Bagikan melalui

Memigrasikan federasi Okta ke autentikasi Microsoft Entra

Dalam tutorial ini, pelajari cara menggabungkan penyewa Office 365 dengan Okta untuk akses menyeluruh (SSO).

Anda dapat memigrasikan federasi ke MICROSOFT Entra ID secara bertahap untuk memastikan pengalaman autentikasi yang baik bagi pengguna. Dalam migrasi bertahap, Anda dapat menguji akses federasi terbalik ke aplikasi SSO Okta yang tersisa.

Catatan

Skenario yang dijelaskan dalam tutorial ini hanyalah salah satu cara yang mungkin untuk menerapkan migrasi. Anda harus mencoba menyesuaikan informasi dengan penyiapan spesifik Anda.

Prasyarat

  • Penyewa Office 365 digabungkan ke Okta untuk SSO
  • Server Microsoft Entra Connect atau agen provisi cloud Microsoft Entra Connect yang dikonfigurasi untuk provisi pengguna ke ID Microsoft Entra
  • Salah satu peran berikut: Administrator Aplikasi, Administrator Aplikasi Cloud, atau Administrator Identitas Hibrid.

Mengonfigurasi Microsoft Entra Connect untuk autentikasi

Pelanggan yang menggabungkan domain Office 365 mereka dengan Okta mungkin tidak memiliki metode autentikasi yang valid di ID Microsoft Entra. Sebelum Anda bermigrasi ke autentikasi terkelola, validasi Microsoft Entra Connect dan konfigurasikan untuk masuk pengguna.

Siapkan metode masuk:

  • Sinkronisasi hash kata sandi - ekstensi fitur sinkronisasi direktori yang diterapkan oleh server Microsoft Entra Connect atau agen penyediaan cloud
  • Autentikasi pass-through - masuk ke aplikasi lokal dan cloud dengan kata sandi yang sama
  • SSO Tanpa Hambatan - login pengguna di desktop perusahaan yang terhubung ke jaringan perusahaan

Untuk membuat pengalaman pengguna autentikasi yang mulus di MICROSOFT Entra ID, sebarkan SSO tanpa hambatan ke sinkronisasi hash kata sandi atau autentikasi pass-through.

Untuk prasyarat seamless SSO, lihat Mulai Cepat: Microsoft Entra seamless single sign-on.

Untuk tutorial ini, Anda mengonfigurasi sinkronisasi hash kata sandi dan SSO tanpa hambatan.

Mengonfigurasi Microsoft Entra Connect untuk sinkronisasi hash kata sandi dan SSO tanpa hambatan

  1. Di server Microsoft Entra Connect, buka aplikasi Microsoft Entra Connect .
  2. Pilih Konfigurasikan.
  3. Pilih Ubah rincian masuk pengguna.
  4. Pilih Berikutnya.
  5. Masukkan kredensial Administrator Identitas Hibrid server Microsoft Entra Connect.
  6. Server dikonfigurasi untuk federasi dengan Okta. Ubah pilihan ke Sinkronisasi Hash Kata Sandi.
  7. Pilih Aktifkan satu kali masuk.
  8. Pilih Berikutnya.
  9. Untuk sistem lokal lokal, masukkan kredensial administrator domain.
  10. Pilih Berikutnya.
  11. Pada halaman akhir, pilih Konfigurasikan.
  12. Abaikan peringatan untuk gabungan hibrid Microsoft Entra.

Mengonfigurasi fitur peluncuran bertahap

Sebelum Anda menguji penundaan domain, di ID Microsoft Entra, gunakan peluncuran bertahap autentikasi cloud untuk menguji defederasi pengguna.

Pelajari lebih lanjut: Migrasi ke autentikasi cloud menggunakan Peluncuran Bertahap

Setelah Anda mengaktifkan sinkronisasi hash kata sandi dan SSO tanpa hambatan di server Microsoft Entra Connect, konfigurasikan peluncuran bertahap:

  1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Identitas Hibrid.

  2. Telusuri ke Entra ID>Entra Connect>Connect Sync.

  3. Konfirmasikan Password Hash Sync diaktifkan di penyewa.

  4. Pilih Aktifkan peluncuran bertahap untuk masuk pengguna terkelola.

  5. Setelah konfigurasi server, pengaturan Sinkronisasi Hash Kata Sandi dapat berubah menjadi Aktif.

  6. Aktifkan pengaturan.

  7. Akses menyeluruh tanpa hambatannonaktif. Jika Anda mengaktifkannya, kesalahan muncul karena Anda mengaktifkannya di penyewa.

  8. Pilih Kelola grup.

    Cuplikan layar halaman Aktifkan fitur peluncuran bertahap di pusat admin Microsoft Entra. Tombol Kelola grup muncul.

