Dette må du huske på når du integrerer Microsoft Office 365 i Okta

Dette må du huske på når du integrerer Microsoft Office 365 i Okta

Microsoft Office 365 integrasjonen er den mest brukte fra Okta sitt integrasjonsnettverk. Grunnet viktigheten av integrasjonen, og hvordan Office 365 fungerer, har vi beskrevet noen punkter som er verdt å huske på når du implementerer Office 365 med Okta.

Andreas er Cloud Architect i Cloudworks og Okta Technical Champion. Han hjelper kunder på deres digitale identitetsreise ved å designe og implementere komplekse IAM-løsninger. Disse er i stor grad automatiserte for å oppnå mest mulig innvirkning med minimal brukerfriksjon.

Punktene våre nedenfor er ikke ment å erstatte Okta sin allerede fullverdige dokumentasjon på Office 365 integrasjonen. Vår intensjon er kun å gi et ytterligere perspektiv basert på vår erfaring på området.

1. Det er ikke bare Office 365

Når du planlegger integrasjonen av et (eksisterende) Office 365-miljø med Okta, er det viktig å være klar over at det ikke bare er Office 365 som kan bli påvirket. Azure AD er identitetslageret til Office 365, så integrasjonen vil sannsynligvis påvirke Azure AD-tjenester som ikke er koblet til Office 365.

Eksempelvis vil en bruker av en Azure Enterprise-applikasjon også måtte logge seg på applikasjonen med Okta-kontoen sin fra det tidspunktet Office 365-kontoen er føderert med Okta. Azure AD vil i dette eksempelet fungere som en tjenesteleverandør. Det er vanligvis ikke noe problem, men det er viktig å være oppmerksom på konsekvensene og endringene når du flytter SSO til Okta.

I tillegg må enhver on-prem Active Directory som på noen måte er koblet til Okta og/eller Office 365, vurderes. Uavhengig av om Office 365 er koblet til AD via AzureAD Connect, er det noen alternativer som ikke er tilgjengelige ved klargjøring.¹

¹ Link til scenarier for klargjøring av Office 365 integrasjonen:
https://help.okta.com/en/prod/Content/Topics/Apps/Office365/References/provisioning-types.htm

2. Føderasjon er basert på innloggingsdomenet

Aktiveringen av føderasjon (SSO) i Office 365-integrasjonen har bred innvirkning på brukerkontoer i Office 365 og Azure AD. Føderasjon i Azure AD fungerer basert på et domenenivå. Det vil si at når føderasjon er aktivert for eksempelvis for custom.domain, vil alle brukere med UPN av <navn>@custom.domain bli forbundet til IDP, i dette tilfellet Okta.

Okta-Office365Eksempel på innstillinger i Azure AD domene. Et føderert domene og to “managed”. Sistnevnte betyr at de ikke er føderert.

For vanlige Office 365-brukere er dette selvfølgelig planlagt, og disse brukerne finnes vanligvis allerede i Okta. Gitt hvordan Office 365 og Azure AD er, gjelder dette også for brukere som ikke nødvendigvis eksisterer i Office 365, men eksisterer i Azure AD med samme tilpassede domene som brukernavnet. Eksempelvis gjelder dette tekniske, eksterne (ikke gjestebrukere) eller administratorkontoer. Før du aktiverer SSO i Okta Office 365-appen, er det derfor viktig å gjennomgå alle brukere i Azure AD og se om de finnes i Okta. Dersom de ikke gjør det må du enten inkludere dem, eller endre brukernavnet deres til et domene som ikke er føderert som standarden "<selskap>.onmicrosoft.com".

3. Det er viktig å importere, men kun én gang

I de fleste tilfeller vil ikke integrasjonen av Office 365 i Okta være for en ny instans, men en eksisterende, allerede konfigurert og voksende Office 365-instans. Deler av konfigurasjonen og informasjonen som ligger inne i Office 365 burde bli importert inn i Okta. Dette innebærer først og fremst å opprette lisenser til hver bruker, slik at de ikke risikerer at lisensene blir fjernet fra Office 365 når de er klargjort.

Dette gjelder også for koblingen av en brukerkonto i Okta og Office 365. Det er imidlertid et veldig viktig poeng å vurdere: import fra Office 365 til Okta er en engangsprosess. All informasjon som blir endret direkte i Office 365 etter import, vil ikke bli overført til Okta. Heller ikke om en annen importøkt kjører i mellomtiden. Dette kan du likevel løse ved å fjerne brukeren fra Office 365-appen i Okta (sørg for at alle klargjøringsalternativer er deaktivert) og importere og bekrefte brukeren på nytt.

4. Import fanger kun grunnleggende attributter

Importerte brukere fra Office 365 som ikke eksisterte i Okta fra før, inneholder ikke alle attributter som er inkludert når du synkroniserer en bruker den andre veien, fra Okta til O365. Okta kan synkronisere et utvidet sett med rundt 20 attributter med "user sync" eller enda mer med "universal sync" aktivert.² 

Den andre veien derimot, Office 365 -> Okta, vil alltid kun inneholde de fire grunnleggende attributtene; fornavn, etternavn, e-postadresse og brukernavn. Hvis ytterligere informasjon skal importeres fra Office 365 til Okta, må dette leveres fra enten en CSV-import (sørg for å bruke UTF-8 for spesialtegn) eller andre mekanismer som Powershell-skript og API-anrop.

5. Konklusjon

Det er enkelte ting du må vurdere når du kobler sammen Office 365 og Okta. Det er viktig å være oppmerksom på disse og kunne håndtere dem, for å unngå ubehagelige overraskelser under implementeringen. For å være på den sikre siden kan det være lurt å gjennomføre implementeringen i et test- og forhåndsvisningsmiljø før du endrer noen av produksjons-miljøene.

Hvis du ikke har et Office 365-testmiljø, tilbyr Microsoft gratis, tidsbegrensede Office 365-instans gjennom sitt Office Developer-program. Disse instansene har også prøvepakker tilgjengelig med flere eksempelbrukere og data.