教程:将 Okta 同步预配迁移到 Microsoft Entra Connect 同步
本教程介绍组织如何将用户预配从 Okta 迁移到 Microsoft Entra ID,以及如何将用户同步或通用同步迁移到 Microsoft Entra Connect。 使用此功能可以预配到 Microsoft Entra ID 和 Office 365。
注意
迁移同步平台时,在从暂存模式移除 Microsoft Entra Connect 或启用 Microsoft Entra 云预配代理之前,针对你的环境验证本文所述过程的每个步骤。
先决条件
从 Okta 预配切换到 Microsoft Entra ID 时,有两种选择。 使用 Microsoft Entra Connect 服务器或 Microsoft Entra 云预配。
详细了解:Microsoft Entra Connect 与云同步之间的比较。
Microsoft Entra 云预配是使用通用同步或用户同步的 Okta 客户最熟悉的迁移路径。云预配代理为轻型代理。 可以像安装 Okta 目录同步代理那样将它们安装在域控制器上或附近。 不要将它们安装在同一台服务器上。
同步用户时,如果组织需要以下任一技术,请使用 Microsoft Entra Connect 服务器:
- 设备同步:Microsoft Entra 混合加入或 Hello 企业版
- 传递身份验证
- 支持超过 150,000 个对象
- 支持写回
若要使用 Microsoft Entra Connect,你需要使用混合标识管理员角色登录。
注意
安装 Microsoft Entra Connect 或 Microsoft Entra 云预配时,请考虑到所有先决条件。 在继续安装之前,请参阅 Microsoft Entra Connect 的先决条件。
确认由 Okta 同步的 ImmutableID 属性
ImmutableID 属性将同步对象与其本地对应对象关联。 Okta 提取本地对象的 Active Directory objectGUID,并将其转换为 Base 64 编码字符串。 然后,在默认情况下,它将该字符串戳记到 Microsoft Entra ID 中的 ImmutableID 字段。
可以连接到 Microsoft Graph PowerShell 并检查当前的 ImmutableID 值。 如果你尚未使用过 Microsoft Graph PowerShell 模块,请在运行以下命令之前在管理会话中运行它:
如果你有该模块,可能会出现更新到最新版本的警告。
导入已安装的模块。
在身份验证窗口中,至少以混合标识管理员身份登录。
连接到租户。
验证 ImmutableID 值设置。 以下示例是将 objectGUID 转换为 ImmutableID 的默认方法。
在本地手动确认从 objectGUID 到 Base64 的转换。 若要测试单个值,请使用以下命令:
Get-MgUser onpremupn | fl objectguid $objectguid = 'your-guid-here-1010' [system.convert]::ToBase64String(([GUID]$objectGUID).ToByteArray())
ObjectGUID 批量验证方法
在转移到 Microsoft Entra Connect 之前,必须验证 Microsoft Entra ID 中的 ImmutableID 值是否与其本地值匹配。
以下命令获取本地 Microsoft Entra 用户,并将其已计算的 objectGUID 值和 ImmutableID 值列表导出到 CSV 文件。
在本地域控制器上的 Microsoft Graph PowerShell 中运行以下命令:
Get-MgUser -Filter * -Properties objectGUID | Select-Object UserPrincipalName, Name, objectGUID, @{Name = 'ImmutableID'; Expression = { [system.convert]::ToBase64String((GUID).tobytearray()) } } | export-csv C:\Temp\OnPremIDs.csv
在 Microsoft Graph PowerShell 会话中运行命令以列出同步后的值。
两次导出后,确认用户 ImmutableID 值匹配。
重要
如果云中的 ImmutableID 与 objectGUID 值不匹配,则表示修改了 Okta 同步的默认值。你可能已选择另一个属性来确定 ImmutableID 值。 在继续下一部分之前,请确定使用哪个源属性填充 ImmutableID 值。 在禁用 Okta 同步之前,请更新 Okta 正在同步的属性。
在暂存模式下安装 Microsoft Entra Connect
准备好源和目标列表后,安装 Microsoft Entra Connect 服务器。 如果你使用 Microsoft Entra Connect 云预配,请跳过本部分。
在服务器上下载并安装 Microsoft Entra Connect。 请参阅 Microsoft Entra Connect 的自定义安装。
