Configurer l'authentification unique pour Office 365

Vous pouvez autoriser les utilisateurs à se connecter à Office 365 à l'aide d'une des méthodes suivantes :

  • Secure Web Authentication (SWA)
  • WS-Federation - automatique
  • WS-Federation - manuelle

SWA est une méthode de SSO développée par Okta. Elle conserve les informations d'identification de l'utilisateur final en utilisant un chiffrement renforcé et une clé privée spécifique au client. Lorsque l'utilisateur final clique sur l'application, Okta le connecte en toute sécurité à l'aide des informations d'identification chiffrées. Consultez la section Intégrations d'applications SWA.

WS-Federation définit des mécanismes pour transférer les informations d'identités à l'aide de messages SOAP chiffrés. Cette spécification ne nécessite pas de mot de passe distinct pour Office 365. Consultez la section Intégrations d'application WS-Fed.

Avant de commencer

  • Terminez l'opération Ajouter Office 365 à Okta.

  • Importer des utilisateurs dans Okta : vous pouvez importer des utilisateurs à partir d'un service d'annuaire comme Active Directory (AD) ou d'une autre application comme Salesforce. Actuellement, Okta ne prend pas en charge les importations qui prennent plus de deux heures. Contactez le support si vous disposez de ce type d'importation. Vous pouvez également créer des utilisateurs directement dans Okta. Consultez les sections suivantes pour plus d'informations :

  • Désactivez l'authentification multifacteur (MFA) Microsoft pour le compte administrateur Office 365 que vous utilisez pour WS-Federation. Si la MFA est activée, des dysfonctionnements peuvent survenir lors de la configuration de l'approvisionnement et de la SSO dans Okta.
  • Si vous intégrez un locataire Azure Active Directory dont l'option Connexion Web est Activée dans le Centre d'administration Microsoft Endpoint Manager, assurez-vous que les paramètres de configuration acceptent l'URL de votre org Okta. Consultez la documentation Microsoftrelative à la politique de sécurité de contenu - Authentification.

Commencer cette tâche

  1. Vous pouvez utiliser l'une des méthodes suivantes pour configurer la SSO pour Office 365 :

  2. Après avoir configuré la SSO, vous devez tester la configuration de la SSO.

Configurer la SSO à l'aide de Secure Web Authentication

Vous pouvez autoriser les utilisateurs à se connecter à Office 365 à l'aide de SWA ou de WS-Federation. Dans la mesure du possible, Okta recommande d'utiliser WS-Federation, car cette méthode est plus sûre que SWA.

  1. Accédez à Office 365AuthentificationParamètresModifier.
  2. Dans Méthodes d'authentification, sélectionnez Secure Web Authentication.
  3. Sélectionnez l'option appropriée pour la configuration du nom d'utilisateur et du mot de passe. Consultez la section Secure Web Authentication.
  4. Mappez le format du nom d'utilisateur en suivant les instructions de la section Tester l'approvisionnement.
  5. Cliquez sur Enregistrer.

Configurer la SSO à l'aide de WS-Federation

Il existe deux méthodes pour configurer WS-Federation : automatique ou manuelle. Vous pouvez autoriser Okta à configurer automatiquement WS-Federation, ou vous pouvez effectuer la configuration manuellement à l'aide du script PowerShell personnalisé fourni par Okta. Okta recommande d'avoir recours à la configuration automatique de WS-Federation, car Okta gère les procédures en arrière-plan.

Configurer la SSO à l'aide de WS-Federation : méthode automatique

Première configuration

Si vous configurez WS-Federation pour la première fois, suivez ces étapes pour authentifier et sélectionner des domaines.

  1. Dans Admin Console, accédez à ApplicationsApplications.

  2. Localisez et sélectionnez l'app Microsoft Office 365.

  3. Dans l'onglet Paramètres généraux, renseignez les champs obligatoires et cliquez sur suivant pour accéder à l'onglet Options de connexion.

