AD FS-toepassingsmigratie gebruiken om AD FS-apps te verplaatsen naar Microsoft Entra-id
In dit artikel leert u hoe u uw Ad FS-toepassingen (Active Directory Federation Services) migreert naar Microsoft Entra-id met behulp van de migratie van de AD FS-toepassing.
De migratie van de AD FS-toepassing biedt it-beheerders begeleide ervaring voor het migreren van AD FS relying party-toepassingen van AD FS naar Microsoft Entra ID. De wizard biedt u een uniforme ervaring om nieuwe Microsoft Entra-toepassing te detecteren, evalueren en configureren. Het biedt configuratie met één klik voor standaard SAML-URL's, claimtoewijzing en gebruikerstoewijzingen om de toepassing te integreren met Microsoft Entra-id.
Het hulpprogramma voor het migreren van AD FS-toepassingen is ontworpen om end-to-end-ondersteuning te bieden voor het migreren van uw on-premises AD FS-toepassingen naar Microsoft Entra-id.
Met AD FS-toepassingsmigratie kunt u het volgende doen:
- Evalueer aanmeldingsactiviteiten van de relying party-toepassing van AD FS, waarmee u het gebruik en de impact van de opgegeven toepassingen kunt identificeren.
- Analyseer de haalbaarheid van AD FS naar Microsoft Entra-migratie die u helpt bij het identificeren van migratieblokkeringen of acties die nodig zijn om hun toepassingen naar het Microsoft Entra-platform te migreren.
- Configureer de nieuwe Microsoft Entra-toepassing met behulp van een toepassingsmigratieproces met één klik, waarmee automatisch een nieuwe Microsoft Entra-toepassing wordt geconfigureerd voor de opgegeven AD FS-toepassing.
Vereisten
De migratie van de AD FS-toepassing gebruiken:
- Uw organisatie moet momenteel AD FS gebruiken voor toegang tot toepassingen.
- U hebt een Licentie voor Microsoft Entra ID P1 of P2.
- Aan een van de volgende rollen moet een van de volgende rollen zijn toegewezen.
- Beheerder van de cloudtoepassing
- Toepassingsbeheerder
- Globale lezer (alleen-lezentoegang)
- Rapportlezer (alleen-lezentoegang)
- Microsoft Entra Connect moet worden geïnstalleerd in de on-premises omgevingen, samen met Microsoft Entra Connect Health AD FS-statusagents.
Er zijn enkele redenen waarom u niet alle toepassingen ziet die u verwacht nadat u Microsoft Entra Connect Health-agents voor AD FS hebt geïnstalleerd:
- Het migratiedashboard van de AD FS-toepassing toont alleen AD FS-toepassingen met gebruikersaanmelding in de afgelopen 30 dagen.
- Microsoft gerelateerde AD FS Relying Party-toepassingen zijn niet beschikbaar op het dashboard.
Ad FS-toepassingsmigratiedashboard weergeven in Microsoft Entra-id
Het AD FS-toepassingsmigratiedashboard is beschikbaar in het Microsoft Entra-beheercentrum onder Rapportage over gebruik en inzichten . Er zijn twee toegangspunten voor de wizard:
In de sectie Bedrijfstoepassingen :
- Meld u als cloudtoepassingsbeheerder aan bij het Microsoft Entra-beheercentrum.
- Blader naar Bedrijfstoepassingen voor identiteitstoepassingen>>.
- Selecteer onder Usage & Insights de migratie van AD FS-toepassingen voor toegang tot het migratiedashboard van AD FS-toepassingen.
In de sectie Bewaking en status :
- Meld u als cloudtoepassingsbeheerder aan bij het Microsoft Entra-beheercentrum.
- Blader naar Bedrijfstoepassingen voor identiteitsbewaking>en -status.>
- Selecteer onder Beheren de optie Usage & Insights en selecteer vervolgens de migratie van AD FS-toepassingen voor toegang tot het migratiedashboard van AD FS-toepassingen.
In het migratiedashboard van de AD FS-toepassing ziet u de lijst met al uw AD FS Relying Party-toepassingen die in de afgelopen 30 dagen actief aanmeldingsverkeer hebben gehad.
Het dashboard heeft het datumbereikfilter. Met het filter kunt u alle actieve AD FS Relying Party-toepassing selecteren volgens het geselecteerde tijdsbereik. Het filter ondersteunt de laatste 1 dag, 7 dagen en de periode van 30 dagen.
Er zijn drie tabbladen die de volledige lijst met toepassingen, configureerbare toepassingen en eerder geconfigureerde toepassingen geven. In dit dashboard ziet u een overzicht van de algehele voortgang van uw migratiewerk.
De drie tabbladen op het dashboard zijn:
- Alle apps : toont de lijst met alle toepassingen die zijn gedetecteerd vanuit uw on-premises omgeving.
- Gereed voor migratie : toont een lijst met alle toepassingen met de migratiestatus Gereed of Behoeften .
- Gereed om te configureren : toont de lijst met alle Microsoft Entra-toepassingen die eerder zijn gemigreerd met de wizard AD FS-toepassingsmigratie.
