Panoramica della migrazione dell'applicazione AD FS
Questo articolo illustra le funzionalità della migrazione guidata delle applicazioni AD FS e sullo stato di migrazione disponibile nel relativo dashboard. Fornisce inoltre informazioni sui vari test di convalida generati dalla migrazione delle applicazioni per ognuna delle applicazioni che verranno trasferite da AD FS a Microsoft Entra ID.
La migrazione guidata delle applicazioni AD FS consente di identificare rapidamente le applicazioni per cui è possibile eseguire la migrazione a Microsoft Entra ID. Valuta tutte le applicazioni AD FS per la compatibilità con Microsoft Entra ID. Controlla anche la presenza di eventuali problemi, fornisce indicazioni sulla preparazione delle singole applicazioni per la migrazione e sulla configurazione di una nuova applicazione Microsoft Entra usando l'esperienza con un clic.
Con la migrazione guidata delle applicazioni AD FS, è possibile:
Individuare le applicazioni AD FS e definire l'ambito della migrazione: la migrazione guidata delle applicazioni AD FS elenca tutte le applicazioni AD FS dell'organizzazione che hanno registrato un accesso utente attivo negli ultimi 30 giorni. Il report indica l'idoneità delle app per la migrazione a Microsoft Entra ID. Il report non visualizza le relying party correlate a Microsoft in AD FS, ad esempio Office 365. Ad esempio, relying party con il nome
urn:federation:MicrosoftOnline
.Assegnare priorità alle applicazioni per la migrazione : ottenere il numero di utenti univoci che hanno eseguito l'accesso all'applicazione negli ultimi 1, 7 o 30 giorni per determinare la criticità o il rischio di migrazione dell'applicazione.
Eseguire test di migrazione e risolvere i problemi: il servizio di segnalazione esegue automaticamente i test per determinare se un'applicazione è idonea per la migrazione. I risultati vengono visualizzati nel dashboard di Migrazione delle applicazioni AD FS come stato di migrazione. Se la configurazione di AD FS non è compatibile con una configurazione di Microsoft Entra, si ottengono indicazioni specifiche su come gestire la configurazione in Microsoft Entra ID.
Usare un'esperienza di configurazione dell'applicazione con un clic per configurare la nuova applicazione Microsoft Entra: offre un'esperienza guidata per eseguire la migrazione di applicazioni relying party locali nel cloud. L'esperienza di migrazione usa i metadati dell'applicazione relying party importati direttamente dall'ambiente locale. L'esperienza offre anche una configurazione con un clic dell'applicazione SAML nella piattaforma Microsoft Entra con alcune impostazioni SAML di base, configurazioni delle attestazioni e assegnazioni di gruppi.
Nota
Migrazione delle applicazioni AD FS supporta solo le applicazioni basate su SAML. Non supporta applicazioni che usano protocolli come OpenID Connect, WS-Fed e OAuth 2.0. Per eseguire la migrazione di applicazioni che usano questi protocolli, vedere Usare il report attività delle applicazioni AD FS per identificare le applicazioni di cui si vuole eseguire la migrazione. Dopo aver identificato le app di cui si vuole eseguire la migrazione, è possibile configurarle manualmente in Microsoft Entra ID. Per altre informazioni su come iniziare la migrazione manuale, vedere Eseguire la migrazione e testare l'applicazione.
Stato di migrazione dell'applicazione AD FS
Gli agenti di Microsoft Entra Connect e Microsoft Entra Connect Health per AD FS leggono le configurazioni delle applicazioni relying party locali e i log di controllo di accesso. Questi dati sulle applicazioni AD FS vengono analizzati per determinare se è possibile eseguirne la migrazione così come sono o se è necessaria una verifica aggiuntiva. In base al risultato di questa analisi, viene determinato lo stato di migrazione per l'applicazione specificata.
Le applicazioni sono classificate negli stati di migrazione seguenti:
- Pronto per la migrazione indica che la configurazione dell'applicazione AD FS è completamente supportata in Microsoft Entra ID ed è possibile eseguire la migrazione dell'applicazione così com'è.
- Verifica necessaria significa che è possibile eseguire la migrazione di alcune impostazioni dell'applicazione a Microsoft Entra ID, ma è necessario esaminare le impostazioni che non possono essere trasferite così come sono.
- Sono necessari passaggi aggiuntivi indica che Microsoft Entra ID non supporta alcune impostazioni dell'applicazione, quindi non è possibile eseguire la migrazione dell'applicazione nello stato corrente.
