Vysvětlení fází migrace ověřování aplikací ze služby AD FS do Microsoft Entra ID
Microsoft Entra ID nabízí univerzální platformu identit, která vašim lidem, partnerům a zákazníkům poskytuje jedinou identitu pro přístup k aplikacím a spolupráci z libovolné platformy a zařízení. Microsoft Entra ID má úplnou sadu možností správy identit. Tyto výhody nabízí standardizace ověřování a autorizace vaší aplikace pro Microsoft Entra ID.
Typy aplikací, které se mají migrovat
Vaše aplikace můžou k ověřování používat moderní nebo starší protokoly. Při plánování migrace na Microsoft Entra ID zvažte migraci aplikací, které používají moderní ověřovací protokoly (například SAML a OpenID Připojení).
Tyto aplikace je možné překonfigurovat tak, aby se ověřily pomocí ID Microsoft Entra buď prostřednictvím integrovaného konektoru z galerie Aplikace Azure, nebo registrací vlastní aplikace v Microsoft Entra ID.
Aplikace, které používají starší protokoly, je možné integrovat pomocí proxy aplikací nebo některého z našich partnerů s zabezpečeným hybridním přístupem (SHA).
Další informace naleznete v tématu:
- Použití proxy aplikace Microsoft Entra k publikování místních aplikací pro vzdálené uživatele
- Co je správa aplikací?
- Sestava aktivit aplikace SLUŽBY AD FS pro migraci aplikací do Microsoft Entra ID
- Monitorování služby AD FS pomocí služby Microsoft Entra Připojení Health
Proces migrace
Během procesu přesunu ověřování aplikace na ID Microsoft Entra otestujte aplikace a konfiguraci. Než přejdete do produkčního prostředí, doporučujeme pro testování migrace i nadále používat stávající testovací prostředí. Pokud testovací prostředí není aktuálně dostupné, můžete ho nastavit pomocí služby Aplikace Azure service nebo virtuálních počítačů Azure v závislosti na architektuře aplikace.
Můžete se rozhodnout nastavit samostatného testovacího tenanta Microsoft Entra, na kterém se mají vyvíjet konfigurace aplikací.
Proces migrace může vypadat takto:
Fáze 1 – aktuální stav: Produkční aplikace se ověřuje ve službě AD FS.
Fáze 2 – (volitelné) Nasměrujte testovací instanci aplikace na testovacího tenanta Microsoft Entra.
Aktualizujte konfiguraci tak, aby odkazovat testovací instanci aplikace na testovacího tenanta Microsoft Entra, a proveďte požadované změny. Aplikaci můžete testovat s uživateli v testovacím tenantovi Microsoft Entra. Během procesu vývoje můžete použít nástroje, jako je Fiddler , k porovnání a ověření požadavků a odpovědí.
Pokud není možné nastavit samostatného testovacího tenanta, přeskočte tuto fázi a nasměrujte testovací instanci aplikace do produkčního tenanta Microsoft Entra, jak je popsáno v následující fázi 3.
Fáze 3 – nasměrování testovací instance aplikace na produkčního tenanta Microsoft Entra
Aktualizujte konfiguraci tak, aby odkazovat testovací instanci aplikace na produkčního tenanta Microsoft Entra. Teď můžete testovat s uživateli ve vašem produkčním tenantovi. V případě potřeby si projděte část tohoto článku o přechodu uživatelů.
Fáze 4 – nasměrování produkční aplikace na produkčního tenanta Microsoft Entra
Aktualizujte konfiguraci produkční aplikace tak, aby odkazovat na produkčního tenanta Microsoft Entra.
Aplikace, které se ověřují pomocí služby AD FS, můžou pro oprávnění používat skupiny služby Active Directory. Před zahájením migrace použijte Microsoft Entra Připojení Sync k synchronizaci dat identity mezi místním prostředím a ID Microsoft Entra. Před migrací ověřte tyto skupiny a členství, abyste při migraci aplikace mohli udělit přístup stejným uživatelům.
Obchodní aplikace
Obchodní aplikace jsou aplikace, které vaše organizace vyvinula, nebo aplikace, které jsou standardním zabaleným produktem.
Obchodní aplikace, které používají OAuth 2.0, OpenID Připojení nebo WS-Federation, je možné integrovat s Microsoft Entra ID jako registrace aplikací. Integrujte vlastní aplikace, které používají SAML 2.0 nebo WS-Federation jako aplikace mimo galerii, na stránce podnikových aplikací v Centru pro správu Microsoft Entra.