Configurer Okta en tant que méthode d'authentification externe pour Microsoft Entra ID

L'identifiant Microsoft Entra prend désormais en charge les méthodes d'authentification externes (EAM). Cela permet d'utiliser des fournisseurs d'authentification externes tels qu'Okta comme second facteur pour accéder aux ressources ou aux applications Microsoft. Consultez Références sur le fournisseur de méthode externe d'authentification multifacteur Microsoft Entra.

Avant de commencer

Assurez-vous de disposer d'un compte Microsoft Entra ID avec des privilèges administrateur avant de suivre cette procédure.

Commencer la procédure

Cette procédure nécessite des configurations dans Microsoft Entra ID et Okta pour permettre aux deux produits d'échanger des jetons EAM entre eux.

Enregistrer l'application dans Microsoft Entra ID

Il s'agit de l'application qui intègre Microsoft Entra ID à Okta. Elle est utilisée pour échanger des jetons EAM avec Okta.

1. Enregistrer une application dans Microsoft Entra ID. Dans URI de redirection, sélectionnez le type de plateforme Web, puis saisissez le chemin d'accès au point de terminaison d'autorisation de votre org Okta dans le champ. Il s'agit de l'URL sur laquelle Microsoft Entra ID effectue la demande d'autorisation à Okta. L'URL ressemble à ceci : https://<org-name>.okta.com/oauth2/v1/authorize.

   Consultez Configurer un nouveau fournisseur d'authentification externe avec Microsoft Entra ID.

2. Copiez l'Identifiant d'application Microsoft et l'Identifiant de locataire Microsoft et collez-les dans un emplacement sûr. Vous en aurez besoin lorsque vous configurerez les éléments suivants :
   • L'application Méthodes d'authentification externe Microsoft Entra ID dans Okta
   • L'EAM dans Microsoft Entra ID

Configurer l'application Méthodes d'authentification externe Microsoft Entra ID dans Okta

Il s'agit de l'application dans Okta qui reçoit les jetons EAM de Microsoft Entra ID.

1. Dans l'Admin Console, accédez à ApplicationsApplications.

2. Cliquez sur Parcourir le catalogue d'applications.
3. Recherchez et sélectionnez Méthodes d'authentification externe Microsoft Entra ID.
4. Cliquez sur Ajouter une intégration.
5. Saisissez l'Identifiant de locataire Microsoft que vous avez copié depuis Microsoft Entra ID.
6. Saisissez l'Identifiant de l'application Microsoft que vous avez copié depuis Microsoft Entra ID.
7. Dans Type de locataire Microsoft, sélectionnez l'une des options suivantes :
   • Global Azure : sélectionnez cette option pour les comptes Microsoft ordinaires.
   • Azure pour le gouvernement américain : sélectionnez cette option pour les comptes Microsoft du gouvernement américain.
   • Microsoft Azure géré par 21Vianet : sélectionnez cette option pour les comptes Microsoft ouverts en Chine.
8. Cliquez sur Terminé.
9. Facultatif. Sélectionnez l'onglet Affectations et affectez l'application à des utilisateurs ou à des groupes. Consultez la section Affecter des intégrations d'application.
10. Sélectionnez l'onglet Authentification. Dans la section Paramètres, cliquez sur l'icône Copier dans le presse-papiers correspondant à l'Identifiant client. Collez l'Identifiant client dans un emplacement sûr.

Créer un EAM dans Microsoft Entra ID

L'EAM est le moteur dans Microsoft Entra ID qui gère les demandes d'autorisation .

1. Suivez les instructions pour créer un EAM dans le centre administrateur Microsoft Entra ID. Consultez Créer un EAM dans le centre administrateur.
2. Saisissez ces propriétés dans le formulaire suivant :
   1. Saisissez un nom descriptif, comme Okta MFA.
   2. Dans le champ Identifiant client, saisissez l'identifiant de client que vous avez copié depuis Okta.
   3. Saisissez l'URL du Point de terminaison découverte avec l'identifiant client attaché à la fin :

      https://<org-name>.okta.com/.well-known/openid-configuration?client_id=<client id>.

