Поделиться через

Руководство: перенос синхронизации с Okta на синхронизацию с Microsoft Entra Connect

В этом руководстве вы узнаете, как перенести управление пользователями из Okta в Microsoft Entra ID и осуществить синхронизацию пользователей или универсальную синхронизацию в Microsoft Entra Connect. Эта функция позволяет управлять журналами в Microsoft Entra ID и Office 365.

Примечание.

При переносе платформ синхронизации проверьте действия, описанные в этой статье, перед удалением Microsoft Entra Connect из промежуточного режима или включите агент подготовки облака Microsoft Entra.

Предварительные условия

При переключении с автоматизации Okta на Microsoft Entra ID существует два варианта. Используйте сервер Microsoft Entra Connect или облачное развертывание Microsoft Entra.

Дополнительные сведения. Сравнение microsoft Entra Connect и облачной синхронизации.

Подготовка в облаке Microsoft Entra — это самый знакомый путь миграции для клиентов Okta, использующих Universal Sync или User Sync. Агентам подготовки в облаке присуща легковесность. Их можно установить на или около контроллеров домена, таких как агентов синхронизации каталогов Okta. Не устанавливайте их на одном сервере.

При синхронизации пользователей используйте сервер Microsoft Entra Connect, если ваша организация нуждается в следующих технологиях:

  • Синхронизация устройств: гибридное соединение Microsoft Entra или Hello для бизнеса
  • Сквозная аутентификация
  • Поддержка более 150,000 объектов
  • поддержка обратной записи.

Чтобы использовать Microsoft Entra Connect, необходимо войти с ролью администратора гибридной идентичности.

Примечание.

Учитывайте все заранее установленные условия при установке Microsoft Entra Connect или облачного обеспечения Microsoft Entra. Прежде чем продолжить установку, см. предварительные требования для Microsoft Entra Connect.

Подтверждение синхронизации атрибута ImmutableID службой Okta

Атрибут ImmutableID связывает синхронизированные объекты с локальными коллегами. Okta берет objectGUID объекта Active Directory локальной сети и преобразует его в строку, закодированную в формате Base-64. По умолчанию он проставляет эту строку в поле ImmutableID в Microsoft Entra ID.

Вы можете подключиться к Microsoft Graph PowerShell и проверить текущее значение ImmutableID. Если вы не использовали модуль Microsoft Graph PowerShell, выполните следующую команду:

Install-Module Microsoft.Graph -Scope CurrentUser -Repository PSGallery -Force в административном сеансе перед выполнением следующих команд:

Connect-MgGraph

Если у вас есть модуль, может появиться предупреждение об обновлении до последней версии.

  1. Импортируйте установленный модуль.

  2. В окне проверки подлинности войдите по крайней мере в качестве администратора гибридного удостоверения.

  3. Подключитесь к арендатору.

  4. Проверьте параметры значения ImmutableID. В следующем примере по умолчанию выполняется преобразование objectGUID в ImmutableID.

  5. Вручную подтвердите преобразование из objectGUID в локальную среду Base64. Чтобы протестировать отдельное значение, используйте следующие команды:

    Get-MgUser onpremupn | fl objectguid
$objectguid = 'your-guid-here-1010'
[system.convert]::ToBase64String(([GUID]$objectGUID).ToByteArray())

Методы массовой проверки ObjectGUID

Прежде чем перейти в Microsoft Entra Connect, важно убедиться, что значения ImmutableID в идентификаторе Microsoft Entra совпадают со своими локальными значениями.

Следующая команда извлекает пользователей Microsoft Entra, находящихся локально, и экспортирует список их значений objectGUID и значений ImmutableID, которые уже вычислены, в файл CSV.

