Tänk på detta när du integrerar Microsoft Office 365 i Okta

Microsoft Office 365-integrationen är den mest använda från Oktas integrationsnätverk. På grund av integrationens betydelse, och hur Office 365 fungerar, har vi beskrivit några saker som är värda att tänka på när du implementerar Office 365 med Okta.

Andreas Faltin
12. september 2021

Andreas är molnarkitekt i Cloudworks och Okta Technical Champion. Han hjälper kunder på deras digitala identitetsresa genom att designa och implementera komplexa IAM-lösningar. Dessa har en hög grad av automatisering för att uppnå hög effekt med minimal användarfriktion.

Listan nedan är inte avsedd att ersätta Oktas redan fullvärdiga dokumentation av Office 365-integrationen. Vår avsikt är helt enkelt ett extra perspektiv baserat på vår erfarenhet från fältet.

1. Inte bara Office 365

När man planerar integrationen av en (befintlig) Office 365-miljö med Okta är det viktigt att vara medveten om att det inte bara är Office 365 som kan komma att påverkas. Azure AD är identitetsarkivet i Office 365, så integrationen kommer sannolikt att påverka Azure AD-tjänster som inte är kopplade till Office 365.

Exempelvis kommer en användare av en Azure Enterprise Application i samband med att Office 365-kontot federeras med Okta också att behöva logga med Okta-kontot för att använda programmet. Azure AD kommer att fungera som en tjänsteleverantör i det här exemplet, och det är vanligtvis inga problem med detta, men det är viktigt att vara medveten om effekterna och förändringarna när du flyttar SSO till Okta.

Utöver det måste alla lokala Active Directory som är anslutna på något sätt till Okta och/eller Office 365 beaktas. Oavsett om Office 365 är ansluten till AD via AzureAD Connect eller inte finns det vissa alternativ som inte är tillgängliga när det gäller provisionering.¹

¹ Länk till provisioneringsscenarierna i Office 365-integrationen:
https://help.okta.com/en/prod/Content/Topics/Apps/Office365/References/provisioning-types.htm

2. Federationen baseras på inloggningsdomän

Aktiveringen av federation (SSO) i Office 365-integrationen har stor inverkan på användarkonton i Office 365 och Azure AD. Federation i Azure AD fungerar baserat på domännivå. Det betyder att när federation har aktiverats för – till exempel custom.domain – kommer alla användare med UPN:et <namn>@custom.domain att federeras till IDP, i detta fall Okta.

Okta-Office365 Eksempel på innstillinger i Azure AD domene. Et føderert domene og to “managed”. Sistnevnte betyr at de ikke er føderert.

För vanliga Office 365-användare är det såklart planerat och vanligtvis finns de användarna redan i Okta. Men med tanke på Office 365 och Azure ADs natur gäller detta även för användare som kanske inte ens finns i Office 365 men som finns i Azure AD med samma anpassade domän som användarnamnet, såsom tekniska, externa (inte gästanvändare) eller administratörskonton . Så innan du aktiverar SSO i Okta Office 365-appen är det viktigt att gå igenom alla användare i Azure AD och kontrollera om de finns i Okta och – om de inte gör det – antingen onboarda dem eller ändra deras användarnamn till en domän som inte är federerad, till exempel i enlighet med standarden “<company>.onmicrosoft.com”.

3. Det är viktigt att importera, men bara en gång

I de flesta scenarier är integreringen av Office 365 i Okta inte av en ny tenant, utan en befintlig – redan konfigurerad och växande – Office 365-tenant. Delar av konfigurationen och informationen som finns i Office 365 ska importeras till Okta. Det innebär i första hand import av licensinställningen för befintliga användare för att säkerställa att aktivering av provisioneringen inte tar bort befintliga licenser men även länkningen användarkonto i Okta med det i O365.

Det finns dock en mycket viktig punkt att tänka på: Importen från Office 365 till Okta är en engångsprocess. Eventuell information som ändras direkt i Office 365 efter importen överförs inte till Okta - inte ens om en annan importsession körs under tiden. Du kan dock lösa detta genom att ta bort användaren från Office 365-appen i Okta (se till att alla provisioneringsalternativ är inaktiverade) och återimportera och verifiera användaren.

4. Import fångar bara grundläggande attribut

Import av användare från Office 365 som tidigare inte fanns i Okta, inkluderar inte alla attribut som ingår när du synkroniserar en användare åt andra hållet, från Okta till O365. Okta kan synkronisera en utökad uppsättning av cirka 20 attribut med “user sync” eller ännu fler med "universal sync" aktiverad.

Den andra riktningen Office 365 -> Okta kommer dock alltid bara beröra de fyra grundläggande attributen Förnamn, Efternamn, E-post och Användarnamn. Om det finns mer information som behöver importeras från Office 365 till Okta måste denna tillhandahållas av antingen en CSV-import (se till att använda UTF-8 för specialtecken) eller andra mekanismer, som ett Powershell-skript eller API-anrop.

² Tillgängliga attribut för synkronisering: https://help.okta.com/en/prod/Content/Topics/Apps/Office365/References/O365_Supported_User_Attributes.htm

5. Slutsats

Det finns några saker att tänka på när du ansluter Office 365 och Okta. Det är viktigt att vara medveten om dessa och kunna hantera dem för att undvika obehagliga överraskningar under genomförandet. För att vara på den säkra sidan kan det vara klokt att genomföra implementeringen i en test- och förhandsgranskningsmiljö innan du ändrar någon av produktionsmiljöerna.

Om du inte har en testmiljö för Office 365 erbjuder Microsoft kostnadsfria, tidsbegränsade Office 365-tenants genom sitt Office Developer-program. Dessa tenants har också ett urval av exempelanvändare och -data tillgängliga.