在左侧面板中选择“标识用户”。
在“唯一标识用户”页上的“选择应如何使用 Microsoft Entra ID 标识用户”下,选中“选择特定的属性”。
如果你尚未修改 Okta 默认值,请选择 mS-DS-ConsistencyGUID。
警告
此步骤至关重要。 确保使用为源定位点选择的属性填充 Microsoft Entra 用户。 如果选择了错误的属性,请卸载再重新安装 Microsoft Entra Connect,以重新选择此选项。
选择“下一页”。
在左侧面板中选择“配置”。
在“准备好配置”页上,选择“启用过渡模式”。
选择“安装” 。
验证 ImmutableID 值是否匹配。
配置完成后,选择“退出”。
以管理员身份打开“同步服务”。
查找与 domain.onmicrosoft.com 连接器空间的“完全同步”。
确认“具有流更新的连接器”选项卡下显示了用户。
验证导出中没有挂起的删除。
选择“连接器”选项卡。
突出显示 domain.onmicrosoft.com 连接器空间。
选择“搜索连接器空间”。
在“搜索连接器空间”对话框中的“范围”下,选择“挂起的导出”。
选择“删除”。
选择“搜索”。 如果所有对象都匹配,则不会为“删除项”显示匹配的记录。
记录等待删除的对象及其本地值。
清除“删除”。
选择“添加”。
选择“修改”。
选择“搜索”。
为通过 Okta 同步到 Microsoft Entra ID 的用户显示更新功能。 添加 Okta 未同步的新对象,这些对象位于 Microsoft Entra Connect 安装期间选择的组织单位 (OU) 结构中。
若要查看 Microsoft Entra Connect 向 Microsoft Entra ID 传达的信息,请双击某项更新。
注意
如果 Microsoft Entra ID 中的用户有添加功能,则表明他们的本地帐户与云帐户不匹配。 Entra Connect 会创建新对象并记录新的和意外的添加。
- 在退出暂存模式之前,请更正 Microsoft Entra ID 中的 ImmutableID 值。
在此示例中,Okta 将 mail 属性戳记到用户的帐户,尽管本地值不准确。 当 Microsoft Entra Connect 接管帐户时,将从对象中删除 mail 属性。
- 验证更新包括 Microsoft Entra ID 中预期的属性。 如果要删除多个属性,可以在删除暂存模式之前手动填充这些本地 AD 值。
注意
在继续之前,请确保用户属性正在同步并显示在“挂起的导出”选项卡上。如果它们被删除,请确保 ImmutableID 值匹配且用户位于选定的 OU 中进行同步。
安装 Microsoft Entra Connect 云同步代理
准备好源和目标列表后,安装并配置 Microsoft Entra Connect 云同步代理。 请参阅教程:将单个林与单个 Microsoft Entra 租户集成。
注意
如果你使用 Microsoft Entra Connect 服务器,请跳过此部分。
禁用 Okta 到 Microsoft Entra ID 的预配
验证 Microsoft Entra Connect 安装后,禁用 Okta 到 Microsoft Entra ID 的预配。
转到 Okta 门户
选择“应用程序”。
选择将用户预配到 Microsoft Entra ID 的 Okta 应用。
选择“预配”选项卡。
选择“集成”部分。
选择“编辑” 。
清除“启用 API 集成”选项。
选择“保存”。
注意
如果你有多个 Office 365 应用在处理到 Microsoft Entra ID 的预配,请确保将其关闭。
在 Microsoft Entra Connect 中禁用暂存模式
禁用 Okta 预配后,Microsoft Entra Connect 服务器可以同步对象。
注意
如果你使用 Microsoft Entra Connect 云同步代理,请跳过此部分。
- 从桌面运行安装向导。
- 选择“配置” 。
- 选择“配置暂存模式”
- 选择下一步。
- 输入环境的混合标识管理员帐户的凭据。
- 清除启用暂存模式。
- 选择下一步。
- 选择“配置” 。
- 配置完成后,以管理员身份打开“同步服务”。
- 查看 domain.onmicrosoft.com 连接器上的“导出”。
- 验证添加、更新和删除。
- 迁移已完成。 重新运行安装向导以更新和扩展 Microsoft Entra Connect 功能。
启用云同步代理
提示
本文中的步骤可能因开始使用的门户而略有不同。
禁用 Okta 预配后,Microsoft Entra Connect 云同步代理可以同步对象。
- 至少以混合标识管理员身份登录到 Microsoft Entra 管理中心。
- 浏览到“标识”>“混合管理”>“Microsoft Entra Connetc”>“Connect 同步”。
- 选择“配置”配置文件。
- 选择“启用”。
- 返回到预配菜单,然后选择“日志”。
- 确认预配连接器已更新本地对象。 云同步代理不会造成破坏。 如果未找到匹配项,则更新将会失败。
- 如果用户不匹配,请进行更新以绑定 ImmutableID 值。
- 重启云预配同步。