   4. Saisissez l'Identifiant de l'application Microsoft dans le champ Identifiant d'application.
3. Cliquez sur Demander une autorisation.
4. Sélectionnez le compte que vous configurez depuis la page Sélectionner un compte.
5. Cliquez sur Accepter dans la page des Permissions demandées .
6. Sélectionnez le bouton Activer dans la section Activer et cibler pour activer l'EAM.
7. Cliquez sur Enregistrer sur la page Ajouter une méthode externe (Prévisualiser) .

Mappez l'utilisateur Microsoft avec Okta

Au cours de cette procédure, vous indiquez à Okta quel utilisateur d'application authentifier lorsqu'une requête EAM est effectuée pour l'utilisateur associé dans Microsoft Entra ID. Cela garantit que le même utilisateur final est authentifié dans Microsoft Entra ID et Okta.

Mappez le compte utilisateur avec le centre administrateur Microsoft Entra ID et la Okta Admin Console.

1. Accédez au centre administrateur Microsoft Entra ID.
2. Cliquez sur Utilisateurs.
3. Recherchez et sélectionnez l'utilisateur Okta
4. Cliquez sur l'icône Copier dans le presse-papiers à côté de l'Identifiant d'objet. Collez cet identifiant dans un emplacement sûr.
5. Dans Okta, ouvrez l'application Méthodes d'authentification externe Microsoft Entra ID :

   1. Dans l'Admin Console, accédez à ApplicationsApplications.

   2. Sélectionnez l'application Méthodes d'authentification externe Microsoft Entra ID. Ce nom peut être différent dans votre org.
6. Cliquez sur l'onglet Affectations, puis sur AffecterAffecter à des personnes ou Affecter à des groupes.
7. Cliquez sur Affecter à côté du compte utilisateur qui correspond à l'utilisateur administrateur dans le centre d'administration Microsoft Entra ID.
8. Collez l'ID objet du centre d'administration Microsoft Entra ID dans le champ ID objet.

   Si vous ne fournissez pas l'ID objet, l'EAM échouera lors de l'authentification.

9. Cliquez sur Enregistrer et revenir en arrière.
10. Cliquez sur Terminé.

Autres façons de mapper le compte utilisateur Microsoft avec Okta

• Utilisez l'API Okta. Consultez Affecter un utilisateur d'application dans la documentation destinée aux développeurs Okta.

• Utilisez une solution Okta Workflows personnalisée pour remplir l'identifiant utilisateur Microsoft pour tous les utilisateurs affectés à l'application Méthodes d'authentification externe Microsoft Entra ID. Consultez le connecteur Active Directory (Répertoire actif Azure).

Expérience de l'utilisateur final

Cette section décrit les étapes suivies par l'utilisateur pour s'authentifier avec Okta et accéder à une application protégée par Microsoft.

1. Un utilisateur se connecte à une application protégée par Microsoft Entra ID.
2. L'utilisateur est invité à utiliser la MFA si la politique d'accès conditionnel de Microsoft Entra ID l'exige.
3. L'utilisateur sélectionne Microsoft EAM.
4. L'utilisateur est redirigé vers Okta pour s'authentifier.
5. L'utilisateur s'authentifie auprès d'Okta en utilisant les authenticators requis par ses politiques Okta.
6. Si l'utilisateur s'authentifie avec succès, Okta redirige l'utilisateur vers Microsoft Entra ID.
7. Microsoft Entra ID connecte l'utilisateur à l'application protégée.

Champ du Journal système

Okta enregistre l'identifiant de corrélation provenant de Microsoft dans le champ debugContext.debugData.microsoftEntraExternalAuthenticationMethodClientRequestId dans le Okta System Log. Il permet de suivre les requêtes Okta dans le flux EAM. Si une erreur est détectée, Microsoft affiche la valeur qui correspond à l'Identifiant de corrélation à l'utilisateur. Incluez l'identifiant de corrélation dans toutes les requêtes que vous soumettez au Support Okta.

Dépanner l'intégration

L'exigence d'authentification par défaut dans la politique d'authentification pour l'application Microsoft EAM dans Okta est un facteur. En effet, Okta fournit un seul facteur d'étape pour compléter le flux d'authentification Microsoft. Vous pouvez mettre à jour la politique d'authentification, mais si elle n'est pas en mesure de satisfaire les exigences d'authentification de Microsoft, l'intégration déclenchera des erreurs et pourrait échouer.

Rubriques liées

Initiation aux intégrations d'application

En savoir plus sur les intégrations d'apps