Partager via


Migrer la fédération Okta vers l’authentification gérée par Microsoft Entra

Ce didacticiel explique comment fédérer les locataires Office 365 avec Okta pour l'authentification unique (SSO).

Vous pouvez migrer la fédération vers Microsoft Entra ID par étapes afin de garantir une bonne expérience d'authentification pour les utilisateurs. Dans le cadre d'une migration par étapes, vous pouvez également tester l'accès de la fédération inverse à toutes les applications d'authentification unique Okta restantes.

Note

Le scénario décrit dans ce didacticiel n'est qu'une des nombreuses façons possibles de mettre en œuvre la migration. Vous devez essayer d'adapter les informations à votre configuration spécifique.

Prerequisites

  • Un locataire Office 365 fédéré à Okta pour l’authentification unique
  • Un serveur Microsoft Entra Connect ou des agents de provisionnement cloud Microsoft Entra Connect configurés pour le provisionnement des utilisateurs dans Microsoft Entra ID
  • Un des rôles suivants : Administrateur d'application, Administrateur d'application cloud ou Administrateur d'identité hybride.

Configurer Microsoft Entra Connect pour l'authentification

Les clients qui fédèrent leurs domaines Office 365 avec Okta peuvent ne pas avoir de méthode d'authentification valide dans Microsoft Entra ID. Avant de migrer vers l'authentification gérée, validez Microsoft Entra Connect et configurez-le pour autoriser la connexion des utilisateurs.

Paramétrer le mode de connexion :

  • Synchronisation de hachage du mot de passe : extension de la fonctionnalité de synchronisation d'annuaires implémentée par un serveur ou des agents d'approvisionnement du cloud Microsoft Entra Connect
  • Authentification directe : connexion à des applications locales et cloud avec les mêmes mots de passe.
  • Authentification unique transparente : connecte les utilisateurs sur les ordinateurs de l'entreprise connectés au réseau de l'entreprise

L'authentification unique transparente peut également être déployée pour la synchronisation de hachage du mot de passe ou l'authentification directe afin de créer une expérience d'authentification transparente pour les utilisateurs dans Microsoft Entra ID.

Pour connaître les prérequis pour une authentification unique transparente, consultez Démarrage rapide : authentification unique transparente Microsoft Entra.

Pour ce didacticiel, vous allez configurer la synchronisation de hachage du mot de passe et l'authentification unique transparente.

Configurer Microsoft Entra Connect pour la Synchronisation de hachage du mot de passe et l'Authentification unique transparente

  1. Sur le serveur Microsoft Entra Connect, ouvrez l'application Microsoft Entra Connect.
  2. Sélectionnez Configurer.
  3. Sélectionnez Modifier la connexion utilisateur.
  4. Sélectionnez Suivant.
  5. Entrez les informations d'identification de l'administrateur d'identité hybride du serveur Microsoft Entra Connect.
  6. Le serveur est configuré pour la fédération avec Okta. Changez la sélection en Synchronisation de hachage du mot de passe.
  7. Sélectionnez Activer l’authentification unique.
  8. Sélectionnez Suivant.
  9. Entrez les informations d'identification de l'administrateur de domaine pour le système local.
  10. Sélectionnez Suivant.
  11. Dans la dernière page, sélectionnez Configurer.
  12. Ignorez l'avertissement pour la jonction Microsoft Entra hybride.

Configurer les fonctionnalités de déploiement par étapes

Avant de tester la défederation d'un domaine, utilisez dans Microsoft Entra ID un déploiement progressif de l'authentification cloud pour tester la défederation des utilisateurs.

En savoir plus : Migrer vers l'authentification cloud avec un lancement intermédiaire

Après avoir activé la synchronisation des hachages de mot de passe et l'authentification unique transparente sur le serveur Microsoft Entra Connect, configurez un déploiement progressif :

  1. Connectez-vous au Centre d'administration de Microsoft Entra au minimum en tant qu'Administrateur de l'identité hybride.

