Руководство по миграции федерации Okta в управляемую идентификатором Майкрософт проверку подлинности

  • Статья

В этом руководстве описано, как федеративные клиенты Office 365 с Okta for single sign-on (SSO).

Вы можете перенести федерацию в идентификатор Microsoft Entra таким образом, чтобы обеспечить хороший интерфейс проверки подлинности для пользователей. В поэтапной миграции можно проверить обратный доступ к федерациям для оставшихся приложений единого входа Okta.

Примечание.

Сценарий, описанный в этом руководстве, является единственным возможным способом реализации миграции. Необходимо попытаться адаптировать информацию к определенной настройке.

Необходимые компоненты

  • Арендатор Office 365 с федеративным единым доступом к Okta.
  • Сервер Microsoft Entra Подключение или агенты подготовки облака Microsoft Entra Подключение, настроенные для подготовки пользователей к идентификатору Microsoft Entra ID
  • Одна из следующих ролей: Global Администратор istrator, Application Администратор istrator, Cloud Application Администратор istrator или Hybrid Identity Администратор istrator.

Настройка Подключение Microsoft Entra для проверки подлинности

Клиенты, федеративные домены Office 365 с Okta, могут не иметь допустимый метод проверки подлинности в идентификаторе Microsoft Entra. Перед миграцией на управляемую проверку подлинности проверьте microsoft Entra Подключение и настройте его для входа пользователя.

Настройте метод входа:

  • Синхронизация хэша паролей — расширение функции синхронизации каталогов, реализованной сервером Microsoft Entra Подключение или агентами подготовки облака
  • Сквозная проверка подлинности — вход в локальные и облачные приложения с одинаковыми паролями
  • Простой единый вход — вход пользователей на корпоративных настольных компьютерах, подключенных к корпоративной сети

Чтобы создать простой пользовательский интерфейс проверки подлинности в идентификаторе Microsoft Entra, разверните простой единый вход в синхронизацию хэша паролей или сквозную проверку подлинности.

Предварительные требования для простого единого входа см . в кратком руководстве. Microsoft Entra простой единый вход.

В этом руководстве описана настройка синхронизации хэша паролей и простого единого входа.

Настройка microsoft Entra Подключение для синхронизации хэша паролей и простого единого входа

  1. На сервере Microsoft Entra Подключение откройте приложение Microsoft Entra Подключение.

  2. Выберите Настроить.

    Screenshot of the Microsoft Entra ID icon and the Configure button in the Microsoft Entra Connect app.

  3. Выберите "Изменить вход пользователя".

  4. Выберите Далее.

    Screenshot of the Microsoft Entra Connect app with the page for changing user sign-in.

  5. Введите учетные данные глобального Администратор istrator сервера Microsoft Entra Подключение.

    Screenshot of the Microsoft Entra Connect app that shows where to enter Global Administrator credentials.

  6. Сервер настроен для федерации с Okta. Выберите параметр Синхронизация хэша паролей.

  7. Выберите пункт Включить единый вход.

  8. Выберите Далее.

  9. Для локальной локальной системы введите учетные данные администратора домена.

  10. Выберите Далее.

Screenshot of the Microsoft Entra Connect app with settings for user sign-in.

  1. На конечной странице нажмите кнопку "Настроить".

Screenshot of the Ready to configure page of the Microsoft Entra Connect app.

  1. Игнорировать предупреждение гибридного соединения Microsoft Entra.

Screenshot of the Microsoft Entra Connect app. The Microsoft Entra hybrid join warning appears.

Настройка функций поэтапного развертывания

Совет

Действия, описанные в этой статье, могут немного отличаться на портале, с который вы начинаете работу.

Перед проверкой отсрочки домена в идентификаторе Microsoft Entra используйте поэтапное развертывание облачной проверки подлинности для тестирования отложенных пользователей.

Дополнительные сведения. Миграция на облачную проверку подлинности с помощью поэтапного развертывания

После включения синхронизации хэша паролей и простого единого входа на сервере Microsoft Entra Подключение настройте поэтапное развертывание:

  1. Войдите в Центр администрирования Microsoft Entra как минимум гибридное удостоверение Администратор istrator.

  2. Перейдите к Службе гибридного управления>удостоверениями>Microsoft Entra Подключение> Подключение Sync.

  3. Убедитесь, что синхронизация хэша паролей включена в клиенте.

  4. Выберите Включение поэтапного развертывания для управляемого входа пользователей.

    Screenshot of the staged rollout option.

  5. После настройки сервера параметр синхронизации хэша паролей может измениться на On.

  6. Включите параметр.

  7. Простой единый вход — Off. Если включить его, появится ошибка, так как она включена в клиенте.

  8. Выберите Управление группами.

    Screenshot of the Enable staged rollout features page in the Microsoft Entra admin center. A Manage groups button appears.

