Fournir un consentement administrateur Microsoft pour Okta

Okta requiert des autorisations spécifiques pour s'intégrer à votre locataire Microsoft Office 365. Ces autorisations permettent Okta d' accès à l' API Microsoft Graph en votre nom pour effectuer des SSO et approvisionnement utilisateur .

Avant de commencer

Assurez-vous de disposer des autorisations d'administration globales dans votre tenant Microsoft.

Comprendre les besoins d'autorisation de Okta

Les autorisations requises sont accordées à l'une des deux apps distinctes Okta qui sont enregistrées dans votre tenant Microsoft. L'app spécifique utilisée dépend de la fonctionnalité que vous activez :

Fonctionnalité activée AppOkta requise

Fédération de domaine

Client de l'API Graph Okta – Fédération

Approvisionnement et accès avancé aux API

Okta Microsoft Graph Client

Il vous est demandé de fournir un consentement administrateur lors de la configuration initiale de la SSO ou de l'approvisionnement au sein de votre intégration app Okta Office 365.

Autorisations pour la fédération de domaine

Si vous ne fédérez que votre domaine, l'ensemble d'autorisations suivant est accordé à l'app Okta Microsoft Graph Client - Federation :

Autorisation Permet à Okta de Remarques

User.Read

Lire des utilisateurs

Identité de base utilisateur requise pour l'authentification.

Domain.ReadWrite.All

Lire et écrire les données du domaine

Requis pour la configuration et la vérification du domaine.

RoleManagement.ReadWrite.Directory

Affecter des rôles d'annuaire aux utilisateurs, aux groupes et aux principaux de service.

Obligatoire lors de la configuration initiale.

Vous pouvez révoquer cette autorisation en toute sécurité une fois l'intégration effectuée.

L'autorisation Directory.Read.All n'est pas requise. Si vous avez précédemment accordé cette autorisation, vous pouvez la révoquer.

Autorisations pour l'approvisionnement et l'accès aux API avancé

Si vous configurez l'approvisionnement ou l'accès aux API avancé pour les apps basées sur OAuth (comme Microsoft Teams, Yammer et Power BI), l'ensemble d'autorisations complet est requis et accordé à l'app Okta Microsoft Graph Client.

L'approvisionnement et l'accès aux API avancé partagent le même ensemble d'autorisations, qui nécessite un accès en lecture seule/écriture à l'API Microsoft Graph pour gérer les jetons utilisateur, les licences et les objets de répertoire.

Pour que la SSO fonctionne avec des applications telles que Microsoft Teams, Yammer et Power BI, vous devez accorder des autorisations à la fois à l'app Okta Graph API Client - Federation et à l'app Okta Microsoft Graph Client.

Autorisation Permet à Okta de Remarques

User.ReadWrite.All

Créer, lire, mettre à jour ou supprimer des utilisateurs

Requis pour User Lifecycle Management

Group.ReadWrite.All

Créer, lire, mettre à jour ou supprimer des groupes

Requis pour les push du groupes et la gestion de groupes.

GroupMember.ReadWrite.All

Ajouter ou retirer des membres d'un groupe

Requis pour la gestion de l'appartenance à un groupe.

Organization.Read.All

Répertorier les licences acquises et les sièges restants dans un tenant

Obligatoire pour afficher la disponibilité des licences

Application.Read.All

Répertorier les inscriptions d'app et les principaux de service dans un tenant.

Requis pour la configuration de l'intégration.

RoleManagement.ReadWrite.Directory

Affecter des rôles d'annuaire aux utilisateurs, aux groupes et aux principaux de service.

Requis pour la gestion des rôles d'administration (par exemple, administrateur général).

Si approvisionnement n'est pas utilisé, vous pouvez révoquer cette autorisation en& toute sécurité après une intégration SSO réussie.

Directory.ReadWrite.All

Lire des données du répertoire.

Utilisé pour la gestion du répertoire.

Si LicenseAssignment.ReadWrite.All est accordé, vous pouvez révoquer cette autorisation sans risque.

L'autorisation User.Read n'est pas requise. Si vous avez précédemment accordé cette autorisation, vous pouvez la révoquer.

Fournir un consentement administrateur Microsoft pour Okta

Vous pouvez fournir un consentement administrateur de deux manières :

Fournir un consentement administrateur Microsoft pour l'approvisionnement

Pour faciliter l'approvisionnement d'Okta to Office 365, vous devez vous authentifier et fournir un consentement administrateur pour autoriser Okta à accéder aux API Microsoft Graph.

Si vous activez l'approvisionnement pour l'app Office 365 pour la première fois, suivez les étapes ci-dessous :

  1. Dans Okta Admin Console, procédez comme suit :
    1. Rendez-vous dans ApplicationsOffice 365ApprovisionnementIntégration.
    2. Cochez la case Activer l'intégration d'API.

    3. Cliquez sur S'authentifier avec un compte Microsoft.

      Le système vous redirige vers la page de connexion à un compte Microsoft.