  2. Accédez à Entra ID>Entra Connect>Synchronisation Connect.

  3. Confirmez que l'option Synchronisation de hachage du mot de passe est activée dans le locataire.

  4. Sélectionnez Activer le déploiement par étapes pour la connexion des utilisateurs gérés.

  5. Après la configuration du serveur, le paramètre Synchronisation de hachage de mot de passe peut être Activé.

  6. Activez le paramètre.

  7. L'authentification unique fluide est Désactivée. Si vous l’activez, une erreur apparaît car vous l’avez activée dans le locataire.

  8. Sélectionnez Gérer les groupes.

    Capture d'écran de la page Activer les fonctionnalités de déploiement progressif dans le centre d'administration Microsoft Entra. Un bouton Gérer les groupes apparaît.

  9. Ajouter un groupe au déploiement de la synchronisation des hachages de mots de passe.

  10. Patientez environ 30 minutes pour que la fonctionnalité prenne effet dans votre locataire.

  11. Lorsque la fonctionnalité prend effet, les utilisateurs ne sont pas redirigés vers Okta lorsqu'ils tentent d'accéder aux services Office 365.

Certains scénarios d’utilisation de la fonctionnalité de déploiement par étapes ne sont pas pris en charge :

  • Les protocoles d’authentification hérités tels que Post Office Protocol 3 (POP3) et SMTP (Simple Mail Transfer Protocol) ne sont pas pris en charge.
  • Si vous avez configuré la jonction hybride Microsoft Entra pour Okta, les flux de jonction hybride Microsoft Entra vont vers Okta jusqu'à ce que le domaine soit défédéré.
    • Une stratégie d'authentification demeure dans Okta pour l'authentification héritée des clients Windows avec jonction hybride Microsoft Entra.

Créer une application Okta dans Microsoft Entra ID

Les utilisateurs qui se sont convertis à l'authentification gérée peuvent encore avoir besoin d'accéder aux applications dans Okta. Pour l'accès des utilisateurs à ces applications, inscrivez une application Microsoft Entra qui renvoie à la page d'accueil Okta.

Configurez l'inscription de l'application d'entreprise pour Okta.

  1. Connectez-vous au Centre d’administration de Microsoft Entra au minimum en tant qu’Administrateur d’application cloud.

  2. Accédez à Entra ID>Applications d'entreprise>Toutes les applications.

    Capture d'écran du menu de gauche du Centre d'administration Microsoft Entra.

  3. Sélectionnez Nouvelle application.

    Capture d'écran montrant la page Toutes les applications dans le Centre d'administration Microsoft Entra. Une nouvelle application est visible.

  4. Sélectionnez Créer votre propre application.

  5. Dans le menu, nommez l'application Okta.

  6. Sélectionnez Inscrire une application sur laquelle vous travaillez afin de l'intégrer à Microsoft Entra ID.

  7. Sélectionnez Créer.

  8. Sélectionnez Comptes dans un annuaire d'organisation (tout annuaire Microsoft Entra - Multilocataire).

  9. Sélectionnez Inscription.

    Capture d'écran de l'inscription d'une application.

  10. Dans le menu Microsoft Entra ID, sélectionnez Inscriptions d'applications.

  11. Ouvrez l'inscription créée.

Capture d'écran de la page Inscriptions d'applications dans le centre d'administration Microsoft Entra. La nouvelle inscription d'application s'affiche.

  1. Enregistrez votre ID de locataire et votre ID d'application.

Note

Vous aurez besoin de l'ID de locataire et de l'ID d'application pour configurer le fournisseur d'identité dans Okta.

Capture d'écran de la page Okta Application Access dans le Centre d'administration Microsoft Entra. L'ID de locataire et l'ID d'application s'affichent.