  9. Tambahkan grup ke peluncuran sinkronisasi hash kata sandi.

  10. Tunggu sekitar 30 menit hingga fitur diterapkan di penyewa Anda.

  11. Saat fitur berlaku, pengguna tidak dialihkan ke Okta saat mencoba mengakses layanan Office 365.

Fitur peluncuran bertahap memiliki beberapa skenario yang tidak didukung:

  • Protokol autentikasi warisan seperti Post Office Protocol 3 (POP3) dan Simple Mail Transfer Protocol (SMTP) tidak didukung.
  • Jika Anda mengonfigurasi gabungan hibrid Microsoft Entra untuk Okta, alur gabungan hibrid Microsoft Entra masuk ke Okta hingga domain ditangguhkan.
    • Kebijakan masuk tetap berada di Okta untuk autentikasi warisan klien Windows gabungan hibrid Microsoft Entra.

Membuat aplikasi Okta di ID Microsoft Entra

Pengguna yang dikonversi ke autentikasi terkelola mungkin memerlukan akses ke aplikasi di Okta. Untuk akses pengguna ke aplikasi tersebut, daftarkan aplikasi Microsoft Entra yang ditautkan ke halaman beranda Okta.

Konfigurasikan pendaftaran aplikasi perusahaan untuk Okta.

  1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Aplikasi Cloud.

  2. Telusuri aplikasi Entra ID>Enterprise>Semua aplikasi.

    Cuplikan layar menu sebelah kiri pusat admin Microsoft Entra.

  3. Pilih Aplikasi baru.

    Cuplikan layar yang memperlihatkan halaman Semua aplikasi di pusat admin Microsoft Entra. Aplikasi baru terlihat.

  4. Pilih Buat aplikasi Anda sendiri.

  5. Pada menu, beri nama aplikasi Okta.

  6. Pilih Daftarkan aplikasi yang sedang Anda kerjakan untuk diintegrasikan dengan ID Microsoft Entra.

  7. Pilih Buat.

  8. Pilih Akun di direktori organisasi apa pun (Microsoft Entra Directory - Multitenant).

  9. Pilih Daftar.

    Cuplikan layar Daftarkan aplikasi.

  10. Pada menu ID Microsoft Entra, pilih Pendaftaran aplikasi.

  11. Buka pendaftaran yang dibuat.

Cuplikan layar halaman Pendaftaran aplikasi di pusat admin Microsoft Entra. Pendaftaran aplikasi baru muncul.

  1. Rekam ID Penyewa dan ID Aplikasi.

Catatan

Anda memerlukan ID Penyewa dan ID Aplikasi untuk mengonfigurasi IdP di Okta.

Cuplikan layar halaman Akses Aplikasi Okta di pusat admin Microsoft Entra. ID Penyewa dan ID Aplikasi muncul.

  1. Di menu sebelah kiri, pilih Sertifikat & rahasia.
  2. Pilih Rahasia klien baru.
  3. Masukkan nama rahasia.
  4. Masukkan tanggal kedaluwarsanya.
  5. Catat nilai rahasia dan ID.

Catatan

Nilai dan ID tidak muncul nanti. Jika Anda tidak merekam informasi, Anda harus meregenerasi rahasia.

  1. Di menu sebelah kiri, pilih Izin API.

  2. Berikan akses aplikasi ke tumpukan OpenID Connect (OIDC).

  3. Pilih Tambahkan izin.

  4. Pilih Microsoft Graph

  5. Pilih Izin yang didelegasikan.

  6. Di bagian Izin OpenID, tambahkan email, openid, dan profil.

  7. Pilih Tambahkan izin.

  8. Pilih Berikan persetujuan admin untuk <nama> domain penyewa.

  9. Tunggu hingga status Diberikan muncul.

    Cuplikan layar halaman izin API dengan pesan untuk persetujuan yang diberikan.

  10. Di menu sebelah kiri, pilih Branding.

  11. Untuk URL Halaman beranda, tambahkan beranda aplikasi pengguna Anda.

  12. Di portal administrasi Okta, untuk menambahkan IdP baru, pilih Keamanan lalu Penyedia Identitas.

  13. Pilih Tambahkan Microsoft.

    Cuplikan layar portal administrasi Okta. Tambahkan Microsoft muncul di daftar Tambahkan Penyedia Identitas.

  14. Pada halaman Penyedia Identitas , masukkan ID Aplikasi di bidang ID Klien .

  15. Masukkan rahasia klien di bidang Rahasia Klien .

  16. Pilih Perlihatkan Pengaturan Tingkat Lanjut. Secara default, konfigurasi ini mengikat nama prinsipal pengguna (UPN) di Okta ke UPN di ID Microsoft Entra untuk akses federasi terbalik.

    Penting

    Jika UPN di Okta dan ID Microsoft Entra tidak cocok, pilih atribut yang umum di antara pengguna.

  17. Selesaikan pilihan provisi otomatis.

  18. Secara default, jika tidak ada kecocokan yang muncul untuk pengguna Okta, sistem mencoba menyediakan pengguna di ID Microsoft Entra. Jika Anda memigrasikan provisioning dari Okta, pilih Alihkan ke halaman masuk Okta.

    Cuplikan layar halaman Pengaturan Umum di portal admin Okta. Opsi untuk mengalihkan ke halaman masuk Okta muncul.

