Tutorial: Migrar as suas candidaturas de Okta para Azure Ative Directory

Neste tutorial, você vai aprender a migrar suas aplicações de Okta para Azure Ative Directory (Azure AD).

Criar um inventário das aplicações okta atuais

Antes de iniciar a migração, deverá documentar as definições atuais do ambiente e da aplicação. Pode utilizar a API okta para recolher esta informação a partir de um local centralizado. Para utilizar a API, você precisará de uma ferramenta de explorador API, como o Carteiro.

Siga estes passos para criar um inventário de aplicações:

  1. Instalar a aplicação Postman. Em seguida, gere um token API da consola de administração Okta.

  2. No painel API, em Segurança, selecione Tokens>Create Token.

    Screenshot that shows the button for creating a token.

  3. Insira um nome simbólico e, em seguida, selecione Create Token.

    Screenshot that shows where to name the token.

  4. Grave o valor simbólico e guarde-o. Não será acessível depois de selecionar ok, consegui.

    Screenshot that shows the Token Value box.

  5. Na aplicação Do Carteiro, no espaço de trabalho, selecione Import.

    Screenshot that shows the Import A P I.

  6. Na página 'Importar ', selecione Link. Em seguida, insira o seguinte link para importar a API: https://developer.okta.com/docs/api/postman/example.oktapreview.com.environment

    Screenshot that shows the link to import.

    Nota

    Não modifique a ligação com os valores do seu inquilino.

  7. Continue selecionando Import.

    Screenshot that shows the next Import page.

  8. Depois de importar a API, altere a seleção ambiente para {yourOktaDomain}.

    Screenshot that shows how to change the environment.

  9. Edite o seu ambiente Okta selecionando o ícone do olho. Em seguida, selecione Editar.

    Screenshot that shows how to edit the Okta environment.

  10. Atualize os valores da tecla URL e API nos campos Valor Inicial e Valor Corrente . Mude o nome para refletir o seu ambiente. Em seguida, salvar os valores.

    Screenshot that shows how to update values for the A P I.

  11. Coloque a API no Carteiro.

  12. Selecione Apps>Get List Apps>Send.

    Agora pode imprimir todas as inscrições no seu inquilino Okta. A lista está no formato JSON.

    Screenshot that shows a list of applications in the Okta tenant.

Recomendamos que copie e converta esta lista JSON num formato CSV. Você pode usar um conversor público como Konklone. Ou para PowerShell, use ConvertFrom-Json e ConvertTo-CSV.

Faça o download do CSV para manter um registo das aplicações no seu inquilino Okta para referência futura.

Migrar uma aplicação SAML para Azure AD

Para migrar uma aplicação SAML 2.0 para Azure AD, configurar primeiro a aplicação no seu inquilino AZure AD para acesso à aplicação. Neste exemplo, vamos converter uma instância salesforce. Siga este tutorial para configurar as aplicações.

Para completar a migração, repita os passos de configuração para todas as aplicações descobertas no inquilino Okta.

  1. No portal Azure AD, selecione Azure Ative Directory>Enterprise aplica novas aplicações>.

    Screenshot that shows a list of new applications.

  2. Na Galeria AD AZure, procure por Salesforce, selecione a aplicação e, em seguida, selecione Criar.

    Screenshot that shows the Salesforce application in Azure A D Gallery.

  3. Após a criação da aplicação, no separador Único sinal de inscrição (SSO), selecione SAML.

    Screenshot that shows the SAML application.

  4. Faça o download do Certificado (Raw) e da Federação De Metadados XML para importá-lo para a Salesforce.

    Screenshot that shows where to download federation metadata.

  5. Na consola de administração Salesforce, selecione Identity>Single Sign-On Configurações>Novas a partir do Ficheiro de Metadados.

    Screenshot that shows the Salesforce admin console.

  6. Faça o upload do ficheiro XML que descarregou a partir do portal AD AZure. Em seguida, selecione Criar.

    Screenshot that shows where to upload the XML file.

  7. Faça o upload do certificado que descarregou do Azure. Em seguida, selecione Guardar para criar o fornecedor SAML na Salesforce.

    Screenshot that shows how to create the SAML provider in Salesforce.

  8. Registar os valores nos seguintes campos. Vais usar estes valores em Azure.

    • ID de entidade
    • Login URL
    • URL de fim de sessão

    Em seguida, selecione Baixar Metadados.

    Screenshot that shows the values you should record for use in Azure.

  9. Na página de aplicações Azure AD Enterprise, nas definições de SSO SAML, selecione o ficheiro de metadados upload para carregar o ficheiro para o portal AD Azure. Antes de poupar, certifique-se de que os valores importados correspondem aos valores registados.

    Screenshot that shows how to upload the metadata file in Azure A D.

  10. Na consola de administração Salesforce, selecione As Definições> daEmpresa O Meu Domínio. Vá para a Configuração de Autenticação e, em seguida, selecione Editar.

    Screenshot that shows how to edit company settings.

  11. Para uma opção de início de saúde, selecione o novo fornecedor SAML que configuraste anteriormente. Em seguida, selecione Guardar.

    Screenshot that shows where to save the SAML provider option.

