Fédérer plusieurs domaines Office 365 dans une seule instance d'app

Si vous disposez déjà d'instances d'application Office 365, accédez à l'onglet Authentification, puis cliquez sur ModifierEnregistrer. Cela permet à Okta de capturer les mappages de domaine requis depuis Microsoft Entra ID. Les nouvelles instances d'application sont capturées automatiquement.

Vous pouvez automatiquement fédérer plusieurs domaines Microsoft Office 365 au sein d'une seule instance d'application Office 635 dans Okta. Il n'est ainsi plus nécessaire de configurer une instance d'application Office 365 distincte pour chaque domaine Office 365.

Cela peut s'avérer utile si vous disposez des configurations suivantes :

  • Si vous possédez plusieurs domaines Office 365 au sein d'un seul tenant Office 365 et que vous ne souhaitez pas créer d'instances d'application distinctes pour chaque domaine.
  • Si vous possédez plusieurs domaines Office 365 au sein d'un seul tenant Office 365 et que vous souhaitez leur appliquer le même ensemble de politiques.

Avant de commencer

  • Cette fonctionnalité n'est pas disponible pour la méthode WS-Federation en configuration manuelle.

  • Vous aurez besoin des informations suivantes pour effectuer cette procédure :

    • Un tenant Microsoft Office 365 valide
    • Des domaines Microsoft Office 365 vérifiés
    • L'application Office 365 ajoutée à l'organisation Okta à l'aide de la méthode WS-Federation en configuration automatique

Commencer la procédure

Cette procédure comprend les tâches suivantes :

  1. Configurer les domaines
  2. Valider les domaines fédérés

Configurer les domaines

Première configuration

Si vous configurez WS-Federation pour la première fois, suivez ces étapes pour authentifier et sélectionner des domaines.

  1. Dans Admin Console, accédez à ApplicationsApplications.

  2. Localisez et sélectionnez l'app Microsoft Office 365.

  3. Dans l'onglet Paramètres généraux, renseignez les champs obligatoires et cliquez sur suivant pour accéder à l'onglet Options de connexion.

  4. Dans la section Méthodes d'authentification, sélectionnez WS-Federation - automatique.

  5. Facultatif. Cliquez sur Voir les instructions de configuration. La procédure permettant de configurer WS-Federation pour Office 365 s'ouvre dans une nouvelle fenêtre.
  6. Facultatif. Reportez-vous à la section Préparer votre domaine pour l'authentification fédérée de la procédure pour vous assurer que vous avez correctement préparé vos domaines pour la fédération.
  7. De retour dans l'onglet Options d'authentification, cliquez sur Démarrer la configuration de la fédération. Le système vous redirige vers la page de connexion à un compte Microsoft.
    1. Connectez-vous à Microsoft en tant qu'administrateur général pour votre tenant Microsoft.
    2. Lisez et acceptez les permissions demandées.
  8. Cliquez sur Fédérer les domaines.
  9. Dans la boîte de dialogue qui s'ouvre, sélectionnez les domaines que vous souhaitez fédérer dans la liste déroulante.
  10. Cliquez sur SuivantEnregistrer.
  11. Cliquez sur Terminé.

Modifier une configuration existante

Si vous aviez configuré WS-Federation par le passé, suivez ces étapes pour effectuer des modifications.

  1. Accédez à AuthentificationOffice 365Modifier. Assurez-vous que WS-Federation - automatique est sélectionné dans les Méthodes d'authentification.

  2. Pour afficher les domaines parent et enfant fédérés en mode lecture seule, cliquez sur Afficher les domaines sélectionnés.
  3. Pour ajouter ou supprimer des domaines, cliquez sur Gérer les domaines vérifiés.
  4. Pour vous réauthentifier avec un autre compte Microsoft Office 365, cliquez sur Se réauthentifier avec un compte Microsoft.
  5. Cliquez sur Enregistrer.

Vous pouvez ajouter et gérer plusieurs domaines uniquement par le biais de la méthode WS-Federation -automatique. La méthode manuellene prend pas en charge plusieurs domaines.

Valider les domaines fédérés

  1. Connectez-vous à Okta en tant qu'utilisateur final appartenant à un domaine Office 365 que vous avez fédéré.
  2. Accès à Office 365 en passant par le Dashboard de l'utilisateur final (End-User Dashboard).
  3. Assurez-vous que vous pouvez bien vous connecter.
  4. Répétez ces étapes pour tester les utilisateurs de tous les domaines Office 365 fédérés.

Vous pouvez également utiliser la commande PowerShell cmdlet suivante pour chaque domaine fédéré afin de vérifier que chaque domaine a bien été fédéré :

Get-MSOlDomainFederatioNSettings -domainname <domain name>

Si vous avez activé la fonctionnalité de fédération MS Graph, utilisez l'applet de commande PowerShell suivante :

Get-MgDomainFederationConfiguration -DomainId <yourDomainName> | Select -Property FederatedIdpMfaBehavior

Avertissements

  • Les applications Office 365qui ont un domaine fédéré avec plusieurs sous-domaines dans une seule app peuvent entraîner des erreurs de connexion.

    Les applications Office 365 existantes avec plusieurs sous-domaines dans une seule app, les membres du sous-domaine recevront une erreur lorsqu'ils se connecteront. Pour éviter cela, accédez à l'onglet Authentification, puis cliquez sur ModifierEnregistrer. Cela permet à Okta de capturer les mappages de domaine requis depuis Microsoft Entra ID.

  • Passer à WS-Federation en configuration manuelle ou à SWA annulera la fédération des domaines

    Si vous passez de WS-Federation en configuration automatique à WS-Federation en configuration manuelle ou de WS-Federation à SWA, la fédération de tous les domaines impliqués sera annulée.

  • Ne pas supprimer les instances d'application Office 365

    Si vous avez plusieurs instances de domaines Office 365 qui sont automatiquement fédérées et que vous migrez vers une seule instance d'Office 365 automatiquement fédérée, désactivez ces instances. Ne les supprimez pas.

  • Lors de l'annulation de la fédération, patienter jusqu'à ce que tous les domaines ne soient plus fédérés

    Si vous passez d'une fédération automatique à manuelle pour des domaines déjà fédérés, Okta recommande de patienter jusqu'à ce que tous les domaines automatiquement fédérés ne le soient plus. Si vous essayez de fédérer manuellement un domaine avant qu'Okta ne termine le processus d'annulation de la fédération, il est possible qu'Okta essaie de supprimer le domaine manuellement fédéré, puisqu'il s'agissait précédemment d'un domaine automatiquement fédéré.

    Utilisez la commande cmdlet suivante pour vous assurer que le domaine automatiquement fédéré ne l'est plus :

    Get-MSOlDomainFederatioNSettings -domainname <domain name>

    Si vous avez activé la fonctionnalité de fédération MS Graph, utilisez l'applet de commande PowerShell suivante :

    Get-MgDomainFederationConfiguration -DomainId <yourDomainName> | Select -Property FederatedIdpMfaBehavior

    Attendez-vous à subir un temps d'arrêt pendant l'annulation de la fédération du domaine.

  • Configurer les domaines en dehors des heures de travail pour éviter d'affecter des applications en double

    Lorsque vous configurez un domaine Office 365 qui est déjà configuré dans une instance d'application Office 365 distincte, il est possible qu'un ensemble d'applications Office 365 en double soit affecté aux utilisateurs finaux. Effectuez cette action en dehors des heures de travail afin de disposer de suffisamment de temps pour supprimer la configuration de l'instance d'application d'origine.

Rubriques liées