  4. Dans la section Méthodes d'authentification, sélectionnez WS-Federation - automatique.

  5. Facultatif. Cliquez sur Voir les instructions de configuration. La procédure permettant de configurer WS-Federation pour Office 365 s'ouvre dans une nouvelle fenêtre.
  6. Facultatif. Reportez-vous à la section Préparer votre domaine pour l'authentification fédérée de la procédure pour vous assurer que vous avez correctement préparé vos domaines pour la fédération.
  7. De retour dans l'onglet Options d'authentification, cliquez sur Démarrer la configuration de la fédération. Le système vous redirige vers la page de connexion à un compte Microsoft.
    1. Connectez-vous à Microsoft en tant qu'administrateur général pour votre tenant Microsoft.
    2. Lisez et acceptez les permissions demandées.
  8. Cliquez sur Fédérer les domaines.
  9. Dans la boîte de dialogue qui s'ouvre, sélectionnez les domaines que vous souhaitez fédérer dans la liste déroulante.
  10. Cliquez sur SuivantEnregistrer.
  11. Cliquez sur Terminé.
Modifier une configuration existante

Si vous aviez configuré WS-Federation par le passé, suivez ces étapes pour effectuer des modifications.

  1. Accédez à AuthentificationOffice 365Modifier. Assurez-vous que WS-Federation - automatique est sélectionné dans les Méthodes d'authentification.

  2. Pour afficher les domaines parent et enfant fédérés en mode lecture seule, cliquez sur Afficher les domaines sélectionnés.
  3. Pour ajouter ou supprimer des domaines, cliquez sur Gérer les domaines vérifiés.
  4. Pour vous réauthentifier avec un autre compte Microsoft Office 365, cliquez sur Se réauthentifier avec un compte Microsoft.
  5. Cliquez sur Enregistrer.
Informations

Assurez-vous que vos informations d'identification en tant qu'administrateur pour l'application Office 365 ne se trouvent PAS dans le domaine que vous fédérez pour éviter d'être verrouillé.

Si vous êtes verrouillé à l'extérieur du domaine Office 365, vous ne pouvez pas vérifier votre identité dans le centre administrateur des applications Microsoft 365. En effet, vous devez vérifier votre identité via Okta, qui vous reconnaît en tant utilisateur, et non en tant administrateur. Assurez-vous d'utiliser les informations d'identification d'administrateur d'un compte qui se trouve dans votre domaine Office 365 par défaut. Le domaine de tenant par défaut est yourtenant.onmicrosoft.com.

Configurer SSO avec WS-Federation : méthode manuelle

Si vous avez activé la fonctionnalité de fédération MS Graph, les commandes PowerShell sont différentes.

  1. Accédez à AuthentificationOffice 365Modifier.
  2. Dans Méthodes d'authentification, sélectionnez WS-Federation-manuelle à l'IAde de PowerShell. Cliquez Continuer avec la fédération manuelle pour confirmer votre sélection.

    Si vous passez de la configuration automatique à la configuration manuelle, Okta supprime tous les domaines actuellement fédérés pour cette instance Office 365. Vous devez utiliser PowerShell pour fédérer manuellement vos domaines afin de restaurer l'accès à la SSO. La configuration manuelle prend en charge un seul domaine fédéré par instance Office 365.

  3. Cliquez sur Voir les instructions de configuration pour accéder à la commande PowerShell qui est personnalisée pour votre domaine.
  4. Copiez cette commande à l'utiliser dans PowerShell.

Dans PowerShell :

  1. Saisissez Connect-MgGraph -Scopes Directory.AccessAsUser.All.
  2. Saisissez votre nom d'utilisateur et votre mot de passe d'administrateur global Office 365.
  3. Insérez la commande PowerShell personnalisée que vous avez copiée.
  4. Assurez-vous que la fédération est établie en saisissant cette commande :Get-MgDomainFederationConfiguration -DomainId yourdomain.name

Tester la configuration de la SSO

  1. Connectez-vous à Okta en tant qu'utilisateur test.
  2. Ouvrez Office 365 à partir du End-User Dashboard.
  3. Assurez-vous que l'utilisateur est bien connecté au compte Office 365.

Prochaine étape

Approvisionner les utilisateurs sur Office 365