Effectuer une migration des mots de passe

Version en accès anticipé

Le processus de migration des mot de passe est transparent pour les utilisateurs finaux. Durant une migration active, les mots de passe sont capturés et migrés en toute sécurité. La capture et la migration se produisent lorsqu'un utilisateur d'un groupe de migration sélectionné se connecte à Okta en utilisant son mot de passe et lorsqu'il est authentifié par l'agent Okta Active Directory (AD). Okta prend immédiatement en charge l'authentification pour cet utilisateur. Une fois la migration terminée, Okta gère l'authentification des utilisateur migrés, remplaçant authentification déléguée par AD.

Une migration de mot de passe implique trois phases clés : le démarrage, la surveillance et la fin de la migration. Une fois la migration terminée, vous devez vous assurer que les utilisateurs finaux peuvent correctement réinitialiser les mots de passe, et vous devez comprendre comment gérer les nouveaux utilisateurs.

Une org peut effectuer un maximum de 10  migrations de mot de passe de façon simultanée, chaque migration étant exécutée sur une instance AD distincte. Chaque migration peut comporter jusqu'à 100 groupes de migration, et chaque groupe de migration peut disposer d'un maximum d'un millions d'utilisateurs.

Avant de commencer

Connectez-vous en tant qu'administrateur avec les autorisations suivantes :

  • Gérer les répertoires
  • Voir les groupes

Démarrer une migration des mots de passe

  1. Dans l'Admin Console, accédez à DirectoryIntégrations de répertoires.

  2. Sélectionnez l' instance AD dont vous souhaitez migrer les mots de passe des utilisateurs.
  3. Cliquez sur l'onglet Approvisionnement.
  4. Cliquez sur Migration de mots de passe sous Paramètres.
  5. Facultatif. Sélectionnez Activer la synchronisation de mots de passe. Lorsque vous sélectionnez cette option, toutes les modifications de mot de passe effectuées dans Okta pendant ou après la migration sont synchronisées vers AD. Cette fonctionnalité est utile pour les applications héritées qui utilisent le mot de passe AD. Il est recommandé d'activer cette option. Consultez Gérer les réinitialisations de mot de passe après la migration.
  6. Cliquez sur Lancer la campagne.
  7. Recherchez et sélectionnez les groupes dont vous souhaitez migrer les utilisateurs. Cliquez sur Migrer pour commencer à migrer les mots de passe des groupes sélectionnés.

Surveiller une migration des mots de passe

Pendant qu'une migration de mot de passe est en cours, vous pouvez suivre sa progression en cliquant sur l'onglet Groupes migrés depuis la page Migration de mots de passe. Cet onglet affiche la progression de la migration, y compris le nombre de mots de passe migrés avec succès pour chaque groupe. Certaines divergences peuvent apparaître dans les chiffres de migration des groupes, pour l'une ou l'autre des raisons suivantes :

  • Si un groupe migré inclut des membres d'autres instances AD, les mots de passe de ces membres ne seront pas migrés. Cependant, ils sont inclus dans le nombre de membres de ces groupes.
  • Si un groupe migré contient des membres dont les mots de passe sont déjà dans Okta, les mots de passe de ces membres ne sont pas comptabilisés parmi les mots de passe migrés, mais les membres sont inclus dans le nombre total de membres du groupe.

Cliquez sur Télécharger le rapport CSV pour afficher le statut de la migration d'utilisateurs spécifiques. Ce rapport fournit une description détaillée du statut de la migration de chaque utilisateur, par exemple en indiquant si son mot de passe a été migré ou si une erreur spécifique s'est produite.

L'utilisation de ce rapport pour surveiller le statut de la migration d'utilisateurs spécifiques est particulièrement importante si vous choisissez l'option Ne pas créer de mot de passe Okta lorsque vous terminez une migration de mot de passe. Dans ce scénario, le rapport CSV contient la liste définitive des utilisateurs qui n'ont pas de mot de passe Okta et qui risquent de ne pas pouvoir se connecter lorsque la migration sera terminée.

Lorsque vous constatez qu'un nombre suffisant de mots de passe a été migré ou que vous souhaitez annuler la migration, passez à la section suivante.

Finaliser une migration des mots de passe

Vous pouvez mettre fin à une migration de mots de passe de deux façons : la terminer pour désactiver l'authentification déléguée à AD pour l'ensemble des instances AD, ou annuler la migration et rétablir les modifications.

