Руководство. Перенос подготовки синхронизации Okta в синхронизацию Microsoft Entra Подключение

  • Статья

В этом руководстве описано, как перенести подготовку пользователей из Okta в идентификатор Microsoft Entra ID и перенести синхронизацию пользователей или универсальную синхронизацию в Microsoft Entra Подключение. Эта возможность позволяет подготавливать идентификатор Microsoft Entra и Office 365.

Примечание.

При переносе платформ синхронизации проверьте действия, описанные в этой статье, перед удалением Microsoft Entra Подключение из промежуточного режима или включите агент подготовки облака Microsoft Entra.

Необходимые компоненты

При переключении с подготовки Okta на идентификатор Microsoft Entra ID существует два варианта. Используйте сервер Microsoft Entra Подключение или подготовку облака Microsoft Entra.

Дополнительные сведения. Сравнение microsoft Entra Подключение и облачной синхронизации.

Подготовка облака Microsoft Entra — это наиболее знакомый путь миграции для клиентов Okta, использующих универсальную синхронизацию или синхронизацию пользователей. Агенты подготовки облака являются упрощенными. Их можно установить на контроллерах домена, таких как агенты синхронизации каталогов Okta. Не устанавливайте их на одном сервере.

При синхронизации пользователей используйте сервер Microsoft Entra Подключение, если ваша организация нуждается в следующих технологиях:

  • Синхронизация устройств: гибридное соединение Microsoft Entra или Hello для бизнеса
  • Сквозная проверка подлинности
  • Поддержка более 150,000 объектов
  • поддержка обратной записи.

Чтобы использовать Подключение Microsoft Entra, необходимо войти с помощью одной из следующих ролей: Global Администратор istrator или Hybrid Identity Администратор istrator.

Примечание.

При установке Microsoft Entra Подключение или подготовки облака Microsoft Entra следует учитывать все предварительные требования. Прежде чем продолжить установку, см. предварительные требования для Microsoft Entra Подключение.

Подтверждение синхронизации атрибута ImmutableID службой Okta

Атрибут ImmutableID связывает синхронизированные объекты с локальными коллегами. Okta принимает объект Active Directory объектаGUID локального объекта и преобразует его в строку в кодировке Base-64. По умолчанию он метит строку в поле ImmutableID в идентификаторе Microsoft Entra ID.

Вы можете подключиться к Microsoft Graph PowerShell и проверить текущее значение ImmutableID. Если вы еще не использовали модуль Microsoft Graph PowerShell, запустите его в административном сеансе перед выполнением команд:

Если у вас есть модуль, может появиться предупреждение об обновлении до последней версии.

  1. Импортируйте установленный модуль.

  2. В окне проверки подлинности войдите по крайней мере с помощью гибридного удостоверения Администратор istrator.

  3. Подключение клиенту.

  4. Проверьте параметры значения ImmutableID. В следующем примере по умолчанию выполняется преобразование objectGUID в ImmutableID.

  5. Вручную подтвердите преобразование из objectGUID в локальную среду Base64. Чтобы протестировать отдельное значение, используйте следующие команды:

    Get-MgUser onpremupn | fl objectguid
$objectguid = 'your-guid-here-1010'
[system.convert]::ToBase64String(([GUID]$objectGUID).ToByteArray())

Методы массовой проверки ObjectGUID

Прежде чем перейти в Microsoft Entra Подключение, важно проверить, соответствуют ли значения ImmutableID в идентификаторе Microsoft Entra ID своим локальным значениям.

Следующая команда получает локальных пользователей Microsoft Entra и экспортирует список своих значений objectGUID и значения ImmutableID, которые уже вычисляются в CSV-файл.