Status van toepassingsmigratie
De Microsoft Entra Connect- en Microsoft Entra Connect Health-agents voor AD FS leest de configuraties van uw AD FS Relying Party-toepassingsconfiguraties en aanmeldingslogboeken. Deze gegevens over elke AD FS-toepassing worden geanalyseerd om te bepalen of de toepassing als zodanig kan worden gemigreerd of als er aanvullende controle nodig is. Op basis van het resultaat van deze analyse wordt de migratiestatus voor de opgegeven toepassing aangegeven als een van de volgende statussen:
- Gereed om te migreren betekent dat de configuratie van de AD FS-toepassing volledig wordt ondersteund in Microsoft Entra-id en kan als zodanig worden gemigreerd.
- Moet worden beoordeeld , sommige instellingen van de toepassing kunnen worden gemigreerd naar Microsoft Entra-id, maar u moet de instellingen controleren die niet naar behoren kunnen worden gemigreerd. Dit zijn echter geen obstakels voor de migratie.
- Extra stappen die vereist zijn , betekent dat Microsoft Entra-id geen ondersteuning biedt voor sommige instellingen van de toepassing, zodat de toepassing niet kan worden gemigreerd in de huidige status.
Laten we elk tabblad bekijken op het migratiedashboard van de AD FS-toepassing in meer detail.
Tabblad Alle apps
Op het tabblad Alle apps worden alle actieve AD FS Relying Party-toepassingen uit het geselecteerde datumbereik weergegeven. De gebruiker kan de impact van elke toepassing analyseren met behulp van de geaggregeerde aanmeldingsgegevens. Ze kunnen ook naar het detailvenster navigeren met behulp van de koppeling Migratiestatus .
Zie validatieregels voor AD FS-toepassingsmigratie om details over elke validatieregel weer te geven.
Selecteer een bericht om aanvullende details van de migratieregel te openen. Zie de volgende tabel met configuratietests voor een volledige lijst met geteste eigenschappen.
De resultaten van claimregeltests controleren
Als u een claimregel voor de toepassing in AD FS hebt geconfigureerd, biedt de ervaring een gedetailleerde analyse van alle claimregels. U ziet welke claimregels u kunt verplaatsen naar Microsoft Entra ID en welke regels verder moeten worden bekeken.
- Selecteer een app in de lijst met apps op het tabblad Alle apps en selecteer vervolgens de status in de kolom Migratiestatus om details van de migratie weer te geven. U ziet een samenvatting van de configuratietests die zijn geslaagd, samen met mogelijke migratieproblemen.
- Vouw op de pagina Details van de migratieregel de resultaten uit om details over mogelijke migratieproblemen weer te geven en aanvullende richtlijnen te ontvangen. Zie de sectie claimregeltests in dit artikel voor een gedetailleerde lijst met alle geteste claimregels.
In het volgende voorbeeld ziet u details van de migratieregel voor de uitgiftetransform-regel. Hierin worden de specifieke onderdelen van de claim vermeld die moeten worden gecontroleerd en aangepakt voordat u de toepassing naar Microsoft Entra-id kunt migreren.
Claimregeltests
De volgende tabel bevat alle configuratieregeltests die worden uitgevoerd op AD FS-toepassingen.
Eigenschappen | Beschrijving |
---|---|
UNSUPPORTED_CONDITION_PARAMETER | De voorwaarde-instructie gebruikt reguliere expressies om te evalueren of de claim overeenkomt met een bepaald patroon. Als u een vergelijkbare functionaliteit in Microsoft Entra ID wilt bereiken, kunt u onder andere vooraf gedefinieerde transformatie gebruiken, zoals IfEmpty(), StartWith(), Contains(). Raadpleeg Claims aanpassen die zijn uitgegeven in het SAML-token voor bedrijfstoepassingen voor meer informatie. |
UNSUPPORTED_CONDITION_CLASS | De voorwaarde-instructie heeft meerdere voorwaarden die moeten worden geëvalueerd voordat de uitgifte-instructie wordt uitgevoerd. Microsoft Entra ID kan deze functionaliteit ondersteunen met de transformatiefuncties van de claim, waar u meerdere claimwaarden kunt evalueren. Raadpleeg Claims aanpassen die zijn uitgegeven in het SAML-token voor bedrijfstoepassingen voor meer informatie. |
UNSUPPORTED_RULE_TYPE | De claimregel kan niet worden herkend. Zie Claims aanpassen die zijn uitgegeven in het SAML-token voor bedrijfstoepassingen voor meer informatie over het configureren van claims in Microsoft Entra-id. |
CONDITION_MATCHES_UNSUPPORTED_ISSUER | De voorwaarde-instructie maakt gebruik van een verlener die niet wordt ondersteund in Microsoft Entra-id. Momenteel worden in Microsoft Entra geen bronclaims uit winkels opgeslagen die anders zijn dan Active Directory of Microsoft Entra-id. Als dit u blokkeert van het migreren van toepassingen naar Microsoft Entra ID, laat het ons dan weten. |