  1. Dans le menu de gauche, sélectionnez Certificats et secrets.
  2. Sélectionnez Nouvelle clé secrète client.
  3. Entrez le nom du secret.
  4. Entrez sa date d'expiration.
  5. Enregistrez la valeur et l'ID du secret.

Note

La valeur et l'identifiant n'apparaissent pas par la suite. Si vous n'enregistrez pas les informations, vous devez régénérer un secret.

  1. Dans le menu gauche, sélectionnez Autorisations d’API.

  2. Accordez à l’application l’accès à la pile OpenID Connect (OIDC).

  3. Sélectionnez Ajouter une autorisation.

  4. Sélectionnez Microsoft Graph.

  5. Sélectionnez Autorisations déléguées.

  6. Dans la section Autorisations OpenID, ajoutez adresse e-mail, openid et profil.

  7. Sélectionnez Ajouter des autorisations.

  8. Sélectionnez Accorder le consentement administrateur pour <le nom du domaine du locataire>.

  9. Attendez que l’état Autorisé apparaisse.

    Capture d'écran de la page d'autorisation de l'API avec un message d'autorisation.

  10. Dans le menu de gauche, sélectionnez Personnalisation.

  11. Pour URL de la page d'accueil, ajoutez la page d'accueil de l'application de votre utilisateur.

  12. Dans le portail d'administration d'Okta, sélectionnez Sécurité, puis Fournisseurs d'identité pour ajouter un nouveau fournisseur d'identité.

  13. Sélectionnez Ajouter Microsoft.

    Capture d'écran du portail d'administration Okta. Ajouter Microsoft apparaît dans la liste Ajouter un fournisseur d'identité.

  14. Sur la page Fournisseur d'identité, entrez l'ID de l'application dans le champ ID client.

  15. Entrez la clé secrète client dans le champ Clé secrète client.

  16. Sélectionnez Afficher les paramètres avancées. Par défaut, cette configuration liera le nom d'utilisateur principal (UPN) dans Okta à l'UPN dans Microsoft Entra ID pour l'accès à la fédération inverse.

    Importante

    Si vos UPN dans Okta et Microsoft Entra ID ne correspondent pas, sélectionnez un attribut commun aux utilisateurs.

  17. Effectuez les sélections de provisionnement automatique.

  18. Par défaut, si aucune correspondance ne s'affiche pour un utilisateur Okta, le système tente de provisionner l'utilisateur dans Microsoft Entra ID. Si vous avez migré l'approvisionnement en dehors d'Okta, sélectionnez Rediriger vers la page de connexion d'Okta.

    Capture d'écran de la page Paramètres généraux dans le portail d'administration Okta. L'option permettant de rediriger vers la page de connexion Okta s'affiche.

Vous avez créé le fournisseur d'identité (IDP). Envoyez les utilisateurs vers le bon IDP.

  1. Dans le menu Fournisseurs d'identité, sélectionnez Règles d'acheminement, puis Ajouter une règle d'acheminement.

  2. Utilisez l’un des attributs disponibles dans le profil Okta.

  3. Pour diriger les connexions de tous les appareils et adresses IP vers Microsoft Entra ID, configurez la stratégie comme l'illustre l'image suivante. Dans cet exemple, l'attribut Division est inutilisé dans tous les profils Okta. C'est un bon choix pour le routage IDP.

  4. Enregistrez l'URI de redirection pour l'ajouter à l'inscription d'application.

    Capture d'écran de l'emplacement de l'URI de redirection.

  5. Dans l'inscription de votre application, dans le menu de gauche, sélectionnez Authentification.

  6. Sélectionnez Ajouter une plateforme.

  7. Sélectionnez Web.

  8. Ajoutez l'URI de redirection que vous avez enregistré pour l'IdP dans Okta.

  9. Sélectionnez Jetons d’accès et Jetons d’ID.

  10. Dans la console d'administration, sélectionnez Répertoire.

  11. Sélectionnez Personnes.

  12. Pour modifier le profil, sélectionnez un utilisateur de test.

  13. Dans le profil, ajoutez ToAzureAD. Regardez l’image suivante.

  14. Sélectionnez Enregistrer.

    Capture d'écran du portail d'administration Okta. Les paramètres de profil apparaissent et la zone Division contient ToAzureAD.

