자습서: OKTA에서 Azure Active Directory로 애플리케이션 마이그레이션

이 자습서에서는 애플리케이션을 OKTA에서 Azure AD(Azure Active Directory)로 마이그레이션하는 방법을 알아봅니다.

현재 OKTA 애플리케이션의 인벤토리 만들기

마이그레이션을 시작하기 전에 현재 환경 및 애플리케이션 설정을 문서화해야 합니다. OKTA API를 사용하여 중앙 위치에서 이 정보를 수집할 수 있습니다. API를 사용하려면 Postman과 같은 API 탐색기 도구가 필요합니다.

애플리케이션 인벤토리를 만들려면 다음 단계를 따릅니다.

  1. Postman 앱을 설치합니다. 그런 다음, OKTA 관리 콘솔에서 API 토큰을 생성합니다.

  2. API 대시보드의 보안 아래에서 토큰>토큰 만들기를 선택합니다.

    Screenshot that shows the button for creating a token.

  3. 토큰 이름을 삽입한 다음, 토큰 만들기를 선택합니다.

    Screenshot that shows where to name the token.

  4. 토큰 값을 기록하고 저장합니다. 네, 이해했습니다. 를 선택한 후에는 액세스할 수 없습니다.

    Screenshot that shows the Token Value box.

  5. Postman 앱의 작업 영역에서 가져오기를 선택합니다.

    Screenshot that shows the Import A P I.

  6. 가져오기 페이지에서 링크를 선택합니다. 그런 다음, 다음 링크를 삽입하여 API를 가져옵니다. https://developer.okta.com/docs/api/postman/example.oktapreview.com.environment

    Screenshot that shows the link to import.

    참고

    테넌트 값으로 링크를 수정하지 마세요.

  7. 가져오기를 선택하여 계속합니다.

    Screenshot that shows the next Import page.

  8. API를 가져온 후 환경 선택을 {yourOktaDomain} 으로 변경합니다.

    Screenshot that shows how to change the environment.

  9. 눈 모양 아이콘을 선택하여 OKTA 환경을 편집합니다. 그런 다음 편집을 선택합니다.

    Screenshot that shows how to edit the Okta environment.

  10. 초기 값현재 값 필드에서 URL 및 API 키의 값을 업데이트합니다. 환경을 반영하도록 이름을 변경합니다. 그런 다음, 값을 저장합니다.

    Screenshot that shows how to update values for the A P I.

  11. Postman에 API를 로드합니다.

  12. >목록 앱 받기>보내기를 선택합니다.

    이제 OKTA 테넌트에서 모든 애플리케이션을 인쇄할 수 있습니다. 목록은 JSON 형식입니다.

    Screenshot that shows a list of applications in the Okta tenant.

이 JSON 목록을 복사하여 CSV 형식으로 변환하는 것이 좋습니다. Konklone과 같은 공용 변환기를 사용할 수 있습니다. 또는 PowerShell의 경우 ConvertFrom-JsonConvertTo-CSV를 사용합니다.

CSV를 다운로드하여 나중에 참조할 수 있도록 OKTA 테넌트에서 애플리케이션의 레코드를 유지합니다.

SAML 애플리케이션을 Azure AD로 마이그레이션

SAML 2.0 애플리케이션을 Azure AD로 마이그레이션하려면 먼저 애플리케이션 액세스를 위해 Azure AD 테넌트에서 애플리케이션을 구성합니다. 이 예제에서는 Salesforce 인스턴스를 변환합니다. 이 자습서에 따라 애플리케이션을 구성합니다.

마이그레이션을 완료하려면 OKTA 테넌트에서 검색된 모든 애플리케이션에 대한 구성 단계를 반복합니다.

  1. Azure AD 포털에서 Azure Active Directory>Enterprise 애플리케이션>새 애플리케이션을 선택합니다.

    Screenshot that shows a list of new applications.

  2. Azure AD 갤러리에서 Salesforce를 검색하고 애플리케이션을 선택한 다음, 만들기를 선택합니다.

    Screenshot that shows the Salesforce application in Azure A D Gallery.

