Usare Migrazione delle applicazioni AD FS per spostare le app AD FS in Microsoft Entra ID
Questo articolo illustra come eseguire la migrazione delle applicazioni Active Directory Federation Services (AD FS) a Microsoft Entra ID usando Migrazione delle applicazioni AD FS.
Migrazione delle applicazioni AD FS offre agli amministratori IT un'esperienza guidata per eseguire la migrazione di applicazioni relying party AD FS da AD FS a Microsoft Entra ID. La procedura guidata offre un'esperienza unificata per individuare, valutare e configurare una nuova applicazione Microsoft Entra. Fornisce una configurazione con un clic per gli URL SAML di base, il mapping delle attestazioni e le assegnazioni utente per integrare l'applicazione con Microsoft Entra ID.
Lo strumento Migrazione delle applicazioni AD FS è progettato per fornire supporto end-to-end per la migrazione delle applicazioni AD FS locali a Microsoft Entra ID.
Con Migrazione delle applicazioni AD FS è possibile:
- Valutare le attività di accesso delle applicazioni relying party AD FS, che consente di identificare l'utilizzo e l'impatto delle applicazioni specifiche.
- Analizzare la fattibilità della migrazione da AD FS a Microsoft Entra che consente di identificare i blocchi o le azioni di migrazione necessari per eseguire la migrazione delle applicazioni alla piattaforma Microsoft Entra.
- Configurare una nuova applicazione Microsoft Entra usando il processo di migrazione delle applicazioni con un clic, che configura automaticamente una nuova applicazione Microsoft Entra per l'applicazione AD FS specificata.
Prerequisiti
Per usare Migrazione delle applicazioni AD FS:
- L'organizzazione deve attualmente usare AD FS per accedere alle applicazioni.
- Si dispone di una licenza Microsoft Entra ID P1 o P2.
- All'utente deve essere assegnato uno dei ruoli seguenti:
- Amministratore applicazione cloud
- Amministratore di applicazioni
- Lettore globale (accesso in sola lettura)
- Lettore report (accesso in sola lettura)
- Microsoft Entra Connect deve essere installato negli ambienti locali, insieme agli agenti di integrità Microsoft Entra Connect Health per AD FS.
Esistono due motivi per cui non verranno visualizzate tutte le applicazioni previste dopo aver installato gli agenti di Microsoft Entra Connect Health per AD FS:
- Il dashboard di Migrazione delle applicazioni AD FS mostra solo le applicazioni AD FS che hanno registrato accessi utente negli ultimi 30 giorni.
- Le applicazioni relying party AD FS correlate a Microsoft non sono disponibili nel dashboard.
Visualizzare il dashboard di migrazione delle applicazioni AD FS in Microsoft Entra ID
Il dashboard di Migrazione delle applicazioni AD FS è disponibile nell'interfaccia di amministrazione di Microsoft Entra in Utilizzo e informazioni dettagliate. Esistono due punti di ingresso per la procedura guidata:
Dalla sezione Applicazioni aziendali:
- Accedere all'Interfaccia di amministrazione di Microsoft Entra almeno come Amministratore applicazione cloud.
- Passare a Identità>Applicazioni>Applicazioni aziendali.
- In Utilizzo e informazioni dettagliate selezionare Migrazione delle applicazioni AD FS per accedere al dashboard di Migrazione delle applicazioni AD FS.
Dalla sezione Monitoraggio e integrità:
- Accedere all'Interfaccia di amministrazione di Microsoft Entra almeno come Amministratore applicazione cloud.
- Passare a Identità>Monitoraggio e integrità>Applicazioni aziendali.
- In Gestisci selezionare Utilizzo e informazioni dettagliate e quindi selezionare Migrazione delle applicazioni AD FS per accedere al dashboard di Migrazione delle applicazioni AD FS.
Il dashboard di Migrazione delle applicazioni AD FS mostra l'elenco di tutte le applicazioni relying party AD FS che hanno riscontrato attivamente traffico di accesso negli ultimi 30 giorni.
