Tutoriel : Migrer la fédération Okta vers l’authentification managée Microsoft Entra ID

Ce tutoriel explique comment fédérer les locataires Office 365 avec Okta pour l’authentification unique (SSO).

Vous pouvez migrer la fédération vers Microsoft Entra ID par étapes afin de garantir une bonne expérience d’authentification pour les utilisateurs. Dans le cadre d’une migration par étapes, vous pouvez tester l’accès de la fédération inverse aux applications d’authentification unique Okta restantes.

Remarque

Le scénario décrit dans ce tutoriel n’est qu’un moyen possible d’implémenter la migration. Vous devez essayer d’adapter les informations à votre configuration spécifique.

Prérequis

• Un locataire Office 365 fédéré à Okta pour l’authentification unique
• Un serveur Microsoft Entra Connect ou des agents de provisionnement cloud Microsoft Entra Connect configurés pour le provisionnement des utilisateurs dans Microsoft Entra ID
• L’un des rôles suivants : Administrateur d’application, Administrateur d’application cloud ou Administrateur d’identité hybride.

Configurer Microsoft Entra Connect pour l’authentification

Les clients qui fédèrent leurs domaines Office 365 avec Okta peuvent ne pas avoir de méthode d'authentification valide dans Microsoft Entra ID. Avant de migrer vers l’authentification managée, validez Microsoft Entra Connect et configurez-le pour autoriser la connexion des utilisateurs.

Configurez la méthode de connexion :

• Synchronisation de hachage du mot de passe : une extension de la fonction de synchronisation d’annuaire implémentée par le serveur Microsoft Entra Connect ou des agents d’approvisionnement du cloud
  • Utilisez cette fonctionnalité pour vous connecter aux services Microsoft Entra, comme Microsoft 365
  • Connectez-vous au service avec le mot de passe pour vous connecter à votre instance Active Directory locale
  • Consultez Qu’est-ce que la synchronisation de hachage du mot de passe avec Microsoft Entra ID ?
• Authentification directe : connexion à des applications locales et cloud avec les mêmes mots de passe.
  • Quand les utilisateurs se connectent avec Microsoft Entra ID, l’agent d’authentification directe valide les mots de passe sur l’annuaire AD local
  • Consultez Connexion utilisateur avec l’authentification directe Microsoft Entra
• Authentification unique transparente : connecte les utilisateurs sur les ordinateurs de bureau de l'entreprise connectés au réseau de l'entreprise.
  • Les utilisateurs ont accès aux applications cloud sans autres composants locaux
  • Consultez SSO fluide Microsoft Entra

Pour créer une expérience d'authentification fluide dans Microsoft Entra ID, déployez l’authentification SSO fluide sur la synchronisation de hachage du mot de passe ou l'authentification directe.

Pour connaître les prérequis de l’authentification unique fluide, consultez Démarrage rapide : Authentification unique fluide Microsoft Entra.

Dans ce tutorial, vous configurez la synchronisation de hachage du mot de passe et l’authentification unique transparente.

Configurer Microsoft Entra Connect pour la synchronisation de hachage du mot de passe et SSO fluide

1. Sur le serveur Microsoft Entra Connect, ouvrez l’application Microsoft Entra Connect.
2. Sélectionnez Configurer.
3. Sélectionnez Modifier la connexion utilisateur.
4. Cliquez sur Suivant.
5. Entrez les informations d’identification de l’administrateur d’identité hybride du serveur Microsoft Entra Connect.
6. Le serveur est configuré pour la fédération avec Okta. Changez la sélection en Synchronisation de hachage du mot de passe.
7. Sélectionnez Activer l’authentification unique.
8. Sélectionnez Suivant.
9. Pour le système local, entrez les informations d’identification de l’administrateur de domaine.
10. Cliquez sur Suivant.
11. Dans la dernière page, sélectionnez Configurer.
12. Ignorez l’avertissement pour la jonction hybride Microsoft Entra.

Configurer les fonctionnalités de déploiement par étapes

Conseil

Les étapes décrites dans cet article peuvent varier légèrement en fonction du portail de départ.

Avant de tester la défédération d’un domaine, dans Microsoft Entra ID, utilisez un déploiement par étapes de l’authentification cloud pour tester la défédération des utilisateurs.

En savoir plus : Migrer vers l’authentification cloud avec le déploiement par étapes

Après avoir activé la synchronisation de hachage du mot de passe et SSO fluide sur le serveur Microsoft Entra Connect, configurez un déploiement par étapes :

1. Connectez-vous au Centre d'administration Microsoft Entra au moins en tant qu'administrateur de sécurité.

2. Accédez à Identité>Gestion hybride>Microsoft Entra Connect>Synchronisation Connect.

3. Confirmez que l’option Synchronisation de hachage du mot de passe est activée dans le locataire.

4. Sélectionnez Activer le déploiement par étapes pour la connexion des utilisateurs gérés.

5. Après la configuration du serveur, le paramètre de synchronisation de hachage de mot de passe peut être Activé.

6. Activer le paramètre.

7. L’authentification unique transparente est désactivée. Si vous l'activez, une erreur apparaît car elle est activée dans le locataire.