Anda membuat Penyedia Identitas (IDP). Kirim pengguna ke IDP yang benar.

  1. Pada menu Penyedia Identitas , pilih Aturan Perutean lalu Tambahkan Aturan Perutean.

  2. Gunakan salah satu atribut yang tersedia di profil Okta.

  3. Untuk mengarahkan masuk dari perangkat dan IP ke ID Microsoft Entra, siapkan kebijakan yang terlihat dalam gambar berikut. Dalam contoh ini, atribut Division tidak digunakan di semua profil Okta. Ini adalah pilihan yang baik untuk perutean IDP.

  4. Rekam URI pengalihan untuk menambahkannya ke pendaftaran aplikasi.

    Cuplikan layar lokasi URI pengalihan.

  5. Pada pendaftaran aplikasi, di menu sebelah kiri, pilih Autentikasi.

  6. Pilih Tambahkan platform

  7. Pilih Web.

  8. Tambahkan URI pengalihan yang Anda rekam di IDP di Okta.

  9. Pilih Token akses dan token ID.

  10. Di konsol admin, pilih Direktori.

  11. Pilih Orang.

  12. Untuk mengedit profil, pilih pengguna uji.

  13. Di profil, tambahkan ToAzureAD. Lihat gambar berikut.

  14. Pilih Simpan.

    Cuplikan layar portal admin Okta. Pengaturan profil muncul, dan kotak Divisi memiliki ToAzureAD.

  15. Masuk ke portal Microsoft 356 sebagai pengguna yang dimodifikasi. Jika pengguna Anda tidak berada dalam pilot autentikasi terkelola, tindakan Anda akan memasukkan perulangan. Untuk keluar dari perulangan, tambahkan pengguna ke pengalaman autentikasi terkelola.

Menguji akses aplikasi Okta pada anggota pilot

Setelah Anda mengonfigurasi aplikasi Okta di ID Microsoft Entra dan mengonfigurasi IDP di portal Okta, tetapkan aplikasi kepada pengguna.

  1. Di pusat admin Microsoft Entra, telusuri ke aplikasi Entra ID>Enterprise.

  2. Pilih pendaftaran aplikasi yang Anda buat.

  3. Pergi ke Pengguna dan grup.

  4. Tambahkan grup yang sesuai dengan pilot autentikasi terkelola.

    Catatan

    Anda dapat menambahkan pengguna dan grup dari halaman Aplikasi perusahaan . Anda tidak dapat menambahkan pengguna dari menu Pendaftaran aplikasi .

    Cuplikan layar halaman Pengguna dan grup pusat admin Microsoft Entra. Grup yang disebut Grup Penahapan Autentikasi Terkelola muncul.

  5. Tunggu sekitar 15 menit.

  6. Masuk sebagai pengguna pilot autentikasi terkelola.

  7. Buka Aplikasi Saya.

    Cuplikan layar galeri Aplikasi Saya. Ikon untuk Akses Aplikasi Okta muncul.

  8. Untuk kembali ke beranda Okta, pilih ubin Akses Aplikasi Okta.

Autentikasi yang dikelola pengujian pada anggota pilot

Setelah Anda mengonfigurasi aplikasi federasi terbalik Okta, minta pengguna untuk melakukan pengujian pada pengalaman autentikasi terkelola. Kami sarankan Anda mengonfigurasi branding perusahaan untuk membantu pengguna mengenali penyewa.

Pelajari lebih lanjut: Mengonfigurasi branding perusahaan Anda.

Penting

Sebelum Anda menunaikan domain dari Okta, identifikasi kebijakan Akses Bersyar yang diperlukan. Anda dapat mengamankan lingkungan Anda sebelum dipotong. Lihat, Tutorial: Memigrasikan kebijakan masuk Okta ke Akses Bersyarat Microsoft Entra.

Memisahkan domain Office 365

Setelah organisasi Anda merasa nyaman dengan pengalaman autentikasi terkelola, Anda dapat memisahkan domain dari Okta. Untuk memulai, gunakan perintah berikut untuk menyambungkan ke Microsoft Graph PowerShell. Jika Anda tidak memiliki modul Microsoft Graph PowerShell, unduh dengan memasukkan Install-Module Microsoft.Graph.

  1. Di PowerShell, masuk ke ID Microsoft Entra dengan menggunakan akun Administrator Identitas Hibrid.

     Connect-MgGraph -Scopes "Domain.ReadWrite.All", "Directory.AccessAsUser.All"

  2. Untuk mengonversi domain, jalankan perintah berikut:

     Update-MgDomain -DomainId yourdomain.com -AuthenticationType "Managed"

  3. Verifikasi bahwa domain dikonversi ke dikelola dengan menjalankan perintah berikut. Jenis Autentikasi harus diatur ke dikelola.

    Get-MgDomain -DomainId yourdomain.com

Setelah Anda mengatur domain ke autentikasi yang dikelola, Anda memisahkan instansi Office 365 dari Okta sambil mempertahankan akses pengguna ke beranda Okta.

Langkah berikutnya