  9. Добавьте группу в развертывание синхронизации хэша паролей. В следующем примере группа безопасности начинается с 10 членов.

    Screenshot of the Manage groups for Password Hash Sync page in the Microsoft Entra admin center. A group is in a table.

  10. Подождите около 30 минут, пока функция войдет в силу в клиенте.

  11. Когда функция вступает в силу, пользователи не перенаправляются в Okta при попытке доступа к службам Office 365.

Функция поэтапного развертывания не поддерживает некоторые сценарии.

  • Устаревшие протоколы проверки подлинности, такие как POP3 и SMTP, не поддерживаются.
  • Если вы настроили гибридное соединение Microsoft Entra для Okta, потоки гибридного соединения Microsoft Entra переходят в Okta, пока домен не будет отложен.
    • Политика входа остается в Okta для устаревшей проверки подлинности клиентов Windows гибридного соединения Microsoft Entra.

Создание приложения Okta в идентификаторе Microsoft Entra

Пользователям, преобразованным в управляемую проверку подлинности, может потребоваться доступ к приложениям в Okta. Для доступа пользователей к этим приложениям зарегистрируйте приложение Microsoft Entra, которое ссылается на домашнюю страницу Okta.

Настройте регистрацию корпоративных приложений для Okta.

  1. Войдите в Центр администрирования Microsoft Entra как минимум облачные приложения Администратор istrator.

  2. Перейдите к приложениям>Identity>Application Enterprise Для всех приложений.>

    Screenshot of the left menu of the Microsoft Entra admin center.

  3. Выберите Новое приложение.

    Screenshot that shows the All applications page in the Microsoft Entra admin center. A new application is visible.

  4. Выберите Создать собственное приложение.

  5. В меню назовите приложение Okta.

  6. Выберите Зарегистрировать приложение, над которым вы работаете, чтобы интегрироваться с идентификатором Microsoft Entra.

  7. Нажмите кнопку создания.

  8. Выберите учетные записи в любом каталоге организации (любой каталог Microsoft Entra — Multitenant).

  9. Выберите Зарегистрировать.

    Screenshot of Register an application.

  10. В меню идентификатора Microsoft Entra выберите Регистрация приложений.

  11. Откройте созданную регистрацию.

Screenshot of the App registrations page in the Microsoft Entra admin center. The new app registration appears.

  1. Запишите идентификатор клиента и идентификатор приложения.

Примечание.

Для настройки поставщика удостоверений в Okta требуется идентификатор клиента и идентификатор приложения.

Screenshot of the Okta Application Access page in the Microsoft Entra admin center. The Tenant ID and Application ID appear.

  1. В меню слева выберите Сертификаты и секреты.
  2. Щелкните Создать секрет клиента.
  3. Введите имя секрета.
  4. Введите дату окончания срока действия.
  5. Запишите значение секрета и идентификатор.

Примечание.

Значение и идентификатор не отображаются позже. Если вы не записываете информацию, необходимо повторно создать секрет.

Screenshot of the Certificates and secrets page. The value and I D of the secret appear.

  1. В меню слева выберите Разрешения API.

  2. Предоставьте приложению доступ к стеку OpenID Connect (OIDC).

  3. Выберите Добавить разрешение.

  4. Выбор Microsoft Graph

  5. Выберите Делегированные разрешения.

  6. В разделе разрешений OpenID добавьте разрешения email, openid и profile.

  7. Выберите Добавить разрешения.

  8. Выберите "Предоставить согласие администратора" для <доменного имени> клиента.

  9. Дождитесь появления предоставленного состояния.

    Screenshot of the API permissions page with a message for granted consent.

  10. В меню слева выберите Фирменная символика.

  11. Для URL-адреса домашней страницы добавьте домашнюю страницу приложения пользователя.

    Screenshot of the Branding page in the Microsoft Entra admin center.

  12. Чтобы добавить новый поставщик удостоверений, на портале администрирования Okta выберите "Безопасность " и "Поставщики удостоверений".

  13. Щелкните Add Microsoft (Добавить корпорацию Майкрософт).

    Screenshot of the Okta administration portal. Add Microsoft appears in the Add Identity Provider list.

  14. На странице поставщика удостоверений введите идентификатор приложения в поле идентификатора клиента.

  15. Введите секрет клиента в поле секрета клиента.

  16. Выберите Show Advanced Settings (Показать дополнительные параметры). По умолчанию эта конфигурация связывает имя участника-пользователя (UPN) в Okta с именем участника-пользователя в идентификаторе Microsoft Entra id для доступа к обратной федерации.

    Важно!

    Если имена участника-пользователя в Okta и идентификаторе Microsoft Entra не совпадают, выберите атрибут, распространенный для пользователей.

  17. Завершите выборки автоматической подготовки.