Test di convalida della migrazione delle applicazioni AD FS
L'idoneità delle applicazioni viene valutata in base ai test di configurazione delle applicazioni AD FS predefiniti. I test vengono eseguiti automaticamente e i risultati vengono visualizzati nel dashboard di Migrazione delle applicazioni AD FS come Stato di migrazione. Se la configurazione di AD FS non è compatibile con una configurazione di Microsoft Entra, si ottengono indicazioni specifiche su come gestire la configurazione in Microsoft Entra ID.
Aggiornamenti dello stato delle informazioni dettagliate sulla migrazione delle applicazioni AD FS
Quando l'applicazione viene aggiornata, gli agenti interni sincronizzano gli aggiornamenti entro pochi minuti. Tuttavia, i processi delle informazioni dettagliate sulla migrazione di AD FS sono responsabili della valutazione degli aggiornamenti e del calcolo di un nuovo stato di migrazione. Tali processi vengono pianificati per l'esecuzione ogni 24 ore, di conseguenza i dati verranno calcolati solo una volta al giorno, alle ore 00:00 UTC (Coordinated Universal Time).
Risultato | Superato/Avviso/Non superato | Descrizione |
---|---|---|
Test-ADFSRPAdditionalAuthenticationRules È stata rilevata almeno una regola non idonea per la migrazione per AdditionalAuthentication. |
Superato/Avviso | La relying party dispone di regole per richiedere l'autenticazione a più fattori. Per passare a Microsoft Entra ID, convertire tali regole in criteri di accesso condizionale. Se si usa un'autenticazione a più fattori locale, è consigliabile passare all'autenticazione a più fattori di Microsoft Entra. Altre informazioni sull'accesso condizionale. |
Test-ADFSRPAdditionalWSFedEndpoint AdditionalWSFedEndpoint nella relying party è impostata su true. |
Esito positivo o negativo | La relying party in AD FS consente più endpoint di asserzione WS-Fed. Attualmente, Microsoft Entra ne supporta solo uno. Se si ha uno scenario in cui questo risultato blocca la migrazione, inviare una segnalazione. |
Test-ADFSRPAllowedAuthenticationClassReferences Nella relying party è impostata AllowedAuthenticationClassReferences. |
Esito positivo o negativo | Questa impostazione in AD FS consente di specificare se l'applicazione è configurata per consentire solo determinati tipi di autenticazione. Per ottenere questa funzionalità, è consigliabile usare l'accesso condizionale. Se si ha uno scenario in cui questo risultato blocca la migrazione, inviare una segnalazione. Altre informazioni sull'accesso condizionale. |
Test-ADFSRPAlwaysRequireAuthentication AlwaysRequireAuthenticationCheckResult |
Esito positivo o negativo | Questa impostazione in AD FS consente di specificare se l'applicazione è configurata per ignorare i cookie di accesso Single Sign-On e l'opzione Richiedi sempre l'autenticazione. In Microsoft Entra ID è possibile gestire la sessione di autenticazione usando i criteri di accesso condizionale per ottenere un comportamento simile. Altre informazioni sulla configurazione della gestione della sessione di autenticazione con l'Accesso condizionale. |
Test-ADFSRPAutoUpdateEnabled Nella relying party AutoUpdateEnabled è impostata su true |
Superato/Avviso | Questa impostazione in AD FS consente di specificare se AD FS è configurato per aggiornare automaticamente l'applicazione in base alle modifiche nei metadati della federazione. In Microsoft Entra ID questo scenario non è attualmente supportato, ma non dovrebbe bloccare la migrazione dell'applicazione a Microsoft Entra ID. |
Test-ADFSRPClaimsProviderName Nella relying party sono abilitati più claimsProvider |
Esito positivo o negativo | Questa impostazione in AD FS chiama i provider di identità da cui la relying party accetta attestazioni. In Microsoft Entra ID è possibile abilitare la collaborazione esterna usando Microsoft Entra B2B. Altre informazioni su Microsoft Entra B2B. |
Test-ADFSRPDelegationAuthorizationRules | Esito positivo o negativo | Nell'applicazione sono definite regole di autorizzazione di delega personalizzate. Si tratta di un concetto dello standard WS-Trust supportato da Microsoft Entra ID usando protocolli di autenticazione moderni, ad esempio OpenID Connect e OAuth 2.0. Altre informazioni su Microsoft Identity Platform. |