Il dashboard offre il filtro dell'intervallo di date. Il filtro consente di selezionare tutte le applicazioni relying party AD FS attive in base all'intervallo di tempo selezionato. Il filtro supporta l'ultimo giorno, gli ultimi 7 giorni e gli ultimi 30 giorni.
Sono disponibili tre schede che forniscono l'elenco completo delle applicazioni, le applicazioni configurabili e le applicazioni configurate in precedenza. Da questo dashboard viene visualizzata una panoramica dello stato generale del processo di migrazione.
Le tre schede nel dashboard sono:
- Tutte le app: mostra l'elenco di tutte le applicazioni individuate nell'ambiente locale.
- Pronte per la migrazione: mostra l'elenco di tutte le applicazioni con stato di migrazione Pronto o Verifica necessaria.
- Pronte per la configurazione: mostra l'elenco di tutte le applicazioni Microsoft Entra di cui è stata eseguita la migrazione in precedenza tramite la migrazione guidata delle applicazioni AD FS.
Stato di migrazione delle applicazioni
Gli agenti di Microsoft Entra Connect e Microsoft Entra Connect Health per AD FS leggono le configurazioni delle applicazioni relying party AD FS e i log di controllo di accesso. Questi dati sulle applicazioni AD FS vengono analizzati per determinare se è possibile eseguirne la migrazione così come sono o se è necessaria una verifica aggiuntiva. In base al risultato di questa analisi, lo stato della migrazione per l'applicazione specificata viene indicato come uno degli stati seguenti:
- Pronta per la migrazione significa che la configurazione dell'applicazione AD FS è completamente supportata in Microsoft Entra ID e può essere spostata così come è.
- Verifica necessaria significa che è possibile eseguire la migrazione di alcune impostazioni dell'applicazione a Microsoft Entra ID, ma è necessario esaminare le impostazioni che non possono essere trasferite così come sono. Tuttavia, questi non sono fattori che bloccano la migrazione.
- Sono necessari passaggi aggiuntivi indica che Microsoft Entra ID non supporta alcune impostazioni dell'applicazione, quindi non è possibile eseguire la migrazione dell'applicazione nello stato corrente.
Ora verrà esaminata ogni scheda nel dashboard di Migrazione delle applicazioni AD FS in modo più dettagliato.
Scheda Tutte le app
La scheda Tutte le app mostra tutte le applicazioni relying party AD FS attive nell'intervallo di date selezionato. L'utente può analizzare l'impatto di ogni applicazione usando i dati di accesso aggregati. Può anche passare al riquadro dei dettagli usando il collegamento Stato di migrazione.
Per visualizzare i dettagli su ogni regola di convalida, vedere Regole di convalida della migrazione delle applicazioni AD FS.
Selezionare un messaggio per aprire i dettagli aggiuntivi della regola di migrazione. Per un elenco completo delle proprietà testate, vedere la tabella dei test di configurazione seguente.
Controllare i risultati dei test delle regole attestazioni
Se è stata configurata una regola attestazione per l'applicazione in AD FS, l'esperienza fornisce un'analisi granulare di tutte le regole attestazioni. Vengono visualizzate le regole attestazioni che è possibile spostare in Microsoft Entra ID e quali richiedono un'ulteriore verifica.
- Selezionare un'app dall'elenco di app nella scheda Tutte le app e quindi selezionare lo stato nella colonna Stato di migrazione per visualizzare i dettagli della migrazione. Verrà visualizzato un riepilogo dei test di configurazione superati, insieme a eventuali potenziali problemi di migrazione.
- Nella pagina Dettagli della regola di migrazione espandere i risultati per visualizzare i dettagli sui potenziali problemi di migrazione e ottenere indicazioni aggiuntive. Per un elenco dettagliato di tutte le regole attestazioni testate, vedere la sezione Test delle regole attestazioni in questo articolo.