  1. Выполните следующую команду в Microsoft Graph PowerShell на локальном контроллере домена:

    Get-MgUser -Filter * -Properties objectGUID | Select-Object
UserPrincipalName, Name, objectGUID, @{Name = 'ImmutableID';
Expression = {
[system.convert]::ToBase64String((GUID).tobytearray())
} } | export-csv C:\Temp\OnPremIDs.csv

  2. Выполните команду в сеансе Microsoft Graph PowerShell, чтобы получить список синхронизированных значений.

  3. После экспорта подтвердите соответствие значений ImmutableID пользователя.

    Внимание

    Если значения ImmutableID в облаке не совпадают со значениями objectGUID, значит, вы изменили параметры по умолчанию для синхронизации Okta. Вероятно, вы выбрали другой атрибут для определения значений ImmutableID. Перед переходом к следующему разделу определите, какой исходный атрибут заполняет значения ImmutableID. Перед отключением синхронизации Okta обновите атрибут Okta.

Установка microsoft Entra Подключение в промежуточном режиме

После подготовки списка целевых объектов источника и назначения установите сервер Microsoft Entra Подключение. Если вы используете Microsoft Entra Подключение подготовке облака, пропустите этот раздел.

  1. Скачайте и установите Подключение Microsoft Entra на сервере. См. настраиваемую установку Microsoft Entra Подключение.

  2. На панели слева выберите Идентификация пользователей.

  3. На странице "Уникальное определение пользователей" в разделе "Выбор способа идентификации пользователей с идентификатором Microsoft Entra" выберите "Выбрать определенный атрибут".

  4. Если вы не изменяли значение по умолчанию Okta, выберите mS-DS-ConsistencyGUID.

    Предупреждение

    Этот шаг имеет решающее значение. Убедитесь, что выбранный атрибут для привязки источника заполняет пользователей Microsoft Entra. Если вы выбрали неправильный атрибут, удалите и переустановите Microsoft Entra Подключение, чтобы повторно выбрать этот параметр.

  5. Выберите Далее.

  6. На панели слева выберите Настроить.

  7. На странице Готово к настройке выберите Включить промежуточный режим.

  8. Выберите Установить.

  9. Проверьте соответствие значений ImmutableID.

  10. После завершения настройки нажмите кнопку "Выйти".

  11. Запустите службу синхронизации от имени администратора.

  12. Найдите Full Synchronization с пространством соединителя domain.onmicrosoft.com.

  13. Убедитесь, что пользователи находятся на вкладке Подключение с вкладкой Flow Обновления.

  14. Убедитесь, что в экспорте нет ожидающих удалений.

  15. Щелкните вкладку Соединители.

  16. Выделите пространство соединителя domain.onmicrosoft.com.

  17. Выберите Search Connector Space(Поиск пространства соединителя).

  18. В диалоговом окне Поиск в пространстве соединителя выберите раскрывающийся список Область и щелкните Ожидающий экспорт.

  19. Выберите команду Удалить.

  20. Нажмите Поиск. Если все объекты совпадают, для deletes не отображаются соответствующие записи.

  21. Запись объектов, ожидающих удаления и их локальных значений.

  22. Снимите флажок "Удалить".

  23. Выберите Добавить.

  24. Нажмите кнопку Изменить.

  25. Нажмите Поиск.

  26. Функции обновления отображаются для пользователей, синхронизированных с идентификатором Microsoft Entra с помощью Okta. Добавление новых объектов Okta не синхронизируется, которые находятся в структуре подразделения(OU), выбранной во время установки Microsoft Entra Подключение.

  27. Чтобы узнать, что microsoft Entra Подключение взаимодействует с идентификатором Microsoft Entra, дважды щелкните обновление.

Примечание.

Если в идентификаторе Microsoft Entra есть функции, их локальная учетная запись не соответствует облачной учетной записи. Запись Подключение создает новый объект и записывает новые и непредвиденные добавления.

  1. Прежде чем выйти из промежуточного режима, исправьте значение ImmutableID в идентификаторе Microsoft Entra.