8. Sélectionnez Gérer les groupes.

   

9. Ajoutez un groupe au déploiement de la synchronisation de hachage du mot de passe.

10. Patientez environ 30 minutes pour que la fonctionnalité prenne effet dans votre client.

11. Lorsque la fonctionnalité prend effet, les utilisateurs ne sont pas redirigés vers Okta lorsqu'ils tentent d'accéder aux services Office 365.

Certains scénarios d’utilisation de la fonctionnalité de déploiement par étapes ne sont pas pris en charge :

• Les protocoles d’authentification hérités comme POP3 et SMTP ne sont pas pris en charge.
• Si vous avez configuré la jonction hybride Microsoft Entra pour Okta, les flux de jonction hybride Microsoft Entra vont vers Okta jusqu’à ce que le domaine soit défédéré.
  • Une stratégie d’authentification demeure dans Okta pour l’authentification héritée des clients Windows avec jonction hybride Microsoft Entra.

Créer une application Okta dans Microsoft Entra ID

Les utilisateurs qui sont passés à l'authentification gérée peuvent avoir besoin d'accéder à des applications dans Okta. Pour l’accès des utilisateurs à ces applications, inscrivez une application Microsoft Entra qui renvoie à la page d’accueil Okta.

Configurez l'inscription de l’application d'entreprise pour Okta.

1. Connectez-vous au Centre d’administration de Microsoft Entra au minimum en tant qu’Administrateur d’application cloud.

2. Accédez à Identité>Applications>Applications d’entreprise>Toutes les applications.

   

3. Sélectionnez Nouvelle application.

   

4. Sélectionnez Créer votre propre application.

5. Dans le menu, nommez l’application Okta.

6. Sélectionnez Inscrire une application sur laquelle vous travaillez pour l’intégrer à Microsoft Entra ID.

7. Cliquez sur Créer.

8. Sélectionnez Comptes dans un annuaire organisationnel (Tout annuaire Microsoft Entra – Multilocataire).

9. Sélectionnez Inscrire.

   

10. Dans le menu Microsoft Entra ID, sélectionnez Inscriptions d'applications.

11. Ouvrez l’inscription créée.

12. Enregistrez l'identifiant du locataire et l'identifiant de la demande.

Notes

Vous avez besoin de l'identifiant du locataire et de l'identifiant de l'application pour configurer le fournisseur d'identité dans Okta.

13. Dans le menu de gauche, sélectionnez Certificats et secrets.
14. Sélectionnez Nouveau secret client.
15. Entrez un nom de secret.
16. Entrez sa date d’expiration.
17. Enregistrez la valeur secrète et l’identifiant.

Notes

La valeur et l’identifiant n’apparaissent pas par la suite. Si vous n’enregistrez pas les informations, vous devez régénérer un secret.

18. Dans le menu gauche, sélectionnez Autorisations d’API.

19. Accordez à l’application l’accès à la pile OpenID Connect (OIDC).

20. Sélectionnez Ajouter une autorisation.

21. Sélectionnez Microsoft Graph

22. Sélectionnez Autorisations déléguées.

23. Dans la section Autorisations OpenID, ajoutez adresse e-mail, openid et profil.

24. Sélectionnez Ajouter des autorisations.

25. Sélectionnez Accorder le consentement de l'administrateur pour <le nom de domaine du locataire>.

26. Attendez que l’état Autorisé apparaisse.

    

27. Dans le menu de gauche, sélectionnez Personnalisation.

28. Pour l'URL de la page d'accueil, ajoutez la page d'accueil de votre application utilisateur.

29. Dans le portail d'administration Okta, pour ajouter un nouveau fournisseur d'identité, sélectionnez Sécurité puis Fournisseurs d'identité.

30. Sélectionnez Ajouter Microsoft.

    

31. Sur la page Fournisseur d’identité, entrez l’identifiant de votre application dans le champ identifiant du client.

32. Entrez le secret du client dans le champ Secret du client.

33. Sélectionnez Afficher les paramètres avancées. Par défaut, cette configuration relie le nom d’utilisateur principal (UPN) dans Okta à l’UPN dans Microsoft Entra ID pour l’accès à la fédération inverse.

    Important

    Si les UPN dans Okta et Microsoft Entra ID ne correspondent pas, sélectionnez un attribut commun aux utilisateurs.

34. Effectuez les sélections de provisionnement automatique.

35. Par défaut, s’il n’y a aucune correspondance pour un utilisateur Okta, le système tente de provisionner l’utilisateur dans Microsoft Entra ID. Si vous avez migré l’approvisionnement en dehors d’Okta, sélectionnez Rediriger vers la page de connexion d’Okta.