Nell'esempio seguente vengono illustrati i dettagli della regola di migrazione per la regola IssuanceTransform. Elenca le parti specifiche dell'attestazione che devono essere verificate e corrette prima di poter eseguire la migrazione dell'applicazione a Microsoft Entra ID.
Test delle regole attestazioni
Nella tabella seguente sono elencati tutti i test delle regole attestazioni eseguiti nelle applicazioni AD FS.
Proprietà | Descrizione |
---|---|
UNSUPPORTED_CONDITION_PARAMETER | L'istruzione condizionale usa espressioni regolari per valutare se l'attestazione corrisponde a un determinato criterio. Per ottenere una funzionalità simile in Microsoft Entra ID, è possibile usare una trasformazione predefinita, ad esempio IfEmpty(), StartWith(), Contains(), tra le altre. Per altre informazioni, vedere Personalizzare le attestazioni rilasciate nel token SAML per le applicazioni aziendali. |
UNSUPPORTED_CONDITION_CLASS | L'istruzione condizionale presenta più condizioni che devono essere valutate prima di eseguire l'istruzione di rilascio. Microsoft Entra ID può supportare questa funzionalità con le funzioni di trasformazione dell'attestazione in cui è possibile valutare più valori attestazioni. Per altre informazioni, vedere Personalizzare le attestazioni rilasciate nel token SAML per le applicazioni aziendali. |
UNSUPPORTED_RULE_TYPE | Non è possibile riconoscere la regola di attestazione. Per altre informazioni su come configurare le attestazioni in Microsoft Entra ID, vedere Personalizzare le attestazioni rilasciate nel token SAML per le applicazioni aziendali. |
CONDITION_MATCHES_UNSUPPORTED_ISSUER | L'istruzione condizionale usa un emittente non supportato in Microsoft Entra ID. Attualmente, Microsoft Entra non acquisisce le attestazioni da archivi diversi da Active Directory o Microsoft Entra ID. Se questo impedisce la migrazione delle applicazioni a Microsoft Entra ID, inviare una segnalazione. |
UNSUPPORTED_CONDITION_FUNCTION | L'istruzione condizionale usa una funzione di aggregazione per rilasciare o aggiungere una singola attestazione indipendentemente dal numero di corrispondenze. In Microsoft Entra ID è possibile valutare l'attributo di un utente per decidere quale valore usare per l'attestazione con funzioni come IfEmpty(), StartWith(), Contains(), tra le altre. Per altre informazioni, vedere Personalizzare le attestazioni rilasciate nel token SAML per le applicazioni aziendali. |
RESTRICTED_CLAIM_ISSUED | L'istruzione condizionale usa un'attestazione con restrizioni in Microsoft Entra ID. Potrebbe essere possibile rilasciare un'attestazione con restrizioni, ma non è possibile modificarne l'origine o applicare alcuna trasformazione. Per altre informazioni, vedere Personalizzare le attestazioni generate nei token per un'app specifica in Microsoft Entra ID. |
EXTERNAL_ATTRIBUTE_STORE | L'istruzione di rilascio usa un archivio attributi diverso da Active Directory. Attualmente, Microsoft Entra non acquisisce le attestazioni da archivi diversi da Active Directory o Microsoft Entra ID. Se questo risultato impedisce la migrazione delle applicazioni a Microsoft Entra ID, inviare una segnalazione. |
UNSUPPORTED_ISSUANCE_CLASS | L'istruzione di rilascio usa ADD per aggiungere attestazioni al set di attestazioni in ingresso. In Microsoft Entra ID questa funzionalità può essere configurata come più trasformazioni di attestazioni. Per altre informazioni, vedere Personalizzare le attestazioni rilasciate nel token SAML per le applicazioni aziendali. |
UNSUPPORTED_ISSUANCE_TRANSFORMATION | L'istruzione di rilascio usa espressioni regolari per trasformare il valore dell'attestazione da rilasciare. Per ottenere una funzionalità simile in Microsoft Entra ID, è possibile usare le trasformazioni predefinite, ad esempio Extract() , Trim() e ToLower() . Per altre informazioni, vedere Personalizzare le attestazioni rilasciate nel token SAML per le applicazioni aziendali. |
Scheda Pronte per la migrazione
La scheda Pronte per la migrazione mostra tutte le applicazioni con stato di migrazione Pronto o Verifica necessaria.