  3. 애플리케이션을 만든 후 SSO(Single Sign-On) 탭에서 SAML을 선택합니다.

    Screenshot that shows the SAML application.

  4. 인증서(원시)페더레이션 메타데이터 XML을 다운로드하여 Salesforce로 가져옵니다.

    Screenshot that shows where to download federation metadata.

  5. Salesforce 관리 콘솔에서 ID>Single Sign-On 설정>메타데이터 파일에서 새로 만들기를 선택합니다.

    Screenshot that shows the Salesforce admin console.

  6. Azure AD 포털에서 다운로드한 XML 파일을 업로드합니다. 그런 다음 만들기를 선택합니다.

    Screenshot that shows where to upload the XML file.

  7. Azure에서 다운로드한 인증서를 업로드합니다. 그런 다음, 저장을 선택하여 Salesforce에서 SAML 공급자를 만듭니다.

    Screenshot that shows how to create the SAML provider in Salesforce.

  8. 다음 필드에 값을 기록합니다. Azure에서 이러한 값을 사용합니다.

    • 엔터티 ID
    • 로그인 URL
    • 로그아웃 URL

    그런 다음, 메타데이터 다운로드를 선택합니다.

    Screenshot that shows the values you should record for use in Azure.

  9. Azure AD Enterprise 애플리케이션 페이지의 SAML SSO 설정에서 메타데이터 파일 업로드를 선택하여 Azure AD 포털에 파일을 업로드합니다. 저장하기 전에 가져온 값이 기록된 값과 일치하는지 확인합니다.

    Screenshot that shows how to upload the metadata file in Azure A D.

  10. Salesforce 관리 콘솔에서 회사 설정>내 도메인을 선택합니다. 인증 구성으로 이동한 다음, 편집을 선택합니다.

    Screenshot that shows how to edit company settings.

  11. 로그인 옵션의 경우 이전에 구성한 새 SAML 공급자를 선택합니다. 그런 다음, 저장을 선택합니다.

    Screenshot that shows where to save the SAML provider option.

  12. Azure AD의 엔터프라이즈 애플리케이션 페이지에서 사용자 및 그룹을 선택합니다. 그런 다음, 테스트 사용자를 추가합니다.

    Screenshot that shows added test users.

  13. 구성을 테스트하려면 테스트 사용자 중 하나로 로그인합니다. Microsoft 앱 갤러리로 이동한 다음, Salesforce를 선택합니다.

    Screenshot that shows how to open Salesforce from the app gallery.

  14. 새로 구성된 IdP(ID 공급자)를 선택하여 로그인합니다.

    Screenshot that shows where to sign in.

    모든 것이 올바르게 구성된 경우 테스트 사용자는 Salesforce 홈페이지에 표시됩니다. 문제 해결 도움말은 디버깅 가이드를 참조하세요.

  15. Enterprise 애플리케이션 페이지에서 올바른 역할을 사용하여 나머지 사용자를 Salesforce 애플리케이션에 할당합니다.

    참고

    나머지 사용자를 Azure AD 애플리케이션에 추가한 후에는 사용자가 연결을 테스트하여 액세스 권한이 있는지 확인해야 합니다. 다음 단계로 이동하기 전에 연결을 테스트합니다.

  16. Salesforce 관리 콘솔에서 회사 설정>내 도메인을 선택합니다.

  17. 인증 구성에서 편집을 선택합니다. 인증 서비스로 OKTA에 대한 선택을 취소합니다.

    Screenshot that shows where to clear the selection for Okta as an authentication service.

Salesforce는 이제 SSO용 Azure AD로 성공적으로 구성되었습니다.

OIDC/OAuth 2.0 애플리케이션을 Azure AD로 마이그레이션

OIDC(OpenID Connect) 또는 OAuth 2.0 애플리케이션을 Azure AD로 마이그레이션하려면 먼저 Azure AD 테넌트에서 액세스하도록 애플리케이션을 구성합니다. 이 예제에서는 사용자 지정 OIDC 앱을 변환합니다.

