Руководство. Перенос приложений из Okta в идентификатор Microsoft Entra

  • Статья

В этом руководстве вы узнаете, как перенести приложения из Okta в идентификатор Microsoft Entra.

Необходимые компоненты

Для управления приложением в идентификаторе Microsoft Entra необходимо:

  • Учетная запись пользователя Microsoft Entra. Если ее нет, можно создать учетную запись бесплатно.
  • Одна из следующих ролей: глобальный администратор, администратор облачных приложений, администратор приложений или владелец субъекта-службы.

Создание данных инвентаризации текущих приложений Okta

Перед миграцией задокументируйте текущие параметры среды и приложения. Для сбора этих сведений можно использовать API Okta. Используйте средство обозревателя API, например Postman.

Чтобы создать инвентаризацию приложений, выполните приведенные действия.

  1. С помощью приложения Postman в консоли администрирования Okta создайте маркер API.

  2. На панели мониторинга API в разделе Безопасность выберите Маркеры>Создать маркер.

    Screenshot of the Tokens and Create Tokens options under Security.

  3. Введите имя маркера и нажмите кнопку "Создать маркер".

    Screenshot of the Name entry under Create Token.

  4. Запишите значение маркера и сохраните его. После нажатия кнопки "ОК" он недоступен.

    Screenshot of the Token Value field and the OK got it option.

  5. В рабочей области в приложении Postman выберите Import (Импорт).

    Screenshot of the Import option on Postman.

  6. На странице Import (Импорт) выберите Link (Ссылка). Чтобы импортировать API, вставьте следующую ссылку:

https://developer.okta.com/docs/api/postman/example.oktapreview.com.environment

Screenshot of the Link and Continue options on Import.

Примечание.

Не изменяйте ссылку значениями своего арендатора.

  1. Выберите Импорт.

    Screenshot of the Import option on Import.

  2. После импорта API измените значение параметра Environment (Среда) на {ваш_домен_Okta}.

  3. Чтобы изменить среду Okta, щелкните значок глаза . Затем выберите Edit (Изменить).

    Screenshot of the eye icon and Edit option on Overview.

  4. В полях начального значения и текущего значения обновите значения для URL-адреса и ключа API. Измените имя в соответствии со своей средой.

  5. Сохраните значения.

    Screenshot of Initial Value and Current Value fields on Overview.

  6. Загрузите API в Postman.

  7. Выберите Apps (Приложения) >Get List Apps (Получить список приложений) >Send (Отправить).

Примечание.

Приложения можно распечатать в клиенте Okta. Список формируется в формате JSON.

Screenshot of the Send option and the Apps list.

Рекомендуется скопировать и преобразовать этот список JSON в формат CSV:

Примечание.

Чтобы получить запись приложений в клиенте Okta, скачайте CSV-файл.

Перенос приложения SAML в идентификатор Microsoft Entra

Чтобы перенести приложение SAML 2.0 в идентификатор Microsoft Entra, настройте приложение в клиенте Microsoft Entra для доступа к приложениям. В этом примере мы преобразуем экземпляр Salesforce.

  1. Войдите в Центр администрирования Microsoft Entra как минимум облачные приложения Администратор istrator.

  2. Перейдите к приложениям Identity>Applications>Enterprise All,> а затем выберите "Создать приложение".

    Screenshot of the New Application option on All applications.

  3. В коллекции Microsoft Entra найдите Salesforce, выберите приложение и нажмите кнопку "Создать".

    Screenshot of applications in the Microsoft Entra Gallery.

  4. После создания приложения на вкладке Единый вход выберите SAML.

    Screenshot of the SAML option on Single sign-on.

  5. Скачайте сертификат (необработанный) и XML-файл метаданных федерации, чтобы импортировать их в Salesforce.

    Screenshot of Certificate (Raw) and Federation Metadata XML entries under SAML Signing Certificate.

  6. В консоли администрирования Salesforce выберите единый вход identity>Параметры> New из файла метаданных.

    Screenshot of the New from Metadata File option under Single Sign On Settings.

  7. Отправьте XML-файл, скачанный из Центра администрирования Microsoft Entra. Затем выберите Создать.

  8. Отправьте сертификат, скачанный из Azure. Выберите Сохранить.

    Screenshot of the Identity Provider Certificate entry under SAML Single Sign On.

  9. Запишите значения в приведенных ниже полях. Значения находятся в Azure.

    • идентификатор сущности;
    • Login URL (URL-адрес для входа)
    • URL-адрес выхода.

  10. Выберите " Скачать метаданные".

    Screenshot of the Download Metadata option, also entries for Entity ID and Your Organization.

  11. Чтобы отправить файл в Центр администрирования Microsoft Entra, на странице приложений Microsoft Entra ID Enterprise в параметрах единого входа SAML выберите "Отправить файл метаданных".

  12. Убедитесь, что импортированные значения соответствуют записанным значениям. Выберите Сохранить.

    Screenshot of entries for SAML-based sign-on, and Basic SAML Configuration.

  13. В консоли администрирования Salesforce выберите Company Settings (Параметры организации) >My Domain (Мой домен). Перейдите на страницу Authentication Configuration (Конфигурация проверки подлинности) щелкните Edit (Изменить).

    Screenshot of the Edit option under My Domain.

  14. Для параметра входа выберите новый настроенный поставщик SAML. Выберите Сохранить.

    Screenshot of Authentication Service options under Authentication Configuration.