È possibile usare i dati di accesso per identificare l'impatto di ogni applicazione e selezionare le applicazioni appropriate per la migrazione. Selezionare il collegamento Inizia migrazione per avviare il processo assistito di migrazione delle applicazioni con un clic.
Scheda Pronte per la configurazione
Questa scheda mostra l'elenco di tutte le applicazioni Microsoft Entra di cui è stata eseguita la migrazione in precedenza tramite la migrazione guidata delle applicazioni AD FS.
Il Nome dell'applicazione è il nome della nuova applicazione Microsoft Entra. L'identificatore dell'applicazione è uguale all'identificatore dell'applicazione relying party AD FS che può essere usato per correlare l'applicazione con l'ambiente AD FS. Il collegamento Configura l'applicazione in Microsoft Entra consente di passare all'applicazione Microsoft Entra appena configurata all'interno della sezione Applicazioni aziendali.
Eseguire la migrazione di un'app da AD FS a Microsoft Entra ID con la migrazione guidata delle applicazioni AD FS
- Per avviare la migrazione dell'applicazione, selezionare il collegamento Inizia migrazione per l'applicazione di cui si vuole eseguire la migrazione dalla scheda Pronte per la migrazione.
- Il collegamento reindirizza l'utente alla sezione Migrazione assistita delle applicazioni con un clic della migrazione guidata delle applicazioni AD FS. Tutte le configurazioni della procedura guidata vengono importate dall'ambiente AD FS locale.
Prima di esaminare i dettagli delle varie schede della procedura guidata, è importante comprendere quali sono le configurazioni supportate e quelle non supportate.
Configurazioni supportate
La migrazione assistita delle applicazioni AD FS supporta le configurazioni seguenti:
- Supporta solo la configurazione delle applicazioni SAML.
- Opzione per personalizzare il nome della nuova applicazione Microsoft Entra.
- Consente agli utenti di selezionare qualsiasi modello di applicazione dalla raccolta di modelli di applicazione.
- Configurazione delle impostazioni di base dell'applicazione SAML, ovvero identificatore e URL di risposta.
- Configurazione dell'applicazione Microsoft Entra per consentire tutti gli utenti del tenant.
- Assegnazione automatica di gruppi all'applicazione Microsoft Entra.
- Configurazione delle attestazioni compatibili con Microsoft Entra estratte dalle configurazioni delle attestazioni della relying party AD FS.
Configurazioni non supportate:
Migrazione delle applicazioni AD FS non supporta le configurazioni seguenti:
- Le configurazioni OIDC (OpenID Connect), OAuth e WS-Fed non sono supportate.
- La configurazione automatica dei criteri di accesso condizionale non è supportata, ma l'utente può procedere manualmente dopo la configurazione della nuova applicazione nel tenant.
- Il certificato di firma non viene trasferito dall'applicazione relying party AD FS. Nella migrazione guidata delle applicazioni AD FS sono disponibili le schede seguenti:
Verranno ora illustrati i dettagli di ogni scheda nella sezione Migrazione assistita delle applicazioni con un clic della migrazione guidata delle applicazioni AD FS
Scheda Informazioni di base
- Nome dell'applicazione prepopolato con il nome dell'applicazione della relying party AD FS. È possibile usarlo come nome per la nuova applicazione Microsoft Entra. È anche possibile modificare il nome con qualsiasi altro valore preferito.
- Modello di applicazione. Selezionare il modello di applicazione più adatto per l'applicazione corrente. È possibile ignorare questa opzione se non si vuole usare alcun modello.