  18. По умолчанию, если для пользователя Okta не отображается совпадение, система пытается подготовить пользователя в идентификаторе Microsoft Entra. При переносе подготовки из Okta выберите "Перенаправление" на страницу входа в Okta.

    Screenshot of the General Settings page in the Okta admin portal. The option for redirecting to the Okta sign-in page appears.

Вы создали поставщика удостоверений (IDP). Отправьте пользователям правильный идентификатор поставщика удостоверений.

  1. В меню "Поставщики удостоверений" выберите "Правила маршрутизации" и "Добавить правило маршрутизации".

  2. Используйте один из доступных атрибутов в профиле Okta.

  3. Чтобы направлять входы с устройств и IP-адресов в идентификатор Microsoft Entra ID, настройте политику, показанную на следующем рисунке. В этом примере атрибут Division не используется во всех профилях Okta. Это хороший выбор для маршрутизации поставщика удостоверений.

    Screenshot of the Edit Rule page in the Okta admin portal. A rule definition that involves the division attribute appears.

  4. Запишите URI перенаправления, чтобы добавить его в регистрацию приложения.

    Screenshot of the redirect URI location.

  5. В меню слева в регистрации приложения выберите "Проверка подлинности".

  6. Выберите " Добавить платформу"

  7. Выберите Интернет.

  8. Добавьте URI перенаправления, записанный в idP в Okta.

  9. Выберите Маркеры доступа и Токены ИД.

    Screenshot of the Configure Web page in the Microsoft Entra admin center. A redirect URI appears. The access and I D tokens are selected.

  10. В консоли администрирования выберите каталог.

  11. Выберите Люди.

  12. Выберите тестового пользователя, чтобы изменить профиль.

  13. В профиле добавьте ToAzureAD. См. следующее изображение.

  14. Выберите Сохранить.

    Screenshot of the Okta admin portal. Profile settings appear, and the Division box has ToAzureAD.

  15. Войдите на портал Microsoft 356 в качестве измененного пользователя. Если пользователь не входит в пилотный проект управляемой проверки подлинности, действие вводит цикл. Чтобы выйти из цикла, добавьте пользователя в службу управляемой проверки подлинности.

Тестирование доступа к приложениям Okta на пилотных пользователях

После настройки приложения Okta в идентификаторе Microsoft Entra и настройки поставщика удостоверений на портале Okta назначьте приложение пользователям.

  1. В Центре администрирования Microsoft Entra перейдите к приложениям Identity>Applications>Enterprise.

  2. Выберите созданную регистрацию приложения.

  3. Перейдите к пользователям и группам.

  4. Добавьте группу, которая соответствует пилотной службе управляемой проверки подлинности.

    Примечание.

    Вы можете добавить пользователей и группы на странице корпоративных приложений . Невозможно добавлять пользователей из меню Регистрация приложений.

    Screenshot of the Users and groups page of the Microsoft Entra admin center. A group called Managed Authentication Staging Group appears.

  5. Подождите около 15 минут.

  6. Войдите в качестве пилотного пользователя управляемой проверки подлинности.

  7. Перейдите в раздел My Apps (Мои приложения).

    Screenshot of the My Apps gallery. An icon for Okta Application Access appears.

  8. Чтобы вернуться на домашнюю страницу Okta, выберите плитку Okta Application Access .

Тестирование управляемой проверки подлинности на пилотных элементах

После настройки приложения обратной федерации Okta попросите пользователей провести тестирование на управляемой проверке подлинности. Рекомендуется настроить фирменную символику компании, чтобы помочь пользователям распознать клиент.

Дополнительные сведения: настройка фирменной символики компании.

Важно!

Прежде чем отложить домены из Okta, определите необходимые политики условного доступа. Вы можете защитить среду перед отключением. См. руководство. Перенос политик входа Okta в условный доступ Microsoft Entra.

Отмена федерации доменов Office 365

Если вашей организации подходит управляемая проверка подлинности, вы можете отменить федерацию домена с Okta. Чтобы начать, используйте следующие команды для подключения к Microsoft Graph PowerShell. Если у вас нет модуля Microsoft Graph PowerShell, скачайте его, введя Install-Module Microsoft.Graphего.

  1. В PowerShell войдите в Идентификатор Microsoft Entra с помощью учетной записи глобального Администратор istrator.

     Connect-MgGraph -Scopes "Domain.ReadWrite.All", "Directory.AccessAsUser.All"

  2. Чтобы преобразовать домен, выполните следующую команду:

     Update-MgDomain -DomainId yourdomain.com -AuthenticationType "Managed"

  3. Убедитесь, что домен был преобразован в управляемый, выполнив приведенную ниже команду. Тип проверки подлинности должен быть задан для управления.

    Get-MgDomain -DomainId yourdomain.com

После настройки домена для управляемой проверки подлинности вы отложили клиент Office 365 из Okta при сохранении доступа пользователей к домашней странице Okta.

Следующие шаги