  15. В идентификаторе Microsoft Entra на странице корпоративных приложений выберите "Пользователи и группы". Затем добавьте тестовых пользователей.

    Screenshot of Users and groups with a list of test users.

  16. Чтобы проверить конфигурацию, войдите в систему в качестве тестового пользователя. Перейдите в коллекцию приложений Майкрософт и выберите Salesforce.

    Screenshot of the Salesforce option under All Apps, on My Apps.

  17. Чтобы войти, выберите настроенный поставщик удостоверений (IdP).

    Screenshot of the Salesforce sign-in page.

Примечание.

Если конфигурация правильна, тестовый пользователь попадает на домашнюю страницу Salesforce. Справочные сведения по устранению неполадок приведены в руководстве по отладке.

  1. На странице корпоративных приложений назначьте остальным пользователям приложение Salesforce правильные роли.

Примечание.

После добавления оставшихся пользователей в приложение Microsoft Entra пользователи могут проверить подключение, чтобы убедиться, что у них есть доступ. Протестируйте подключение перед следующим шагом.

  1. В консоли администрирования Salesforce выберите Company Settings (Параметры организации) >My Domain (Мой домен).

  2. На странице Authentication Configuration (Конфигурация проверки подлинности) щелкните Edit (Изменить). Для службы проверки подлинности снимите флажок для Okta.

    Screenshot of the Save option and Authentication Service options, under Authentication Configuration.

Перенос приложения OpenID Подключение или OAuth 2.0 в идентификатор Microsoft Entra

Совет

Действия, описанные в этой статье, могут немного отличаться на портале, с который вы начинаете работу.

Чтобы перенести приложение OpenID Подключение (OIDC) или приложение OAuth 2.0 в идентификатор Microsoft Entra в клиенте Microsoft Entra, настройте приложение для доступа. В этом примере мы преобразуем пользовательское приложение OIDC.

Чтобы завершить миграцию, повторите настройку для всех приложений в клиенте Okta.

  1. Войдите в Центр администрирования Microsoft Entra как минимум облачные приложения Администратор istrator.

  2. Перейдите к приложениям>Identity>Application Enterprise Для всех приложений.>

  3. Выберите Новое приложение.

  4. Выберите Создать собственное приложение.

  5. В появившемся меню назовите приложение OIDC и выберите "Регистрация приложения, над которым вы работаете для интеграции с идентификатором Microsoft Entra".

  6. Нажмите кнопку создания.

  7. На следующей странице настройте параметры арендатора для регистрации приложения. Дополнительные сведения см. в разделе "Клиентство" в идентификаторе Microsoft Entra. Перейдите к учетным записям в любом каталоге организации (любой каталог Microsoft Entra — Multitenant)>Register.

    Screenshot of the option for Accounts in any organizational directory (Any Microsoft Entra directory - Multitenant).

  8. На странице Регистрация приложений в разделе идентификатора Microsoft Entra откройте созданную регистрацию.

Примечание.

В зависимости от сценария приложения существуют различные действия конфигурации. Для большинства сценариев требуется секрет клиента приложения.

  1. На странице Обзор запишите значение Идентификатор приложения (клиента). Этот идентификатор используется в приложении.

    Screenshot of the Application client ID entry on Migration Tenant.

  2. Выберите Сертификаты и секреты в области слева. Затем выберите + Создать секрет клиента. Укажите имя секрета клиента и задайте срок его действия.

    Screenshot of New client secret entries on Certificates and secrets.

  3. Запишите значение и идентификатор секрета.

Примечание.

Если вы не уместите секрет клиента, его нельзя получить. Вместо этого повторно создайте секрет.

  1. В области слева выберите Разрешения API. Затем предоставьте приложению доступ к стеку OIDC.

  2. Выберите +Добавить разрешения делегированных разрешений>Microsoft Graph.>

  3. В разделе Разрешения OpenID выберите разрешения email, openid и profile. Затем выберите пункт Добавить разрешения.

  4. Чтобы улучшить взаимодействие с пользователем и убрать запросы согласия пользователя, выберите Grant admin consent for Tenant Domain Name (Предоставить согласие администратора для доменного имени арендатора). Дождитесь появления предоставленного состояния.

    Screenshot of the Successfully granted admin consent for the requested permissions message, under API permissions.

  5. Если у приложения есть универсальный код ресурса (URI) перенаправления, введите универсальный код ресурса (URI). Если URL-адрес ответа предназначен для вкладки проверки подлинности , а затем добавьте платформу и Интернет, введите URL-адрес.

  6. Выберите Маркеры доступа и Токены ИД.

  7. Выберите Настроить.

  8. При необходимости в меню "Проверка подлинности" в разделе "Дополнительные параметры" и "Разрешить потоки общедоступных клиентов" нажмите кнопку "Да".

    Screenshot of the Yes option on Authentication.

  9. Перед тестированием в приложении, настроенном OIDC, импортируйте идентификатор приложения и секрет клиента.

Примечание.

Используйте предыдущие шаги, чтобы настроить приложение с такими параметрами, как идентификатор клиента, секрет и области.

Перенос пользовательского сервера авторизации в идентификатор Microsoft Entra

Серверы авторизации Okta однозначно сопоставляются с регистрациями приложений, которые предоставляют API.

Сопоставите сервер авторизации Okta по умолчанию с область или разрешениями Microsoft Graph.

Screenshot of the Add a scope option on Expose and API.

Следующие шаги