Scheda Utenti e gruppi
La configurazione con un clic assegna automaticamente all'applicazione Microsoft Entra gli utenti e i gruppi corrispondenti alla configurazione locale.
Tutti i gruppi vengono estratti dai criteri di controllo di accesso dell'applicazione relying party AD FS. I gruppi devono essere sincronizzati nel tenant di Microsoft Entra usando gli agenti di Microsoft Entra Connect. Nel caso in cui i gruppi siano mappati all'applicazione relying party AD FS, ma non sono sincronizzati con il tenant di Microsoft Entra. Questi gruppi vengono ignorati dalla configurazione.
La configurazione assistita di utenti e gruppi supporta le configurazioni seguenti dall'ambiente AD FS locale:
- Consenti chiunque dal tenant.
- Consenti gruppi specifici.
Questi sono gli utenti e i gruppi che è possibile visualizzare nella configurazione guidata. Si tratta di una visualizzazione di sola lettura e quindi non è possibile apportare modifiche a questa sezione.
Scheda Configurazioni SAML
Questa scheda mostra le proprietà SAML di base usate per le impostazioni di accesso Single Sign-On dell'applicazione Microsoft Entra. Attualmente vengono mappate solo le proprietà obbligatorie, ovvero Identificatore e URL di risposta.
Queste impostazioni vengono implementate direttamente dall'applicazione relying party AD FS e non possono essere modificate da questa scheda. Tuttavia, dopo aver configurato l'applicazione, è possibile modificarle dal riquadro Single Sign-On dell'interfaccia di amministrazione di Microsoft Entra dell'applicazione aziendale.
Scheda Attestazioni
Tutte le attestazioni AD FS non vengono convertite così come sono nelle attestazioni di Microsoft Entra. La migrazione guidata supporta solo attestazioni specifiche. Qualora manchino alcune attestazioni, è possibile configurarle nell'applicazione aziendale trasferita nell'interfaccia di amministrazione di Microsoft Entra.
Nel caso in cui nell'applicazione relying party AD FS sia configurata un'attestazione nameidentifier
supportata in Microsoft Entra ID, viene quindi configurata come nameidentifier
. In caso contrario, viene usata user.userprincipalname
come attestazione nameidentifier predefinita.
Si tratta di una visualizzazione di sola lettura e quindi non è possibile apportare modifiche qui.
Scheda Passaggi successivi
Questa scheda fornisce informazioni sulle verifiche o i passaggi successivi previsti dal lato dell'utente. L'esempio seguente mostra l'elenco delle configurazioni che non sono supportate in Microsoft Entra ID per questa applicazione relying party AD FS.
Da questa scheda è possibile accedere alla documentazione pertinente per analizzare e comprendere i problemi.
Scheda Rivedi e crea
Questa scheda mostra il riepilogo di tutte le configurazioni visualizzate nelle schede precedenti. È possibile verificarle ancora una volta. Se si è soddisfatti di tutte le configurazioni e si vuole procedere con la migrazione dell'applicazione, selezionare il pulsante Crea per avviare il processo di migrazione. In questo modo viene eseguita la migrazione della nuova applicazione nel tenant di Microsoft Entra.
La migrazione dell'applicazione è attualmente un processo in nove passaggi che è possibile monitorare tramite le notifiche. Il flusso di lavoro completa le azioni seguenti:
- Crea una registrazione dell'applicazione
- Crea un'entità servizio
- Configura le impostazioni SAML
- Assegna utenti e gruppi all'applicazione
- Configura le attestazioni
Al termine del processo di migrazione, viene visualizzato un messaggio di notifica che indica Migrazione dell'applicazione riuscita.
Al termine della migrazione dell'applicazione, si viene reindirizzati alla scheda Pronte per la configurazione in cui vengono visualizzate tutte le applicazioni di cui è stata eseguita la migrazione in precedenza, incluse quelle più recenti configurate.
