Exchange Hybride : Configuration d’Azure AD Connect et d’Okta


 

Dans les environnements Exchange Hybride, la gestion des identités réparties entre Exchange Online et Exchange On Premise ne peut pas être assurée uniquement par le Provisionning d’OKta.

L’éditeur précise par ailleurs que l’utilisation de Azure AD Connect dans un environnement Exchange Hybride est un pré-requis.

Ce document précise donc les paramétrages qu’il faut retenir pour que les deux outils de provisionning ne se « gênent pas ». Explication

Dans notre modèle, nous allons utiliser les fonctions d’OKTA pour permettre à l’utilisateur de se connecter sur Office 365 (Fonction IDP) et de se voir assigner des licences (E1, E3 etc..) en fonction du groupe AD dans lequel il sera positionné. Ces deux fonctions régaliennes seront de la responsabilité d’OKTA.

Azure AD connect sera quant à lui charger de gérer correctement l’identité hybride nécessaire au bon fonctionnement des interactions entre Exchange Online et Exchange sur site.

Deux produits indépendants

Les deux produits utilisent des cycles de synchronisation à différents moments de la journée. Par défaut Azure AD Connect synchronise les deux annuaires (Active Directory et Azure Active Directory) toutes les 30 Minutes. Okta de mémoire, utilise un cycle toutes les heures.

Le premier scénario que nous avions envisagé est de laisser Azure AD Connect créer le compte dans Azure AD, puis laisser Okta affecter la licence à ce dernier.

Figure 1 : Paramétrage avec Azure AD Connect

Cependant rien ne garantit dans la réalité que Azure Ad Connect sera le premier processus à synchroniser le compte dans Azure Active Directory.

 

Lors de nos différents essais nous avions paramétrés OKTA pour qu’il ne tente pas de créer le compte (que l’on supposait déjà présent via Azure AD connect), mais qu’il lui affecte uniquement la License 0365.

Cela fonctionne si Azure AD connect s’exécute en premier. Dans le cas contraire, OKTA génère une erreur car il ne peut pas trouver l’utilisateur dans Azure AD pour lequel il doit affecter une licence.

Ce mode n’est donc pas idéal car il demande une intervention manuelle pour chaque objet.

Le Paramétrage Correct

Le paramétrage correct consiste donc à laisser OKTA créer (ou pas) l’utilisateur. Dans ce mode, si OKTA constate que l’utilisateur pour lequel il doit affecter une licence O365 n’est pas présent alors il va procéder à sa création. Quelques minutes plus tard, une fois le cycle Azure AD connect terminé, le compte en question recevra les attributs et le format d’objet nécessaire au bon fonctionnement de son identité Exchange hybride.

Pour ce faire, vous devez configurer votre application OKTA Office 365 de la façon suivante

 

Ainsi si l’utilisateur est créé par Azure AD Connect en premier dans Azure AD alors, OKTA effectuera une mise à jour de l’objet pour lui affecter la licence et si l’utilisateur n’as pas été créé par Azure AD Connect en premier alors, OKTA procédera à sa création et lui affectera la licence. Les attributs nécessaires au mode Exchange Hybride seront gérés dans le prochain cycle d’Azure AD Connect.

Les tests que nous avons faits, montrent également que le décommissionnement de l’utilisateur fonctionne également

 

Laurent TERUIN / 31 05/2021

 

******************************************************************** ENGLISH VERSION *****************************************************************

In Hybrid Exchange environments, the management of identities distributed between Exchange Online and Exchange On Premise cannot be handled solely by OKta’s Provisioning.

The editor also specifies that the use of Azure AD Connect in a Hybrid Exchange environment is a prerequisite.

This document specifies the settings that must be retained so that the two provisioning tools do not « interfere » with each other. Explanation

In our model, we are going to use OKTA’s functions to allow the user to connect to Office 365 (IDP function) and to be assigned licenses (E1, E3, etc.) depending on the AD group in which he is positioned. These two functions will be the responsibility of OKTA.

Azure AD connect will be in charge of correctly managing the hybrid identity necessary for the smooth interaction between Exchange Online and Exchange on site.

Two independent products

Both products use synchronization cycles at different times of the day. By default Azure AD Connect synchronizes both directories (Active Directory and Azure Active Directory) every 30 Minutes. Okta from memory, uses a cycle every hour.

The first scenario we considered was to let Azure AD Connect create the account in Azure AD, then let Okta assign the license to it.

Figure 1 : Paramétrage avec Azure AD Connect

However, there is no guarantee that Azure Ad Connect will be the first process to synchronize the account in Azure Active Directory.

 

During our various tests we set up OKTA so that it does not attempt to create the account (which we assumed was already present via Azure AD connect), but only assigns it the License 0365.

This works if Azure AD connect runs first. If not, OKTA generates an error because it cannot find the user in Azure AD for whom it should assign a license.

This mode is not ideal because it requires manual intervention for each object.

The Correct Setting

The correct setting consists in letting OKTA create (or not) the user. In this mode, if OKTA notices that the user for whom it must assign an O365 license is not present, it will proceed to create it. A few minutes later, once the Azure AD connect cycle is complete, the account in question will receive the attributes and object format necessary for its hybrid Exchange identity to function properly.

To do this, you must configure your OKTA Office 365 application as follows

 

So if the user is created by Azure AD Connect first in Azure AD then OKTA will update the object to assign the license and if the user was not created by Azure AD Connect first then OKTA will create the user and assign the license. The attributes required for the Hybrid Exchange mode will be managed in the next cycle of Azure AD Connect.

The tests we have done also show that the decommissioning of the user also works

Votre commentaire

Choisissez une méthode de connexion pour poster votre commentaire:

Logo WordPress.com

Vous commentez à l’aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Google

Vous commentez à l’aide de votre compte Google. Déconnexion /  Changer )

Image Twitter

Vous commentez à l’aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l’aide de votre compte Facebook. Déconnexion /  Changer )

Connexion à %s