    

Vous avez créé le fournisseur d’identité (IDP). Envoyer les utilisateurs vers le bon IDP.

1. Dans le menu Fournisseurs d'identité, sélectionnez Règles d’acheminement puis Ajouter une règle d’acheminement.

2. Utilisez l’un des attributs disponibles dans le profil Okta.

3. Pour diriger les connexions à partir d’appareils et d’IP vers Microsoft Entra ID, configurez la stratégie décrite dans l’image suivante. Dans cet exemple, l'attribut Division est inutilisé dans tous les profils Okta. C'est un bon choix pour le routage IDP.

4. Enregistrez l’URI de redirection pour l’ajouter à l’inscription de l’application.

   

5. Dans l’inscription de l’application, dans le menu de gauche, sélectionnez Authentification.

6. Sélectionnez Ajouter une plateforme

7. Sélectionnez Web.

8. Ajoutez l'URI de redirection que vous avez enregistré dans l'IDP dans Okta.

9. Sélectionnez Jetons d’accès et Jetons d’ID.

10. Dans la console d’administration, sélectionnez Répertoire.

11. Sélectionnez des Personnes.

12. Sélectionnez un utilisateur test pour modifier le profil.

13. Dans le profil, ajoutez ToAzureAD. Regardez l’image suivante.

14. Sélectionnez Enregistrer.

    

15. Connectez-vous au portail Microsoft 356 en tant qu’utilisateur modifié. Si votre utilisateur n'est pas dans le pilote d'authentification géré, votre action entre dans une boucle. Pour sortir de la boucle, ajoutez l’utilisateur à l’expérience d’authentification gérée.

Tester l’accès à l’application Okta sur les membres du pilote

Après avoir configuré l’application Okta dans Microsoft Entra ID et configuré l’IDP dans le portail Okta, attribuez l’application aux utilisateurs.

1. Dans le centre d’administration Microsoft Entra, accédez à Identité>Applications>Applications d’entreprise.

2. Sélectionnez l’inscription d’application que vous avez créée.

3. Accédez à Utilisateurs et Groupes.

4. Ajoutez le groupe qui est en corrélation avec le pilote d’authentification gérée.

   Notes

   Vous pouvez ajouter des utilisateurs et des groupes à partir de la page Applications d’entreprise. Vous ne pouvez pas ajouter d’utilisateurs à partir du menu Inscriptions d’applications.

   

5. Attendez environ 15 minutes.

6. Connectez-vous en tant qu’utilisateur pilote d’authentification managée.

7. Accédez à Mes applications.

   

8. Pour revenir à la page d'accueil d'Okta, sélectionnez la vignette Okta Accès à l’application Okta.

Tester l’authentification gérée sur des membres pilotes

Après avoir configuré l'application de fédération inverse Okta, demandez aux utilisateurs de tester l'expérience d'authentification gérée. Nous vous recommandons de configurer la personnalisation de l’entreprise pour aider les utilisateurs à reconnaître le locataire.

En savoir plus : Configurer l’image de marque de votre entreprise.

Important

Avant de défédéder les domaines d’Okta, identifiez les stratégies d’accès conditionnel nécessaires. Vous pouvez sécuriser votre environnement avant l’arrêt. Consultez Tutoriel : Migrer les stratégies d’authentification Okta vers l’accès conditionnel Microsoft Entra.

Défédéraliser les domaines Office 365

Lorsque votre organisation est à l’aise avec l’expérience d’authentification gérée, vous pouvez défédéraliser votre domaine d’Okta. Pour commencer, utilisez les commandes suivantes pour vous connecter à Microsoft Graph PowerShell. Si vous ne disposez pas du module Microsoft Graph PowerShell, téléchargez-le en entrant Install-Module Microsoft.Graph.

1. Dans PowerShell, connectez-vous à Microsoft Entra ID à l’aide d’un compte d’administrateur d’identité hybride.

    Connect-MgGraph -Scopes "Domain.ReadWrite.All", "Directory.AccessAsUser.All"
   

2. Pour convertir le domaine, exécutez la commande suivante :

    Update-MgDomain -DomainId yourdomain.com -AuthenticationType "Managed"
   

3. Vérifiez que le domaine a été converti en domaine géré en exécutant la commande ci-dessous. Le type d’authentification doit être défini sur géré.

   Get-MgDomain -DomainId yourdomain.com
   

Après avoir configuré le domaine en authentification gérée, vous avez défédéralisé votre locataire Office 365 d’Okta tout en maintenant l’accès des utilisateurs à la page d’accueil d’Okta.

Étapes suivantes

• Tutoriel : Migrer le provisionnement de synchronisation Okta vers la synchronisation basée sur Microsoft Entra Connect
• Tutoriel : Migrer les stratégies d’authentification Okta vers l’accès conditionnel Microsoft Entra
• Tutoriel : Migrer vos applications d’Okta vers Microsoft Entra ID