마이그레이션을 완료하려면 OKTA 테넌트에서 검색된 모든 애플리케이션에 대한 다음 구성 단계를 반복합니다.

  1. Azure AD 포털에서 Azure Active Directory>엔터프라이즈 애플리케이션을 차례로 선택합니다. 모든 애플리케이션에서 새 애플리케이션을 선택합니다.

  2. 자신만의 애플리케이션을 선택하세요. 표시되는 메뉴에서 OIDC 앱의 이름을 지정한 다음, 작업 중인 애플리케이션을 Azure AD와 통합하려면 등록을 선택합니다. 그런 다음 만들기를 선택합니다.

    Screenshot that shows how to create an O I D C application.

  3. 다음 페이지에서 애플리케이션 등록의 테넌시를 설정합니다. 자세한 내용은 Azure Active Directory의 테넌시를 참조하세요.

    이 예제에서는 모든 조직 디렉터리의 계정(모든 Azure AD 디렉터리 - 다중 테넌트)>등록을 선택합니다.

    Screenshot that shows how to select Azure A D directory multitenant.

  4. 앱 등록 페이지의 Azure Active Directory 아래에서 새로 만든 등록을 엽니다.

    애플리케이션 시나리오에 따라 다양한 구성 작업이 필요할 수 있습니다. 대부분의 시나리오에는 앱 클라이언트 암호가 필요하므로 이러한 시나리오를 살펴보겠습니다.

  5. 개요 페이지에서 애플리케이션(클라이언트) ID를 복사합니다. 애플리케이션에서 이 ID를 사용합니다.

    Screenshot that shows the application client I D.

  6. 왼쪽에서 인증서& 비밀을 선택합니다. 그런 다음, 새 클라이언트 암호를 선택합니다. 클라이언트 암호의 이름을 지정하고 만료를 설정합니다.

    Screenshot that shows the new client secret.

  7. 비밀의 값과 ID를 기록해 둡니다.

    참고

    클라이언트 암호가 손실되면 검색할 수 없습니다. 대신 비밀을 다시 생성해야 합니다.

  8. 왼쪽에서 API 권한을 선택합니다. 그런 다음, 애플리케이션에 OIDC 스택에 대한 액세스 권한을 부여합니다.

  9. 권한 추가>Microsoft Graph>위임된 권한을 선택합니다.

  10. OpenID 권한 섹션에서 이메일, openid프로필을 선택합니다. 그런 다음 권한 추가를 선택합니다.

    Screenshot that shows where to add Open I D permissions.

  11. 사용자 환경을 개선하고 사용자 동의 프롬프트를 표시하려면 테넌트 도메인 이름에 대한 관리자 동의 허용을 선택합니다. 그런 다음, 허용 상태가 나타날 때까지 기다립니다.

    Screenshot that shows where to grant admin consent.

  12. 애플리케이션에 리디렉션 URI가 있는 경우 적절한 URI를 입력합니다. 회신 URL이 인증 탭을 대상으로 하는 경우 플랫폼 추가 뒤에 적절한 URL을 입력합니다. 액세스 토큰ID 토큰을 선택합니다. 그런 다음, 구성을 선택합니다.

    Screenshot that shows how to configure tokens.

    인증 메뉴의 고급 설정퍼블릭 클라이언트 흐름 허용 아래에서 필요한 경우 를 선택합니다.

    Screenshot that shows how to allow public client flows.

  13. OIDC 구성 애플리케이션에서 테스트하기 전에 애플리케이션 ID 및 클라이언트 암호를 가져옵니다. 이전 단계에 따라 클라이언트 ID, 비밀 및 범위와 같은 설정을 사용하여 애플리케이션을 구성합니다.

사용자 지정 권한 부여 서버를 Azure AD로 마이그레이션

OKTA 권한 부여 서버는 API를 노출하는 애플리케이션 등록에 일대일로 매핑됩니다.

기본 OKTA 권한 부여 서버는 Microsoft Graph 범위 또는 사용 권한에 매핑되어야 합니다.

Screenshot that shows the default Okta authorization.

다음 단계