Test-ADFSRPImpersonationAuthorizationRules | Superato/Avviso | Nell'applicazione sono definite regole di autorizzazione di rappresentazione personalizzate. Si tratta di un concetto dello standard WS-Trust supportato da Microsoft Entra ID usando protocolli di autenticazione moderni, ad esempio OpenID Connect e OAuth 2.0. Altre informazioni su Microsoft Identity Platform. |
Test-ADFSRPIssuanceAuthorizationRules È stata rilevata almeno una regola non idonea per la migrazione per IssuanceAuthorization. |
Superato/Avviso | Per l'applicazione sono definite regole di autorizzazione di rilascio personalizzate in AD FS. Microsoft Entra ID supporta questa funzionalità con l'accesso condizionale di Microsoft Entra. Altre informazioni sull'accesso condizionale. È anche possibile limitare l'accesso a un'applicazione da parte di utenti o gruppi assegnati all'applicazione. Altre informazioni sull'assegnazione di utenti e gruppi per l'accesso alle applicazioni. |
Test-ADFSRPIssuanceTransformRules È stata rilevata almeno una regola non idonea per la migrazione per IssuanceTransform. |
Superato/Avviso | Per l'applicazione sono definite regole di trasformazione di rilascio personalizzate in AD FS. Microsoft Entra ID supporta la personalizzazione delle attestazioni rilasciate nel token. Per altre informazioni, vedere Personalizzare le attestazioni rilasciate nel token SAML per le applicazioni aziendali. |
Test-ADFSRPMonitoringEnabled Nella relying party MonitoringEnabled è impostata su true. |
Superato/Avviso | Questa impostazione in AD FS consente di specificare se AD FS è configurato per aggiornare automaticamente l'applicazione in base alle modifiche nei metadati della federazione. In Microsoft Entra questo scenario non è attualmente supportato, ma non dovrebbe bloccare la migrazione dell'applicazione a Microsoft Entra ID. |
Test-ADFSRPNotBeforeSkew NotBeforeSkewCheckResult |
Superato/Avviso | AD FS consente uno sfasamento orario in base agli orari di NotBefore e NotOnOrAfter nel token SAML. Microsoft Entra ID gestisce questo scenario per impostazione predefinita. |
Test-ADFSRPRequestMFAFromClaimsProviders Nella relying party RequestMFAFromClaimsProviders è impostata su true. |
Superato/Avviso | Questa impostazione in AD FS determina il comportamento di MFA quando l'utente proviene da un provider di attestazioni diverso. In Microsoft Entra ID è possibile abilitare la collaborazione esterna usando Microsoft Entra B2B. È quindi possibile applicare i criteri di accesso condizionale per proteggere l'accesso guest. Altre informazioni su Microsoft Entra B2B e Accesso condizionale. |
Test-ADFSRPSignedSamlRequestsRequired Nella relying party SignedSamlRequestsRequired è impostata su true |
Esito positivo o negativo | In AD FS l'applicazione è configurata per verificare la firma nella richiesta SAML. Microsoft Entra ID accetta una richiesta SAML firmata, tuttavia, non verificherà la firma. Microsoft Entra ID adotta metodi diversi per proteggersi da chiamate dannose. Ad esempio, Microsoft Entra ID usa gli URL di risposta configurati nell'applicazione per convalidare la richiesta SAML. Microsoft Entra ID invierà solo un token agli URL di risposta configurati per l'applicazione. Se si ha uno scenario in cui questo risultato blocca la migrazione, inviare una segnalazione. |
Test-ADFSRPTokenLifetime TokenLifetimeCheckResult |
Superato/Avviso | L'applicazione è configurata per una durata di token personalizzata. Il valore predefinito di AD FS è un'ora. Microsoft Entra ID supporta questa funzionalità con l'accesso condizionale. Per altre informazioni, vedere Configurare la gestione della sessione di autenticazione con l'accesso condizionale. |
La relying party è impostata per crittografare le attestazioni. Questo scenario è supportato da Microsoft Entra ID | Riuscito | Con Microsoft Entra ID è possibile crittografare il token inviato all'applicazione. Per altre informazioni, vedere Configurare la crittografia del token SAML di Microsoft Entra. |
EncryptedNameIdRequiredCheckResult | Esito positivo o negativo | L'applicazione è configurata per crittografare l'attestazione nameID nel token SAML. Con Microsoft Entra ID è possibile crittografare l'intero token inviato all'applicazione. La crittografia di attestazioni specifiche non è ancora supportata. Per altre informazioni, vedere Configurare la crittografia del token SAML di Microsoft Entra. |