问题描述
让我们假设我是一名管理员,为我的组织管理 Azure AD,拥有大约 3,000 名用户。所有这些 3k 用户都登录 Azure AD,并使用各种 Office365 服务,例如 Exchange Online、Microsoft Teams、Word Online 等。
现在,让我们说,对于 Okta 中的某些功能,我们选择将 Azure AD 与 Okta 联合,那么在以下场景中会发生什么:
- 假设 Azure AD 中有 3k 用户,Okta 中只有我,并且我联合 Azure AD,会发生什么?是不是在我们将 Azure AD 与 Okta 联合的那一刻,我们 Azure 域中的每个人都无法立即登录?或者是否有可能分阶段进行?
- 毕竟 3k 用户现在在 Okta 中也有一个帐户。我们能保持连续性吗?即,用户通过 Okta 登录 Azure AD 后,他们是否仍能在 Exchange Online、Teams 等中看到所有早期数据。
- 我假设会有一个映射程序来确保连续性?这是如何运作的?
解决方法
有几件事需要注意以确保零停机时间:
- AzureAD 需要从 Okta 传递两个属性 UPN(用户主体名称)和 ObjectGUID。如果您的 AzureAD 和 Okta 用户都来自本地 AD,您就可以了,否则您需要更新 AzureAD 用户以将值与 Okta 匹配。
- 与 Okta 联合后,默认情况下会禁用旧式身份验证。如果您需要它,请确保您更新客户端访问策略在 Okta 中相应更新
- 与 AzureAD 域联合是大爆炸,但如果您有多个域,则可以分阶段联合它们。
此处有更多详细信息:https://www.okta.com/resources/whitepaper/securing-office-365-with-okta/
谢谢