  1. Выполните следующую команду в Microsoft Graph PowerShell на локальном контроллере домена:

    Get-ADUser -Filter * -Properties objectGUID | Select-Object
UserPrincipalName, Name, objectGUID, @{Name = 'ImmutableID';
Expression = {
[system.convert]::ToBase64String((GUID).tobytearray())
} } | export-csv C:\Temp\OnPremIDs.csv

  2. Выполните следующую команду в сеансе Microsoft Graph PowerShell, чтобы получить список синхронизированных значений:

    Get-MgUser -all $true | Where-Object {$_.dirsyncenabled -like
"true"} | Select-Object UserPrincipalName, @{Name = 'objectGUID';
Expression = {
[GUID][System.Convert]::FromBase64String($_.ImmutableID) } },
ImmutableID | export-csv C:\\temp\\AzureADSyncedIDS.csv

  3. После обоих экспортов подтвердите соответствие значений ImmutableID пользователя.

    Внимание

    Если значения ImmutableID в облаке не совпадают со значениями objectGUID, значит, вы изменили параметры по умолчанию для синхронизации Okta. Вероятно, вы выбрали другой атрибут для определения значений ImmutableID. Перед переходом к следующему разделу определите, какой исходный атрибут заполняет значения ImmutableID. Перед отключением синхронизации Okta обновите атрибут, синхронизируемый Okta.

Установка Microsoft Entra Connect в промежуточном режиме

После подготовки списка целевых объектов источника и назначения установите сервер Microsoft Entra Connect. Если вы используете подготовку облака Microsoft Entra Connect, пропустите этот раздел.

  1. Скачайте и установите Microsoft Entra Connect на сервере. См. настройка Microsoft Entra Connect.

  2. На левой панели выберите "Идентификация пользователей".

  3. На странице "Уникальное определение пользователей" в разделе "Выбор способа идентификации пользователей с идентификатором Microsoft Entra" выберите "Выбрать определенный атрибут".

  4. Если вы не изменяли значение по умолчанию Okta, выберите mS-DS-ConsistencyGUID.

    Предупреждение

    Этот шаг имеет решающее значение. Убедитесь, что выбранный вами атрибут для якоря источника пополняет данные о пользователях Microsoft Entra. Если вы выбрали неправильный атрибут, удалите и переустановите Microsoft Entra Connect, чтобы повторно выбрать этот параметр.

  5. Нажмите кнопку "Далее".

  6. На левой панели нажмите кнопку "Настроить".

  7. На странице "Готово к настройке " выберите "Включить промежуточный режим".

  8. Выберите "Установить".

  9. Проверьте соответствие значений ImmutableID.

  10. После завершения настройки нажмите кнопку "Выйти".

  11. Откройте службу синхронизации от имени администратора.

  12. Найдите полную синхронизацию в пространстве соединителя domain.onmicrosoft.com.

  13. Убедитесь, что в разделе "Соединители с обновлениями потока" есть пользователи.

  14. Проверьте, нет ли в экспорте ожидаемых удалений.

  15. Перейдите на вкладку "Соединители".

  16. Выделите пространство для соединителя domain.onmicrosoft.com.

  17. Выберите место соединителя поиска.

  18. В диалоговом окне "Пространство соединителя поиска " в разделе "Область" выберите "Ожидающий экспорт".

  19. Нажмите кнопку "Удалить".

  20. Выберите "Поиск". Если все объекты совпадают, для deletes не отображаются соответствующие записи.

  21. Запись объектов, ожидающих удаления и их локальных значений.

  22. Очистить Удалить.

  23. Нажмите кнопку "Добавить".

  24. Выберите "Изменить".

  25. Выберите "Поиск".

  26. Функции обновления отображаются для пользователей, синхронизированных с идентификатором Microsoft Entra с помощью Okta. Новые объекты, которые Okta не синхронизирует, добавляются в структуру подразделения (OU), выбранную во время установки Microsoft Entra Connect.

  27. Чтобы узнать, как Microsoft Entra Connect взаимодействует с Microsoft Entra ID, дважды щелкните обновление.

Примечание.

Если для пользователя в идентификаторе Microsoft Entra добавлены функции, их учетная запись в локальной системе не соответствует учетной записи в облаке. Entra Connect создает новый объект и записывает новые и непредвиденные добавления.

