Partager via

Tutoriel : migrer vos applications d’Okta vers Microsoft Entra ID

  • Article

Dans ce didacticiel, vous apprendrez comment migrer vos applications d'Okta vers Microsoft Entra ID.

Prérequis

Pour gérer l'application dans Microsoft Entra ID, vous avez besoin de :

  • Un compte utilisateur Microsoft Entra. Si vous n’en avez pas encore, vous pouvez créer un compte gratuitement.
  • Un des rôles suivants : administrateur d’application cloud, administrateur d’application ou propriétaire du principal de service.

Créer un inventaire des applications Okta actuelles

Avant la migration, documentez les paramètres actuels de l’environnement et de l’application. Vous pouvez utiliser l’API Okta pour collecter ces informations. Utilisez un outil d’exploration d’API tel que Postman.

Pour créer un inventaire d’applications :

  1. Avec l’application Postman, à partir de la console d’administration Okta, générez un jeton d’API.

  2. Dans le tableau de bord de l’API, sous Sécurité, sélectionnez Jetons>Créer un jeton.

    Capture d’écran des options Jetons et Créer des jetons sous Sécurité.

  3. Entrez un nom de jeton, puis sélectionnez Créer un jeton.

    Capture d’écran de l’entrée Nom sous Créer un jeton.

  4. Enregistrez la valeur du jeton et sauvegardez-la. Une fois que vous avez sélectionné OK, vous l’avez obtenu, il n’est pas accessible.

    Capture d’écran du champ Valeur du jeton et de l’option OK obtenu.

  5. Dans l’application Postman, dans l’espace de travail, sélectionnez Importer.

  6. Sur la page Importer sélectionnez Lier. Pour importer l’API, insérez le lien suivant :

https://developer.okta.com/docs/api/postman/example.oktapreview.com.environment

Capture d’écran des options Lier et Continuer sur Importer.

Remarque

Ne modifiez pas le lien avec les valeurs de votre client.

  1. Cliquez sur Importer.

    Capture d’écran de l’option Importer sur Importer.

  2. Après l’importation de l’API, changez la sélection Environnement en la définissant sur {yourOktaDomain}.

  3. Pour modifier votre environnement Okta, sélectionnez l’icône représentant un œil. Sélectionnez ensuite Modifier.

    Capture d’écran de l’icône d’œil et de l’option Modifier dans Vue d’ensemble.

  4. Dans les champs Valeur initiale et Valeur actuelle, mettez à jour les valeurs de l’URL et de la clé API. Modifiez le nom pour qu’il corresponde à votre environnement.

  5. Enregistrez les valeurs.

    Capture d’écran des champs Valeur initiale et Valeur actuelle dans Vue d’ensemble.

  6. Chargez l’API dans Postman.

  7. Sélectionnez Applications>Obtenir la liste des applications>Envoyer.

Remarque

Vous pouvez imprimer les applications dans votre client Okta. La liste est au format JSON.

Capture d’écran de l’option Envoyer et de la liste Des applications.

Nous vous recommandons de copier et de convertir cette liste JSON au format CSV :

Remarque

Pour avoir un enregistrement des applications dans votre client Okta, téléchargez le fichier CSV.

Migrer une application SAML vers Microsoft Entra ID

Pour migrer une application SAML 2.0 vers Microsoft Entra ID, configurez l'application dans votre client Microsoft Entra pour l'accès aux applications. Dans cet exemple, nous convertissons une instance de Salesforce.

  1. Connectez-vous au Centre d’administration Microsoft Entra au minimum en tant qu’Administrateur d’application cloud.

  2. Accédez à Identité>Applications>Applications d’entreprise>Toutes les applications, puis sélectionnez Nouvelle application.

  3. Dans Microsoft Entra Gallery, recherchez Salesforce, sélectionnez l'application, puis sélectionnez Créer.

    Capture d'écran des applications dans Microsoft Entra Gallery.

  4. Une fois l’application créée, dans l’onglet Authentification unique (SSO), sélectionnez SAML.

    Capture d’écran de l’option SAML sur l’authentification unique.

  5. Téléchargez le certificat (brut) et le fichier XML de métadonnées de fédération à importer dans Salesforce.

  6. Dans la console d’administration Salesforce, sélectionnez Identité>Paramètres d’authentification unique>Nouveau à partir d’un fichier de métadonnées.

    Capture d’écran de l’option Nouveau à partir du fichier de métadonnées sous Paramètres de l’authentification unique.

  7. Chargez le fichier XML que vous avez téléchargé à partir du centre d’administration Microsoft Entra. Sélectionnez ensuite Créer.

  8. Chargez le certificat que vous avez téléchargé à partir d’Azure. Sélectionnez Enregistrer.

  9. Enregistrez les valeurs dans les champs suivants. Les valeurs se trouvent dans Azure.

    • ID d’entité
    • URL de connexion
    • URL de déconnexion

  10. Sélectionnez Télécharger les métadonnées.

  11. Pour télécharger le fichier vers le centre d'administration Microsoft Entra, dans la page des applications d’entreprise Microsoft Entra ID, dans les paramètres SAML SSO, sélectionnez Télécharger le fichier de métadonnées.

  12. Vérifiez que les valeurs importées correspondent aux valeurs enregistrées. Sélectionnez Enregistrer.

    Capture d’écran des entrées pour l’authentification basée sur SAML et la configuration SAML de base.

  13. Dans la console d’administration Salesforce, sélectionnez Paramètres de la société>Mon domaine. Accédez à Configuration de l’authentification, puis sélectionnez Modifier.

    Capture d’écran de l’option Modifier sous Mon domaine.

  14. Pour une option de connexion, sélectionnez le nouveau fournisseur SAML que vous avez configuré. Sélectionnez Enregistrer.

