, seleccione el proveedor de identidades configurado (IdP).

    Captura de pantalla de la página de inicio de sesión de Salesforce.

Nota:

Si la configuración es correcta, el usuario de prueba llega a la página principal de Salesforce. Para obtener ayuda para solucionar problemas, consulte la guía de depuración.

  1. En la página Aplicaciones empresariales, asigne los usuarios restantes a la aplicación Salesforce con los roles correctos.

Nota:

Después de agregar los usuarios restantes a la aplicación de Microsoft Entra, los usuarios pueden probar la conexión para asegurarse de que tienen acceso. Pruebe la conexión antes de continuar con el paso siguiente.

  1. En la consola de administración de Salesforce, elija Configuración de la compañía>Mi dominio.

  2. En Configuración de autenticación, seleccione Editar. Para el servicio de autenticación, desactive la selección de Okta.

    Captura de pantalla de la opción Guardar y las opciones de Servicio de autenticación, en Configuración de autenticación.

Migración de una aplicación OpenID Connect o OAuth 2.0 a Microsoft Entra ID

Sugerencia

Los pasos de este artículo pueden variar ligeramente en función del portal desde donde comienza.

A fin de migrar una aplicación de OpenID Connect (OIDC) o OAuth 2.0 a Microsoft Entra ID en su inquilino de Microsoft Entra, configure la aplicación para el acceso. En este ejemplo, vamos a convertir una aplicación de OIDC personalizada.

Para finalizar la migración, repita la configuración con todas las aplicaciones del inquilino de Okta.

  1. Inicie sesión en el Centro de administración Microsoft Entra como Administrador de aplicaciones en la nube.

  2. Vaya a Identidad>Aplicaciones>Aplicaciones empresariales>Todas las aplicaciones.

  3. Seleccione Nueva aplicación.

  4. Seleccione Cree su propia aplicación.

  5. En el menú que aparece, asigne un nombre a la aplicación de OIDC y seleccione Registrar una aplicación con la que está trabajando para integrarla con Microsoft Entra ID.

  6. Seleccione Crear.

  7. En la página siguiente, configure los inquilinos del registro de la aplicación. Para más información, consulte Inquilinos en Microsoft Entra ID. Vaya a Cuentas en cualquier directorio organizativo (cualquier directorio de Microsoft Entra: multiinquilino)>Registrar.

    Captura de pantalla de la opción Cuentas en cualquier directorio organizativo (cualquier directorio de Microsoft Entra: multiinquilino).

  8. En la página Registros de aplicaciones, en Microsoft Entra ID, abra el registro creado.

Nota:

En función del escenario de la aplicación, habrá varias acciones de configuración. La mayoría de los escenarios requieren un secreto de cliente de la aplicación.

  1. En la página Información general, guarde el identificador de aplicación (cliente). Debe usar este id. en la aplicación.

  2. A la izquierda, seleccione Certificados y secretos. A continuación, seleccione + Nuevo secreto de cliente. Asigne al secreto de cliente el nombre y establezca su expiración.

  3. Guarde el valor y el identificador del secreto.

Nota:

Si pierde el secreto de cliente, no podrá recuperarlo. En su lugar, vuelva a generar un secreto.

  1. Seleccione Permisos de API en la parte izquierda. A continuación, conceda a la aplicación acceso a la pila de OIDC.

  2. Seleccione + Agregar un permiso>Microsoft Graph>Permisos delegados.

  3. En la sección Permisos de OpenId, agregue Correo electrónico, openid y Perfil. Seleccione Agregar permisos.

  4. Para mejorar la experiencia de usuario y suprimir las solicitudes de consentimiento del usuario, seleccione la opción Grant admin consent for Tenant Domain Name (Conceder consentimiento de administrador para nombre de dominio de inquilino). Espere a que aparezca el estado Concedido.

    Captura de pantalla del mensaje Consentimiento del administrador concedido correctamente para los permisos solicitados, en Permisos de API.

  5. Si la aplicación tiene un URI de redireccionamiento, escríbalo. Si la dirección URL de respuesta tiene como destino la pestaña Autenticación seguida de Agregar una plataforma y Web, escriba la dirección URL.

  6. Seleccione Tokens de acceso y Tokens de id.

  7. Seleccione Configurar.

  8. En caso necesario, en el menú Autenticación, en Configuración avanzada y en Permitir flujos de clientes públicos, seleccione .

    Captura de pantalla de la opción Sí en Autenticación.

  9. Antes de probarlo, en la aplicación configurada por OIDC, importe el id. de aplicación y el secreto de cliente.

Nota:

Use los pasos anteriores para configurar la aplicación con valores como Id. de cliente, Secreto y Ámbitos.

Migración de un servidor de autorización personalizado a Microsoft Entra ID

Los servidores de autorización de Okta asignan uno por uno los registros de aplicaciones que exponen una API.

El servidor de autorización de Okta predeterminado debe asignarse a los ámbitos o permisos de Microsoft Graph.

Captura de pantalla de la opción Agregar un ámbito en Exponer y API.

Pasos siguientes