  15. Connectez-vous au portail Microsoft 356 en tant qu'utilisateur modifié. Si votre utilisateur ne fait pas partie du pilote d'authentification géré, votre action entre dans une boucle. Pour sortir de la boucle, ajoutez l’utilisateur à l’expérience d’authentification gérée.

Tester l’accès à l’application Okta sur les membres du pilote

Après avoir configuré l'application Okta dans Microsoft Entra ID et l'IdP dans le portail Okta, affectez l'application aux utilisateurs.

  1. Dans le Centre d’administration Microsoft Entra, accédez aux applications Entra ID>Enterprise.

  2. Sélectionnez l'inscription d'application que vous avez créée.

  3. Accédez à Utilisateurs et Groupes.

  4. Ajoutez le groupe qui est en corrélation avec le pilote d’authentification gérée.

    Note

    Vous pouvez ajouter des utilisateurs et des groupes à partir de la page Applications d'entreprise. Vous ne pouvez pas ajouter d’utilisateurs à partir du menu Inscriptions d’applications.

    Capture d'écran de la page Utilisateurs et groupes du Centre d'administration Microsoft Entra. Un groupe appelé Groupe intermédiaire d'authentification managée est visible.

  5. Attendez environ 15 minutes.

  6. Connectez-vous en tant qu'utilisateur pilote d'authentification managée.

  7. Accédez à Mes applications.

    Capture d'écran montrant la galerie Mes applications. Une icône pour l'accès à l'application Okta apparaît.

  8. Pour revenir à la page d'accueil d'Okta, sélectionnez la vignette Accès à l'application Okta.

Tester l’authentification gérée sur des membres pilotes

Après avoir configuré l'application de fédération inverse Okta, demandez aux utilisateurs d'effectuer des tests sur l'expérience d'authentification gérée. Nous vous recommandons de configurer la personnalisation de l'entreprise pour aider les utilisateurs à reconnaître le locataire.

En savoir plus : Configurer l'image de marque de votre entreprise.

Importante

Avant de défédéder les domaines d'Okta, identifiez les stratégies d'accès conditionnel nécessaires. Vous pouvez sécuriser votre environnement avant l'arrêt. Consultez Didacticiel : Migrer des stratégies de connexion Okta vers l'accès conditionnel Microsoft Entra.

Défédéraliser les domaines Office 365

Lorsque votre organisation est à l’aise avec l’expérience d’authentification gérée, vous pouvez défédéraliser votre domaine d’Okta. Pour commencer, utilisez les commandes suivantes pour vous connecter à Microsoft Graph PowerShell. Si vous n'avez pas le module Microsoft Graph PowerShell, téléchargez-le en entrant Install-Module Microsoft.Graph.

  1. Dans PowerShell, connectez-vous à Microsoft Entra ID à l'aide d'un compte d'administrateur d'identité hybride.

     Connect-MgGraph -Scopes "Domain.ReadWrite.All", "Directory.AccessAsUser.All"
    
  2. Pour convertir le domaine, exécutez la commande suivante :

     Update-MgDomain -DomainId yourdomain.com -AuthenticationType "Managed"
    
  3. Vérifiez que le domaine est converti en domaine managé en exécutant la commande suivante. Le type d'authentification doit être défini sur géré.

    Get-MgDomain -DomainId yourdomain.com
    

Après avoir configuré le domaine en authentification gérée, vous défédéralisez votre locataire Office 365 d'Okta tout en maintenant l'accès des utilisateurs à la page d'accueil d'Okta.

Étapes suivantes