Dette skal du huske, når du integrerer Microsoft Office 365 i Okta

Microsoft Office 365-integrationen er den mest anvendte fra Oktas integrationsnetværk. På grund af vigtigheden af integration, og hvordan Office 365 fungerer, har vi beskrevet nogle punkter, der er værd at huske på, når du implementerer Office 365 med Okta.

Andreas Faltin
14. september 2021

Andreas er Cloud Architect i Cloudworks og Okta Technical Champion. Han hjælper kunder på deres digitale identitetsrejse ved at designe og implementere komplekse IAM-løsninger. Disse er i stor grad automatiseret for at opnå mest effekt med minimal brugerfriktion.

Vores punkter nedenfor er ikke beregnet til at erstatte Oktas allerede fuldgyldige dokumentation af Office 365-integrationen. Vores intension er kun at give et yderligere perspektiv baseret på vores erfaring på området.

1. Det er ikke kun Office 365

Når du planlægger integrationen af et (eksisterende) Office 365-miljø med Okta, er det vigtigt at være klar over, at det ikke kun er Office 365, der kan blive påvirket. Azure AD er identitetslageret i Office 365, så integrationen vil sandsynligvis påvirke Azure AD-tjenester, der ikke er koblet til Office 365.

For eksempel skal en bruger af en Azure Enterprise-applikation også skulle logge sig på applikationen med sin Okta-konto fra det tidspunkt, hvor Office 365-kontoen er føderet med Okta. Azure AD vil i dette eksempel fungere som en tjenesteleverandør. Det er normalt ikke et problem, men det er vigtigt at være opmærksom på konsekvenserne og ændringerne, når man flytter SSO til Okta.

Hertil kommer, at alle on-prem Active Directory, som på nogen måde er koblet til Okta og/eller Office 365, vurderes. Uanset om Office 365 er koblet til AD via AzureAD Connect, så er der nogle alternativer, der ikke er tilgængelige under klargøring. ¹

¹ Link til scenarier for klargjøring af Office 365 integrationen:
https://help.okta.com/en/prod/Content/Topics/Apps/Office365/References/provisioning-types.htm

2. Føderation er baseret på logindomænet

Aktiveringen af føderation (SSO) i Office 365-integrationen har bred indvirkning på brugerkonti i Office 365 og Azure AD. Føderation i Azure AD fungerer baseret på et domæneniveau. Det vil sige, at når føderationen er aktiveret for eksempel for custom.domain, vil alle brugere med UPN af <navn>@custom.domain være forbundet til IDP, i dette tilfælde Okta.

Okta-Office365 Eksempel på indstillinger i Azure AD domæne. Et føderet domæne og to “managed". Sidstnævnte betyder, at de ikke er føderet.

Selvfølgelig er dette planlagt for almindelige Office 365-brugere, og disse brugere er normalt allerede i Okta. I betragtning af hvordan Office 365 og Azure AD er, gælder dette også for brugere, der ikke nødvendigvis findes i Office 365, men findes i Azure AD med det samme tilpassede domæne som deres brugernavn. For eksempel gælder dette tekniske, eksterne (ikke gæstebrugere) eller administratorkonti. Før du aktiverer SSO i Okta Office 365-appen, er det derfor vigtigt at gennemgå alle brugere i Azure AD og se, om de findes i Okta. Hvis de ikke gør det, skal du enten inkludere dem eller ændre deres brugernavn til et domæne, der ikke er føderet som standarden "< firma>.onmicrosoft.com".

3. Det er vigtigt at importere, men kun én gang

I de fleste tilfælde vil integrationen af Office 365 i Okta ikke være for en ny instans, men en eksisterende, allerede konfigureret og voksende Office 365-instans. En del af konfigurationen og oplysningerne, der findes inde i Office 365, burde blive importeret til Okta. Dette indebærer først og fremmest oprettelse af licenser til hver bruger, så de ikke risikerer, at deres licenser fjernes fra Office 365, når de er klargjort.

Dette gælder også for sammenkædning af en brugerkonto i Okta og Office 365. Der er imidlertid et meget vigtigt punkt at overveje: Import fra Office 365 til Okta er en engangsproces. Alle oplysninger, der ændres direkte i Office 365 efter importen, overføres ikke til Okta. Heller ikke hvis der i mellemtiden kører en anden importsession. Dette kan du dog løse ved at fjerne brugeren fra Office 365-appen i Okta (sørg for at alle klargøringsalternativer er deaktiverede) og importere og bekræfte brugeren på ny.

4. Import fanger kun grundlæggende attributter

Importerede brugere fra Office 365, der ikke eksisterede i Okta fra før, indeholder ikke alle attributter, som er inkluderet, når du synkroniserer en bruger den andre vej, fra Okta til Office 365. Okta kan synkronisere et udvidet sæt med omkring 20 attributter med "user sync" eller endnu mere med "universal sync" aktiveret. ²

Den anden vej, Office 365 -> Okta, vil derimod altid kun indeholde de fire grundlæggende attributter; fornavn, efternavn, e-mailadresse og brugernavn. Hvis yderligere oplysninger skal importeres fra Office 365 til Okta, må dette leveres fra enten en CSV-import (Sørg for at bruge UTF-8 til specialtegn) eller andre mekanismer som PowerShell-scripts og API-kald.

² Tilgængelige attributter for synkronisering: https://help.okta.com/en/prod/Content/Topics/Apps/Office365/References/O365_Supported_User_Attributes.htm

5. Konklusion

Der er enkelte ting, du skal overveje, når du sammenkobler Office 365 og Okta. Det er vigtigt at være opmærksom på disse og være i stand til at håndtere dem for at undgå ubehagelige overraskelser under implementeringen. For at være på den sikre side kan det være klogt at gennemføre implementeringen i et test- og forhåndsvisningsmiljø før du ændrer nogle af produktionsmiljøerne.

Hvis du ikke har et Office 365-testmiljø, tilbyder Microsoft gratis, tidsbegrænsede Office 365-instanser gennem sit Office Developer-program. Disse instanser har også eksempelpakker tilgængelige med flere eksempelbrugere og data.