Configurer WS-Federation pour Office 365
Deux méthodes d'authentification à Microsoft Office 365 sont disponibles dans Okta: Secure Web Authentication (SWA) et WS-Federation (WS-Fed), qui est la méthode la plus sécurisée et celle à privilégier.
- SWA est basé sur un nom d'utilisateur et un mot de passe pour les identifiants de sécurité qui peuvent être choisis par l'utilisateur final ou affectés par l'administrateur.
- WS-Federation est une spécification qui définit des mécanismes pour transférer des informations d'identité à l'aide de messages SOAP chiffrés. Cela permet d'ajouter un niveau de sécurité supplémentaire. WS-Federation ne nécessite pas de mot de passe distinct pour Office 365. Par conséquent, Okta n'a pas besoin de synchroniser les mots de passe de l'utilisateur lorsque WS-Federation est utilisée.
Okta retirera la fédération de domaine dans les cas suivants :
- Si vous passez de WS-Federation à SWA
- Si vous supprimez l'instance d'app
Okta ne recommande pas la suppression de l'app. Pour la fédération manuelle, lorsque l'app est supprimée, le domaine ne sera pas automatiquement fédéré. La désactivation manuelle à l'aide de PowerShell est requise. Cependant, avec la fédération automatique, si l'app est supprimée, le domaine est automatiquement défédéré.
Configuration automatique de WS-Federation
Première configuration
Si vous configurez WS-Federation pour la première fois, suivez ces étapes pour authentifier et sélectionner des domaines.
-
Dans l'Admin Console, accédez à .
-
Localisez et sélectionnez l'app Microsoft Office 365.
-
Dans l'onglet Paramètres généraux, renseignez les champs obligatoires et cliquez sur suivant pour accéder à l'onglet Options de connexion.
- Dans la section Méthodes d'authentification, sélectionnez .
- Facultatif. Cliquez sur Voir les instructions de configuration. La procédure permettant de configurer WS-Federation pour Office 365 s'ouvre dans une nouvelle fenêtre.
- Facultatif. Reportez-vous à la section Préparer votre domaine pour l'authentification fédérée de la procédure pour vous assurer que vous avez correctement préparé vos domaines pour la fédération.
- De retour dans l'onglet Options d'authentification, cliquez sur Démarrer la configuration de la fédération. Le système vous redirige vers la page de connexion à un compte Microsoft.
- Connectez-vous à Microsoft en tant qu'administrateur général pour votre tenant Microsoft.
- Lisez et acceptez les permissions demandées.
- Cliquez sur Fédérer les domaines.
- Dans la boîte de dialogue qui s'ouvre, sélectionnez les domaines que vous souhaitez fédérer dans la liste déroulante.
- Cliquez sur .
- Cliquez sur Terminé.
Modifier une configuration existante
Si vous aviez configuré WS-Federation par le passé, suivez ces étapes pour effectuer des modifications.
-
Accédez à . Assurez-vous que est sélectionné dans les Méthodes d'authentification.
- Pour afficher les domaines parent et enfant fédérés en mode lecture seule, cliquez sur Afficher les domaines sélectionnés.
- Pour ajouter ou supprimer des domaines, cliquez sur Gérer les domaines vérifiés.
- Pour vous réauthentifier avec un autre compte Microsoft Office 365, cliquez sur Se réauthentifier avec un compte Microsoft.
- Cliquez sur Enregistrer.
Configuration manuelle de WS-Federation
- Accédez à .
- Dans Méthodes d'authentification, sélectionnez . Cliquez Continuer avec la fédération manuelle pour confirmer votre sélection. Remarque :
Si vous passez de la configuration automatique à la configuration manuelle, Oktasupprime tous les domaines actuellement fédérés pour cette instance Office 365. Vous devez utiliser PowerShell pour fédérer manuellement vos domaines afin de restaurer l'accès à la SSO. La configuration manuelle prend en charge un seul domaine fédéré par instance Office 365.
- Cliquez sur Voir les instructions de configuration pour accéder à la commande PowerShell qui est personnalisée pour votre domaine.
- Copiez cette commande à l'utiliser dans PowerShell.