  2. Dans Microsoft, procédez comme suit :
    1. Connectez-vous à Microsoft en tant qu'administrateur général pour votre tenant Microsoft.
    2. Lisez et acceptez les instructions qui sont répertoriées sur la page Okta Microsoft Graph Client.
  3. Enregistrez les paramètres dans Okta Admin Console.

Réaccorder le consentement de l'administrateur Microsoft pour l'approvisionnement

Si votre org a activé l'approvisionnement avant le mois de décembre 2021, vous devez fournir un consentement administrateur avant de modifier les paramètres d'approvisionnement. Ceci est nécessaire, car les autorisations demandées par Okta changent.

Si vous avez déjà activé l'approvisionnement pour l'app Office 365 et devez réaccorder votre consentement, suivez les étapes :

  1. Dans Okta Admin Console, procédez comme suit :
    1. Rendez-vous dans ApplicationsOffice 365ApprovisionnementIntégrationModifier.

    2. Cliquez sur Se réauthentifier avec un compte Microsoft.

      Le système vous redirige vers la page de connexion à un compte Microsoft.

  2. Dans Microsoft, procédez comme suit :
    1. Connectez-vous à Microsoft en tant qu'administrateur général pour votre tenant Microsoft.
    2. Lisez et acceptez les instructions qui sont répertoriées sur la page Okta Microsoft Graph Client.
  3. Enregistrez les paramètres dans Okta Admin Console.

Fournir un consentement administrateur Microsoft pour la SSO

  1. Dans Okta Admin Console, procédez comme suit :
    1. Rendez-vous dans ApplicationsOffice 365AuthentificationModifier.
    2. Dans la section Méthodes d'authentification, assurez-vous que WS-FederationAutomatic est sélectionné.
    3. Dans la section Office 365 Domains, cliquez sur Démarrer la configuration de la fédération. Le système vous redirige vers la page de connexion à un compte Microsoft.
  2. Dans Microsoft, procédez comme suit :
    1. Connectez-vous à Microsoft en tant qu'administrateur général pour votre tenant Microsoft.
    2. Lisez et acceptez les instructions répertoriées sur la page Client de l'API Okta Graph – Fédération.
  3. De retour dans l'onglet Connexion, cliquez sur Fédérer des domaines et sélectionnez les domaines à fédérer avec Okta. Vous devez fédérer au moins un domaine pour terminer l'authentification.
  4. Facultatif. Pour que la SSO fonctionne avec des applications telles que Microsoft Teams, Yammer et Power BI, suivez les instructions suivantes dans Okta Admin Console :
    1. Dans la section Identifiants de l'API, sélectionnez Autoriser l'administrateur à consentir à l'accès à l'API avancée.
    2. Cliquez sur S'authentifier avec un compte Microsoft. Le système vous redirige vers la page de connexion à un compte Microsoft.
    3. Connectez-vous à Microsoft en tant qu'administrateur général pour votre tenant Microsoft.
    4. Lisez et acceptez les instructions qui sont répertoriées sur la page Okta Microsoft Graph Client.
  5. Enregistrez les paramètres dans Okta Admin Console.

Réaccorder un consentement administrateur Microsoft pour la SSO

Vous devez réaccorder le consentement administrateur Microsoft existant pour Okta dans les cas suivants :

  • Si vous ajoutez une nouvelle app Office 365 dans Okta End-User Dashboard et si cette app nécessite OAuth.
  • Si l'URL d'une app Office 365 change.
  1. Dans Okta Admin Console, procédez comme suit :
    1. Rendez-vous dans ApplicationsOffice 365AuthentificationModifier.
    2. Dans la section Méthodes d'authentification, assurez-vous que WS-FederationAutomatic est sélectionné.
    3. Dans la section Domaines Office 365, cliquez sur Se réauthentifier avec un compte Microsoft. Le système vous redirige vers la page de connexion à un compte Microsoft.
  2. Dans Microsoft, procédez comme suit :
    1. Connectez-vous à Microsoft en tant qu'administrateur général pour votre tenant Microsoft.
    2. Lisez et acceptez les instructions répertoriées sur la page Client de l'API Okta Graph – Fédération.
  3. Facultatif. Pour que la SSO fonctionne avec des applications telles que Microsoft Teams, Yammer et Power BI, suivez les instructions suivantes dans Okta Admin Console :
    1. Dans la section Identifiants de l'API, assurez-vous que l'option Autoriser l'administrateur à consentir à l'accès à l'API avancée est sélectionnée.
    2. Cliquez sur Se réauthentifier avec un compte Microsoft. Le système vous redirige vers la page de connexion à un compte Microsoft.
    3. Connectez-vous à Microsoft en tant qu'administrateur général pour votre tenant Microsoft.
    4. Lisez et acceptez les instructions qui sont répertoriées sur la page Okta Microsoft Graph Client.
  4. Enregistrez les paramètres dans Okta Admin Console.

Rubriques connexes