  12. No Azure AD, na página de aplicações da Enterprise , selecione Utilizadores e grupos. Em seguida, adicione os utilizadores de teste.

    Screenshot that shows added test users.

  13. Para testar a configuração, inscreva-se como um dos utilizadores do teste. Vá à galeria de aplicações da Microsoft e, em seguida, selecione Salesforce.

    Screenshot that shows how to open Salesforce from the app gallery.

  14. Selecione o fornecedor de identidade recém-configurado (IdP) para iniciar sedura.

    Screenshot that shows where to sign in.

    Se tudo tiver sido configurado corretamente, o utilizador de teste pousará na página inicial da Salesforce. Para obter ajuda para resolver problemas, consulte o guia de depuração.

  15. Na página de aplicações da Enterprise , atribua os restantes utilizadores à aplicação Salesforce com as funções corretas.

    Nota

    Depois de adicionar os restantes utilizadores à aplicação AZure AD, os utilizadores devem testar a ligação para garantir o acesso. Teste a ligação antes de passar para o passo seguinte.

  16. Na consola de administração Salesforce, selecione As Definições> daEmpresa O Meu Domínio.

  17. Em Configuração de Autenticação, selecione Editar. Limpe a seleção para Okta como um serviço de autenticação.

    Screenshot that shows where to clear the selection for Okta as an authentication service.

A Salesforce está agora configurada com sucesso com a Azure AD para SSO.

Migrar uma aplicação OIDC/OAuth 2.0 para Azure AD

Para migrar uma aplicação OpenID Connect (OIDC) ou OAuth 2.0 para Azure AD, no seu inquilino AZure AD, configurar primeiro o pedido de acesso. Neste exemplo, vamos converter uma aplicação OIDC personalizada.

Para completar a migração, repita os seguintes passos de configuração para todas as aplicações que são descobertas no inquilino Okta.

  1. No portal Azure AD, selecioneaplicaçõesAzure Ative Directory> Enterprise. Em todas as aplicações, selecione Nova aplicação.

  2. Selecione Crie a sua própria aplicação. No menu que aparece, nomeie a aplicação OIDC e, em seguida, selecione Registar uma aplicação em que está a trabalhar para integrar com a Azure AD. Em seguida, selecione Criar.

    Screenshot that shows how to create an O I D C application.

  3. Na página seguinte, configurar o arrendamento do seu registo de inscrição. Para mais informações, consulte o Tenancy no Diretório Ativo Azure.

    Neste exemplo, escolheremos contas em qualquer diretório organizacional (Qualquer diretório AD Azure - Multitenant)>Register.

    Screenshot that shows how to select Azure A D directory multitenant.

  4. Na página de inscrições da App , no âmbito do Azure Ative Directory, abra o registo recém-criado.

    Dependendo do cenário da aplicação, poderão ser necessárias várias ações de configuração. A maioria dos cenários requer um segredo de cliente de aplicações, por isso vamos cobrir esses cenários.

  5. Na página 'Visão Geral', grave o ID da Aplicação (cliente). Vais usar esta identificação na tua candidatura.

    Screenshot that shows the application client I D.

  6. À esquerda, selecione segredos de certificados&. Então selecione o novo segredo do cliente. Diga o segredo do cliente e estabeleça a sua expiração.

    Screenshot that shows the new client secret.

  7. Grave o valor e a identificação do segredo.

    Nota

    Se perder o segredo do cliente, não pode recuperá-lo. Em vez disso, terás de regenerar um segredo.

  8. À esquerda, selecione permissões API. Em seguida, conceder ao pedido acesso à pilha OIDC.

  9. Selecione a permissão> Degráfico doMicrosoft.>

  10. Na secção de permissões OpenId , selecione e-mail, openid e perfil. Em seguida, selecione Adicionar permissões.

    Screenshot that shows where to add Open I D permissions.

  11. Para melhorar a experiência do utilizador e suprimir as solicitações de consentimento do utilizador, selecione o consentimento de administração grant para o nome do domínio do inquilino. Em seguida, aguarde que o estatuto concedido apareça.

    Screenshot that shows where to grant admin consent.

  12. Se a sua aplicação tiver um URI de redirecionamento, insira o URI apropriado. Se o URL de resposta tiver como alvo o separador Autenticação , seguido de Adicionar uma plataforma e Web, introduza o URL apropriado. Selecione tokens de acesso e fichas de identificação. Em seguida, selecione Configure.

    Screenshot that shows how to configure tokens.

    No menu Autenticação , em Definições Avançadas e Permitir fluxos de clientes públicos, se necessário, selecione Sim.

    Screenshot that shows how to allow public client flows.

  13. Na sua aplicação configurada pela OIDC, importe o ID da aplicação e o segredo do cliente antes de testar. Siga os passos anteriores para configurar a sua aplicação com configurações como ID do cliente, segredo e âmbitos.

Migrar um servidor de autorização personalizado para a Azure AD

Os servidores de autorização okta mapeiam um a um para registos de aplicações que expõem uma API.

O servidor de autorização Okta predefinido deve ser mapeado para os âmbitos ou permissões do Microsoft Graph.

Screenshot that shows the default Okta authorization.

Passos seguintes