В этом примере Okta запечатал атрибут почты учетной записи пользователя, хотя локальное значение не было точным. Когда Microsoft Entra Подключение берет на себя учетную запись, атрибут почты удаляется из объекта.

  1. Убедитесь, что обновления включают атрибуты, ожидаемые в идентификаторе Microsoft Entra. Если удаляются несколько атрибутов, перед удалением промежуточного режима можно заполнить локальные значения AD.

Примечание.

Прежде чем продолжить, убедитесь, что атрибуты пользователя синхронизируются и отображаются на вкладке "Ожидающий экспорт ". Если они удалены, убедитесь, что значения ImmutableID совпадают, и пользователь находится в выбранном подразделении для синхронизации.

Установка агентов облачной синхронизации Microsoft Entra Подключение

После подготовки списка целевых объектов источника и назначения установите и настройте Microsoft Entra Подключение облачных агентов синхронизации. См. руководство. Интеграция одного леса с одним клиентом Microsoft Entra.

Примечание.

Если вы используете сервер Microsoft Entra Подключение, пропустите этот раздел.

Отключение подготовки Okta для идентификатора Microsoft Entra

После проверки установки Microsoft Entra Подключение отключите подготовку Okta в идентификатор Microsoft Entra.

  1. Перейдите на портал Okta

  2. Выберите пункт Заявления.

  3. Выберите приложение Okta, которое подготавливает пользователей к идентификатору Microsoft Entra.

  4. Выберите вкладку Подготовка.

  5. Выберите раздел интеграции.

    Снимок экрана: раздел интеграции на портале Okta.

  6. Выберите Изменить.

  7. Снимите флажок "Включить интеграцию API".

  8. Выберите Сохранить.

    Снимок экрана: раздел интеграции на портале Okta. Подготовка сообщений не включена.

    Примечание.

    Если у вас несколько приложений Office 365, обрабатывающих подготовку к идентификатору Microsoft Entra, убедитесь, что они отключены.

Отключение промежуточного режима в Microsoft Entra Подключение

После отключения подготовки Okta сервер Microsoft Entra Подключение может синхронизировать объекты.

Примечание.

Если вы используете агенты облачной синхронизации Microsoft Entra Подключение, пропустите этот раздел.

  1. На рабочем столе запустите мастер установки с рабочего стола.
  2. Выберите Настроить.
  3. Выбор режима промежуточного хранения
  4. Выберите Далее.
  5. Введите учетные данные учетной записи глобального администратора для вашей среды.
  6. Снимите флажок Включить промежуточный режим.
  7. Выберите Далее.
  8. Выберите Настроить.
  9. После настройки откройте службу синхронизации от имени администратора.
  10. В соединителе domain.onmicrosoft.com просмотрите файл "Экспорт".
  11. Проверка добавлений, обновлений и удалений.
  12. Миграция завершена. Повторно запустите мастер установки, чтобы обновить и развернуть компоненты Microsoft Entra Подключение.

Включение агентов облачной синхронизации

Совет

Действия, описанные в этой статье, могут немного отличаться на портале, с который вы начинаете работу.

После отключения подготовки Okta агент синхронизации Microsoft Entra Подключение облачной синхронизации может синхронизировать объекты.

  1. Войдите в Центр администрирования Microsoft Entra как минимум гибридное удостоверение Администратор istrator.
  2. Перейдите к Службе гибридного управления>удостоверениями>Microsoft Entra Подключение> Подключение Sync.
  3. Выберите профиль конфигурации .
  4. Выберите Включить.
  5. Вернитесь в меню подготовка и выберите Журналы.
  6. Подтвердите обновленные объекты соединителя подготовки. Агенты облачной синхронизации являются обратимыми. Обновления сбой, если совпадение не найдено.
  7. Если пользователь не совпадает, выполните обновления для привязки значений ImmutableID.
  8. Перезапустите синхронизацию подготовки облака.

Следующие шаги