Compartilhar via

Migrar aplicativos do Okta para a ID do Microsoft Entra

Neste tutorial, você aprenderá a migrar seus aplicativos do Okta para o Microsoft Entra ID.

Pré-requisitos

Para gerenciar o aplicativo no Microsoft Entra ID, você precisa:

  • Uma conta de usuário do Microsoft Entra. Se você ainda não tiver uma, poderá criar uma conta gratuitamente.
  • Uma das seguintes funções: Administrador de Aplicativo de Nuvem, Administrador de Aplicativos ou proprietário da entidade de serviço.

Criar um inventário de aplicativos Okta atuais

Antes da migração, documente as configurações atuais do ambiente e do aplicativo. Use a API do Okta para coletar essas informações. Use uma ferramenta de exploração de API, como o Postman.

Para criar um inventário de aplicativos:

  1. Com o aplicativo Postman, a partir do console de administrador do Okta, gere um token de API.

  2. No painel da API, em Segurança, selecione Tokens>Criar Token.

    Captura de tela das opções Tokens e Criar Tokens em Segurança.

  3. Insira um nome de token e selecione Criar Token.

    Captura de tela da entrada Nome em Criar Token.

  4. Registre o valor do token e salve-o. Depois que você selecionar OK, entendeu, ele não está acessível.

    Captura de tela do campo Valor do Token e a opção OK, entendi.

  5. No aplicativo Postman, no workspace, selecione Importar.

  6. Na página Importar , selecione Link. Para importar a API, insira o link a seguir:

https://developer.okta.com/docs/api/postman/example.oktapreview.com.environment

Captura de tela das opções Link e Continuar na Importação.

Observação

Não modifique o link com seus valores de locatário.

  1. Selecione Importar.

    Captura de tela da opção Importar na Importação.

  2. Depois que a API for importada, altere a seleção ambiente para {yourOktaDomain}.

  3. Para editar seu ambiente Okta, selecione o ícone olho. Em seguida, selecione Editar.

    Captura de tela do ícone de olho e da opção Editar em Visão Geral.

  4. Nos campos Valor Inicial e Valor Atual , atualize os valores da URL e da chave de API. Altere o nome para refletir seu ambiente.

  5. Salve os valores.

    Captura de tela dos campos Valor Inicial e Valor Atual em Visão Geral.

  6. Carregue a API no Postman.

  7. Selecione Aplicativos>Get List Apps>Send.

Observação

Você pode imprimir os aplicativos em seu locatário do Okta. A lista está no formato JSON.

Captura de tela da opção Enviar e da lista Aplicativos.

Recomendamos que você copie e converta essa lista JSON para um formato CSV:

Observação

Baixe o CSV para manter um registro dos aplicativos em seu locatário do Okta.

Migrar um aplicativo SAML para o Microsoft Entra ID

Para migrar um aplicativo SAML 2.0 para o Microsoft Entra ID, configure o aplicativo no locatário do Microsoft Entra para acesso ao aplicativo. Neste exemplo, convertemos uma instância do Salesforce.

  1. Entre no Centro de administração do Microsoft Entra como pelo menos um Administrador de Aplicativos na Nuvem.

  2. Navegue até Entrar ID>Aplicativos empresariais>Todos os aplicativos e selecione Novo aplicativo.

  3. Na Galeria do Microsoft Entra, pesquise Salesforce, selecione o aplicativo e, em seguida, selecione Criar.

    Captura de tela dos aplicativos na Galeria do Microsoft Entra.

  4. Depois que o aplicativo for criado, na guia SSO (logon único ), selecione SAML.

    Captura de tela da opção SAML no logon único.

  5. Baixe o Certificado (Bruto) e o XML de Metadados de Federação para importá-lo para o Salesforce.

  6. No console de administração do Salesforce, selecione Identidade>Configurações de logon único>Novo do arquivo de metadados.

    Captura de tela da opção Novo a partir do Arquivo de Metadados nas Configurações de Login Único.

  7. Carregue o arquivo XML que você baixou do centro de administração do Microsoft Entra. Em seguida, selecione Criar.

  8. Carregue o certificado que você baixou do Azure. Selecione Salvar.

  9. Registre os valores nos campos a seguir. Os valores estão no Azure.

    • ID da entidade
    • URL de logon
    • URL de logout

  10. Selecione Baixar Metadados.

  11. Para carregar o arquivo no Centro de administração do Microsoft Entra, na página de aplicativos Enterprise da ID do Microsoft Entra, nas configurações de SSO do SAML, selecione Carregar arquivo de metadados.

  12. Verifique se os valores importados correspondem aos valores gravados. Selecione Salvar.

    Captura de tela das entradas para logon baseado em SAML e Configuração Básica do SAML.

  13. No console de administração do Salesforce, selecione Configurações> da EmpresaMeu Domínio. Vá para a Configuração de Autenticação e selecione Editar.

    Captura de tela da opção Editar em Meu Domínio.

  14. Para uma opção de conexão, selecione o novo provedor SAML que você configurou. Selecione Salvar.

    Captura de tela das opções do Serviço de Autenticação em Configuração de Autenticação.