    Capture d’écran des options du service d’authentification sous Configuration de l’authentification.

  15. Dans Microsoft Entra ID, sur la page Applications d'entreprise, sélectionnez Utilisateurs et groupes. Ajoutez ensuite des utilisateurs de test.

    Capture d’écran des utilisateurs et des groupes avec une liste d’utilisateurs de test.

  16. Pour tester la configuration, connectez-vous en tant qu’utilisateur de test. Accédez à la galerie d’applications de Microsoft, puis sélectionnez Salesforce.

    Capture d’écran de l’option Salesforce sous Toutes les applications, sur Mes applications.

  17. Pour vous connecter, sélectionnez le fournisseur d’identité (IdP) configuré.

    Capture d’écran de la page de connexion Salesforce.

Remarque

Si la configuration est correcte, l’utilisateur de test arrive sur la page d’accueil de Salesforce. Pour obtenir de l’aide en cas de problème, consultez le guide de débogage.

  1. Sur la page Applications d’entreprise, attribuez les utilisateurs restants à l’application Salesforce avec les rôles appropriés.

Remarque

Après avoir ajouté les utilisateurs restants à l'application Microsoft Entra, les utilisateurs peuvent tester la connexion pour s'assurer qu'ils y ont accès. Testez la connexion avant l’étape suivante.

  1. Dans la console d’administration Salesforce, sélectionnez Paramètres de la société>Mon domaine.

  2. Sous Configuration de l’authentification, sélectionnez Modifier. Pour le service d’authentification, désactivez la sélection d’Okta.

    Capture d’écran des options Enregistrer et Service d’authentification, sous Configuration de l’authentification.

Migrer une application OpenID Connect ou OAuth 2.0 vers Microsoft Entra ID

Conseil

Les étapes décrites dans cet article peuvent varier légèrement en fonction du portail de départ.

Pour migrer une application OpenID Connect (OIDC) ou OAuth 2.0 vers Microsoft Entra ID, dans votre client Microsoft Entra, configurez l'application pour l'accès. Dans cet exemple, nous convertissons une application OIDC personnalisée.

Pour effectuer la migration, répétez la configuration pour toutes les applications du client Okta.

  1. Connectez-vous au Centre d’administration Microsoft Entra au minimum en tant qu’Administrateur d’application cloud.

  2. Accédez à Identité>Applications>Applications d’entreprise>Toutes les applications.

  3. Sélectionnez Nouvelle application.

  4. Sélectionnez Créer votre propre application.

  5. Dans le menu qui apparaît, nommez l'application OIDC, puis sélectionnez Enregistrer une application sur laquelle vous travaillez pour l'intégrer à Microsoft Entra ID.

  6. Sélectionnez Créer.

  7. Sur la page suivante, configurez la location de l’inscription de votre application. Pour plus d’informations, consultez Location dans Microsoft Entra ID. Accédez à Comptes dans n’importe quel annuaire organisationnel (N’importe quel annuaire Microsoft Entra – Multi-locataire)>Registre.

    Capture d'écran de l'option Comptes dans n'importe quel annuaire organisationnel (N'importe quel annuaire Microsoft Entra – Multi-locataire).

  8. Sur la page Inscriptions d'applications, sous Microsoft Entra ID, ouvrez l'inscription créée.

Remarque

Selon le scénario d’application, il existe diverses actions de configuration. La plupart des scénarios nécessitent un secret client d’application.

  1. Sur la page Vue d’ensemble, enregistrez l’ID d’application (client). Vous utilisez cet ID dans votre application.

  2. À gauche, sélectionnez Certificats et secrets. Sélectionnez ensuite + Nouvelle clé secrète client. Nommez la clé secrète client et définissez son expiration.

  3. Enregistrez la valeur et l’ID du secret.

Remarque

Si vous égarez le secret client, vous n’aurez aucun moyen de le récupérer. À la place, regénérez un secret.

  1. Sur la gauche, sélectionnez Autorisations d’API. Accordez ensuite à l’application l’accès à la pile OIDC.

  2. Sélectionnez +Ajouter une autorisation>Microsoft Graph>Permissions déléguées.

  3. Dans la section Autorisations OpenID, sélectionnez adresse e-mail, openid et profil. Sélectionnez ensuite Ajouter des autorisations.

  4. Pour améliorer l’expérience utilisateur et supprimer les invites de consentement de l’utilisateur, sélectionnez Accorder le consentement administrateur pour Nom de domaine du client. Attendez que l’état Autorisé apparaisse.

    Capture d’écran du message Consentement administrateur accordé avec succès pour les autorisations demandées, sous Autorisations d’API.

  5. Si votre application a un URI de redirection, entrez l’URI. Si l’URL de réponse cible l’onglet Authentification, puis Ajouter une plateforme et Web, saisissez l’URL.

  6. Sélectionnez Jetons d’accès et Jetons d’ID.

  7. Sélectionnez Configurer.

  8. Si nécessaire, dans le menu Authentification, sous Paramètres avancés et Autoriser les flux clients publics, sélectionnez Oui.

    Capture d’écran de l’option Oui sur l’authentification.

  9. Avant de tester, dans votre application configurée pour OIDC, importez l’ID d’application et la clé secrète client.

Remarque

Utilisez les étapes précédentes pour configurer votre application avec des paramètres tels que l’ID client, le secret et les étendues.

Migrer un serveur d'autorisation personnalisé vers Microsoft Entra ID

Les serveurs d’autorisation Okta mappent de un à un aux inscriptions d’application qui exposent une API.

Mappez le serveur d’autorisations Okta par défaut aux étendues ou autorisations Microsoft Graph.

Capture d’écran de l’option Ajouter une étendue sur Exposer et l’API.

Étapes suivantes