Verificare e configurare l'applicazione aziendale
Nella scheda Pronte per la configurazione è possibile usare il collegamento Configura l'applicazione in Microsoft Entra per passare all'applicazione appena configurata nella sezione "Applicazioni aziendali". Per impostazione predefinita, passa alla pagina Accesso basato su SAML dell'applicazione.
Dal riquadro Accesso basato su SAML tutte le impostazioni dell'applicazione relying party AD FS sono già applicate all'applicazione Microsoft Entra appena trasferita. Le proprietà Identificatore e URL di risposta dalla Configurazione SAML di base e l'elenco di attestazioni dalle schede Attributi e attestazioni della migrazione guidata delle applicazioni AD FS corrispondono a quelle dell'applicazione aziendale.
Dal riquadro Proprietà dell'applicazione, il logo del modello di applicazione implica che l'applicazione è collegata al modello di applicazione selezionato. Nella pagina Proprietari l'utente amministratore corrente viene aggiunto come uno dei proprietari dell'applicazione.
Nel riquadro Utenti e gruppi tutti gli utenti e i gruppi necessari sono già assegnati all'applicazione.
Dopo aver esaminato l'applicazione aziendale di cui è stata eseguita la migrazione, è possibile aggiornare l'applicazione in base alle esigenze aziendali. È possibile aggiungere o aggiornare attestazioni, assegnare più utenti e gruppi o configurare criteri di accesso condizionale per abilitare il supporto per l'autenticazione a più fattori o altre funzionalità di autorizzazione condizionale.
Rollback
La configurazione con un clic della migrazione guidata delle applicazioni AD FS esegue la migrazione della nuova applicazione nel tenant di Microsoft Entra. Tuttavia, l'applicazione trasferita rimane inattiva fino a quando il traffico di accesso non viene indirizzato a essa. Fino ad allora, se si vuole eseguire il rollback, è possibile eliminare l'applicazione Microsoft Entra appena trasferita dal tenant.
La procedura guidata non fornisce alcuna opzione di pulizia automatica. Se non si vuole procedere con la configurazione dell'applicazione trasferita, è necessario eliminare manualmente l'applicazione dal tenant. Per istruzioni su come eliminare una registrazione dell'applicazione e l'applicazione aziendale corrispondente, vedere gli URL seguenti:
Suggerimenti per la risoluzione dei problemi
Non è possibile visualizzare tutte le applicazioni AD FS nel report
Se sono stati installati agenti di Microsoft Entra Connect Health per AD FS, ma viene comunque visualizzata la richiesta per installarli o non vengono visualizzate tutte le applicazioni AD FS nel report, è possibile che non siano presenti applicazioni AD FS attive o che le applicazioni AD FS siano applicazioni Microsoft.
Nota
Migrazione delle applicazioni AD FS elenca tutte le applicazioni AD FS dell'organizzazione che hanno registrato un accesso utente attivo solo negli ultimi 30 giorni.
Il report non visualizza le relying party correlate a Microsoft in AD FS, come Office 365. Ad esempio, le relying party con il nome urn:federation:MicrosoftOnline
, microsoftonline
, microsoft:winhello:cert:prov:server
non vengono visualizzate nell'elenco.
Perché viene visualizzato l'errore di convalida "Esiste già un'applicazione con lo stesso identificatore"?
Ogni applicazione all'interno del tenant deve avere un identificatore univoco dell'applicazione. Se viene visualizzato questo messaggio di errore, significa che è già presente un'altra applicazione con lo stesso identificatore nel tenant di Microsoft Entra. In questo caso, è necessario aggiornare l'identificatore dell'applicazione esistente o aggiornare l'identificatore dell'applicazione della relying party AD FS e attendere 24 ore per la propagazione degli aggiornamenti.
Passaggi successivi
- Gestione delle applicazioni con Microsoft Entra
- Manage access to apps (Gestire l'accesso alle app)