  1. Прежде чем выйти из промежуточного режима, исправьте значение ImmutableID в идентификаторе Microsoft Entra.

В этом примере Okta внесла атрибут электронной почты в учетную запись пользователя, хотя доступное на месте значение не являлось точным. Когда Microsoft Entra Connect берет на себя учетную запись, атрибут почты удаляется из объекта.

  1. Убедитесь, что обновления включают атрибуты, ожидаемые в идентификаторе Microsoft Entra. Если удаляется несколько атрибутов, можно заполнить значения AD на локальном сервере перед отключением режима предварительного просмотра.

Примечание.

Прежде чем продолжить, убедитесь, что атрибуты пользователя синхронизируются и отображаются на вкладке Ожидающий экспорт. Если они удалены, убедитесь, что значения ImmutableID совпадают, и пользователь находится в выбранной OU (организационной единице) для синхронизации.

Установка агентов облачной синхронизации Microsoft Entra Connect

После подготовки списка целевых объектов источника и назначения установите и настройте агенты облачной синхронизации Microsoft Entra Connect. См. руководство. Интеграция одного леса с одним клиентом Microsoft Entra.

Примечание.

Если вы используете сервер Microsoft Entra Connect, пропустите этот раздел.

Отключить провизирование Okta для Microsoft Entra ID

После проверки корректности установки Microsoft Entra Connect отключите предоставление Okta к Microsoft Entra ID.

  1. Перейдите на портал Okta

  2. Выберите приложения.

  3. Выберите приложение Okta, которое добавляет пользователей в Microsoft Entra ID.

  4. Перейдите на вкладку "Подготовка ".

  5. Выберите раздел интеграции .

    Снимок экрана: раздел интеграции на портале Okta.

  6. Выберите "Изменить".

  7. Снимите флажок "Включить интеграцию API ".

  8. Нажмите кнопку "Сохранить".

    Снимок экрана раздела Интеграция на портале Okta. Сообщается, что возможность предварительной настройки не включена.

    Примечание.

    Если у вас несколько приложений Office 365, обрабатывающих подготовку к идентификатору Microsoft Entra, убедитесь, что они отключены.

Отключение промежуточного режима в Microsoft Entra Connect

После отключения провиженинга Okta сервер Microsoft Entra Connect сможет синхронизировать объекты.

Примечание.

Если вы используете агенты облачной синхронизации Microsoft Entra Connect, пропустите этот раздел.

  1. На рабочем столе запустите мастер установки с рабочего стола.
  2. Выберите "Настроить".
  3. Выберите настройку режима тестирования
  4. Нажмите кнопку "Далее".
  5. Введите учетные данные учетной записи администратора гибридной идентификации для вашей среды.
  6. Снимите флажок Включить промежуточный режим.
  7. Нажмите кнопку "Далее".
  8. Выберите "Настроить".
  9. После настройки откройте службу синхронизации от имени администратора.
  10. В соединителе domain.onmicrosoft.com просмотрите файл "Экспорт".
  11. Проверка добавлений, обновлений и удалений.
  12. Миграция завершена. Повторно запустите мастер установки, чтобы обновить и расширить функции Microsoft Entra Connect.

Включение агентов облачной синхронизации

После отключения развертывания Okta агент облачной синхронизации Microsoft Entra Connect может синхронизировать объекты.

  1. Войдите в Центр администрирования Microsoft Entra как минимум как администратор гибридной идентичности.
  2. Перейдите к Entra ID>Entra Connect>Синхронизация.
  3. Выберите конфигурацию профиля.
  4. Выберите "Включить".
  5. Вернитесь в меню настройки и выберите Журналы.
  6. Подтвердите обновление объектов на месте для соединителя обеспечения. Агенты облачной синхронизации не разрушительны. Обновление не удастся, если совпадение не найдено.
  7. Если пользователь не совпадает, выполните обновления для привязки значений ImmutableID.
  8. Перезапустите синхронизацию подготовки облака.

Следующие шаги