  15. Na ID do Microsoft Entra, na página Aplicativos Empresariais , selecione Usuários e grupos. Em seguida, adicione usuários de teste.

    Captura de tela de Usuários e grupos com uma lista de usuários de teste.

  16. Para testar a configuração, entre como um usuário de teste. Vá para a galeria de aplicativos da Microsoft e selecione Salesforce.

    Captura de tela da opção Salesforce em Todos os Aplicativos, em Meus Aplicativos.

  17. Para entrar, selecione o IdP (provedor de identidade) configurado.

    Captura de tela da página de entrada do Salesforce.

Observação

Se a configuração estiver correta, o usuário de teste estará na home page do Salesforce. Para obter ajuda para solucionar problemas, consulte o manual de depuração.

  1. Na página aplicativos Enterprise , atribua os usuários restantes ao aplicativo Salesforce, com as funções corretas.

Observação

Depois de adicionar os usuários restantes ao aplicativo do Microsoft Entra, os usuários podem testar a conexão para garantir que tenham acesso. Teste a conexão antes da próxima etapa.

  1. No console de administração do Salesforce, selecione Configurações> da EmpresaMeu Domínio.

  2. Em Configuração de Autenticação, selecione Editar. Para o serviço de autenticação, desmarque a seleção para Okta.

    Captura de tela das opções Salvar e Serviço de Autenticação, em Configuração de Autenticação.

Migrar um aplicativo OpenID Connect ou OAuth 2.0 para o Microsoft Entra ID

Para migrar um aplicativo OpenID Connect (OIDC) ou OAuth 2,0 para o Microsoft Entra ID, em seu locatário do Microsoft Entra, configure o aplicativo para acesso. Neste exemplo, vamos converter um aplicativo OIDC personalizado.

Para concluir a migração, repita a configuração para todos os aplicativos no locatário Okta.

  1. Entre no Centro de administração do Microsoft Entra como pelo menos um Administrador de Aplicativos na Nuvem.

  2. Navegue até Entra ID>Aplicativos empresariais>Todos os aplicativos.

  3. Selecione Novo aplicativo.

  4. Selecione Criar seu próprio aplicativo.

  5. No menu exibido, nomeie o aplicativo OIDC e selecione Registrar um aplicativo no qual você está trabalhando para se integrar à ID do Microsoft Entra.

  6. Selecione Criar.

  7. Na página seguinte, configure a locação do registro do aplicativo. Para obter mais informações, confira Locação no Microsoft Entra ID. Vá para Contas em qualquer diretório organizacional (qualquer diretório do Microsoft Entra – multilocatário)>Registrar-se.

    Captura de tela da opção Contas em qualquer diretório organizacional (Qualquer diretório do Microsoft Entra – Multilocatário).

  8. Na página Registros de Aplicativo, sob Microsoft Entra ID, abra o registro criado.

Observação

Dependendo do cenário do aplicativo, há várias ações de configuração. A maioria dos cenários exige um segredo do cliente do aplicativo.

  1. Na página Visão geral , registre a ID do aplicativo (cliente). Você usa essa ID em seu aplicativo.

  2. À esquerda, selecione Certificados &segredos. Em seguida, selecione + Novo segredo do cliente. Nomeie o segredo do cliente e defina a expiração dele.

  3. Grave o valor e a ID do segredo.

Observação

Se você perder o segredo do cliente, não poderá recuperá-lo. Em vez disso, gerar um segredo novamente.

  1. À esquerda, selecione permissões de API. Em seguida, conceda ao aplicativo acesso à pilha OIDC.

  2. Selecione + Adicionar permissão>Microsoft Graph>permissões delegadas.

  3. Na seção de permissões OpenId , selecione email, openid e perfil. Em seguida, selecione Adicionar permissões.

  4. Para melhorar a experiência do usuário e suprimir os prompts de consentimento do usuário, selecione Conceder consentimento do administrador para o Nome de Domínio do Locatário. Aguarde até que o status Granted apareça.

    Captura de tela do consentimento do administrador concedido com êxito para a mensagem de permissões solicitadas, em permissões de API.

  5. Se o seu aplicativo tiver um URI de redirecionamento, insira-o. Se a URL de resposta for direcionada à guia Autenticação , seguida por Adicionar uma plataforma e Web, insira a URL.

  6. Selecione Tokens de acesso e Tokens de ID.

  7. Selecione Configurar.

  8. Se necessário, no menu Autenticação , em Configurações avançadas e Permitir fluxos de cliente públicos, selecione Sim.

    Captura de tela da opção Sim na Autenticação.

  9. Ante de testar, em seu aplicativo configurado pelo OIDC, importe a ID do aplicativo e o segredo do cliente.

Observação

Use as etapas anteriores para configurar seu aplicativo com configurações como ID, Segredo e Escopos do Cliente.

Migrar um servidor de autorização personalizado para o Microsoft Entra ID

Os servidores de autorização do Okta mapeiam um para um para registros de aplicativo que expõem uma API.

Mapeie o servidor de autorização padrão do Okta para os escopos ou permissões do Microsoft Graph.

Captura de tela da opção Adicionar um escopo em Expor e API.

Próximas etapas