Terminer une migration de mots de passe

Au cours d'une migration, vous devez régulièrement consulter la page Groupes migrés. Lorsque vous constatez qu'un nombre suffisant de mots de passe a été migré, cliquez sur Terminer la campagne. Pour terminer la migration, vous devez effectuer les actions suivantes :

  • Désactiver l'authentification déléguée : l'authentification déléguée est désactivée pour l'instance AD.
  • Désactiver l'approvisionnement juste à temps (JIT) et la prise en charge du groupe de sécurité universel : l'approvisionnement JIT et le rechargement du profil pour l'instance AD sont désactivés. Cela s'explique par le fait que JIT se base sur l'authentification déléguée, qui est maintenant désactivée pour l'instance AD, et met fin à sa capacité d'approvisionner les utilisateurs.
  • Envoie des e-mails de réinitialisation de mot de passe : facultatif. Lorsque vous terminez une migration, sélectionnez l'option Créer un mot de passe Okta pour envoyer un e-mail de réinitialisation de mot de passe aux utilisateurs dont le mot de passe n'a pas été capturé pendant la migration. Cela permet de s'assurer que l'utilisateur pourra se connecter une fois la migration terminée. Sélectionner Ne pas créer de mot de passe Okta signifie que les utilisateurs dont les mots de passe n'ont pas été capturés pendant la migration devront contacter le support pour se connecter.

Les utilisateurs dont les mots de passe n'ont pas été migrés avec succès peuvent ne pas pouvoir accéder à leur messagerie professionnelle avant d'avoir réinitialisé leur mot de passe. Pour garantir que vos utilisateurs puissent accéder à leurs e-mails de réinitialisation de mot de passe, utilisez l'une des méthodes suivantes :

  • Envoyer les e-mails de réinitialisation du mot de passe à l'adresse e-mail secondaire de chaque utilisateur, qui doit être un compte personnel auquel ils peuvent accéder.
  • Autorisez les utilisateurs à s'authentifier auprès d'Okta en utilisant un facteur autre que le mot de passe.

Annuler une migration de mots de passe

Vous pouvez décider d'abandonner une migration de mot de passe déjà en cours. Pour ce faire, accédez à la page Migration des mots de passe et cliquez sur Annuler la campagne. Cela interrompt le processus de capture du mot de passe et ramène l'instance AD à son état avant le début de la migration.

Lorsque vous annulez une migration, tous les utilisateurs migrés dans les groupes sélectionnés sont réinitialisés, et leur type de connexion est rétabli à l'authentification déléguée.

Gérer les réinitialisations de mot de passe après la migration

Après une migration réussie, vos utilisateurs doivent savoir qu'ils doivent modifier leur mot de passe dans Okta.

Informez vos utilisateurs qu'ils doivent modifier leurs mots de passe dans Okta après la migration. Les modifications de mot de passe effectuées à partir de l'écran Sécurité de Windows (accessible en appuyant sur Ctrl+Alt+Suppr) ou par des méthodes similaires dans AD ne sont pas synchronisées avec Okta, ce qui entraîne des problèmes d'authentification en raison d'une incohérence entre les mots de passe Okta et AD de l'utilisateur.

Pour synchroniser les changements de mot de passe depuis Okta sur AD après la migration, sélectionnez Activer la synchronisation des mots de passe lorsque vous démarrez une migration. Une fois qu'un mot de passe a été migré vers Okta, toute réinitialisation de mot de passe initiée dans Okta est automatiquement synchronisée vers AD. Assurez-vous que votre politique de mot de passe AD est identique à celle d'Okta ou qu'elle est moins restrictive. Si AD rejette un mot de passe qu'Okta autorise, la synchronisation échoue.

Gérer les nouveaux utilisateurs après la migration

Lorsqu'une migration est terminée, l'approvisionnement JIT est désactivé. En effet, JIT se base sur l'authentification déléguée, qui est désactivée pour l'instance AD, et met fin à sa capacité d'approvisionner les utilisateurs. Gardez les points suivants à l'esprit lorsque vous créez des utilisateurs après la migration :

  • Un utilisateur doit exister dans Okta pour pouvoir se connecter.
  • Tous les nouveaux utilisateurs importés dans Okta après la migration doivent définir leur mot de passe lors de leur première connexion.

Rubrique liée

Permissions des rôles