UNSUPPORTED_CONDITION_FUNCTION | De voorwaarde-instructie gebruikt een samengevoegde functie om één claim uit te geven of toe te voegen, ongeacht het aantal overeenkomsten. In Microsoft Entra ID kunt u het kenmerk van een gebruiker evalueren om te bepalen welke waarde voor de claim moet worden gebruikt met functies zoals IfEmpty(), StartWith(), Contains(), onder andere. Raadpleeg Claims aanpassen die zijn uitgegeven in het SAML-token voor bedrijfstoepassingen voor meer informatie. |
RESTRICTED_CLAIM_ISSUED | De voorwaarde-instructie maakt gebruik van een claim die is beperkt in Microsoft Entra-id. Mogelijk kunt u een beperkte claim uitgeven, maar u kunt de bron niet wijzigen of een transformatie toepassen. Zie Claims aanpassen die zijn verzonden in tokens voor een specifieke app in Microsoft Entra ID voor meer informatie. |
EXTERNAL_ATTRIBUTE_STORE | De uitgifte-instructie gebruikt een kenmerkarchief dat anders is dan Active Directory. Momenteel worden in Microsoft Entra geen bronclaims uit winkels opgeslagen die anders zijn dan Active Directory of Microsoft Entra-id. Als dit resultaat u blokkeert van het migreren van toepassingen naar Microsoft Entra ID, laat het ons dan weten. |
UNSUPPORTED_ISSUANCE_CLASS | De uitgifte-instructie gebruikt ADD om claims toe te voegen aan de binnenkomende claimset. In Microsoft Entra-id kan dit worden geconfigureerd als meerdere claimtransformaties. Raadpleeg Claims aanpassen die zijn uitgegeven in het SAML-token voor bedrijfstoepassingen voor meer informatie. |
UNSUPPORTED_ISSUANCE_TRANSFORMATION | De uitgifte-instructie gebruikt reguliere expressies om de waarde van de claim te transformeren die moet worden verzonden. Als u vergelijkbare functionaliteit in Microsoft Entra ID wilt bereiken, kunt u vooraf gedefinieerde transformatie zoals Extract() , Trim() en ToLower() . Raadpleeg Claims aanpassen die zijn uitgegeven in het SAML-token voor bedrijfstoepassingen voor meer informatie. |
Tabblad Gereed om te migreren
Op het tabblad Gereed om te migreren ziet u alle toepassingen met de migratiestatus gereed of Vereisten.
U kunt de aanmeldingsgegevens gebruiken om de impact van elke toepassing te identificeren en de juiste toepassingen voor de migratie te selecteren. Selecteer De koppeling Migratie starten om het geassisteerde migratieproces van één klik te starten.
Tabblad Gereed om te configureren
Dit tabblad bevat een lijst met alle Microsoft Entra-toepassingen die eerder zijn gemigreerd met behulp van de wizard AD FS-toepassingsmigratie.
De naam van de toepassing is de naam van de nieuwe Microsoft Entra-toepassing. Toepassings-id is hetzelfde als van ad FS relying party toepassings-id die kan worden gebruikt om de toepassing te correleren met uw AD FS-omgeving. Met de koppeling Configureren in Microsoft Entra kunt u navigeren naar de zojuist geconfigureerde Microsoft Entra-toepassing in de sectie Bedrijfstoepassing .
Een app migreren van AD FS naar Microsoft Entra-id met behulp van de wizard AD FS-toepassingsmigratie
- Als u de migratie van de toepassing wilt initiëren, selecteert u de koppeling Migratie starten voor de toepassing die u wilt migreren vanaf het tabblad Gereed om te migreren .
- Met de koppeling wordt u omgeleid naar de sectie voor migratie van één klik van de ad FS-toepassingsmigratie. Alle configuraties in de wizard worden geïmporteerd uit uw on-premises AD FS-omgeving.
Voordat we de details van de verschillende tabbladen in de wizard doornemen, is het belangrijk om inzicht te krijgen in de ondersteunde en niet-ondersteunde configuraties.
Ondersteunde configuraties
De ondersteunde AD FS-toepassingsmigratie ondersteunt de volgende configuraties:
- Ondersteunt alleen configuratie van SAML-toepassingen.
- De optie om de naam van de nieuwe Microsoft Entra-toepassing aan te passen.
- Hiermee kunnen gebruikers elke toepassingssjabloon selecteren in de toepassingssjabloon.
- Configuratie van standaard SAML-toepassingsconfiguraties, id en antwoord-URL.
- Configuratie van de Microsoft Entra-toepassing om alle gebruikers van de tenant toe te staan.
- Automatische toewijzing van groepen aan de Microsoft Entra-toepassing.
- Microsoft Entra-compatibele claimconfiguratie geëxtraheerd uit de configuraties van ad FS Relying Party-claims.
Niet-ondersteunde configuraties:
De migratie van de AD FS-toepassing biedt geen ondersteuning voor de volgende configuraties:
- OIDC (OpenID Connect), OAuth- en WS-Fed-configuraties worden niet ondersteund.
- Automatische configuratie van beleid voor voorwaardelijke toegang wordt niet ondersteund, maar gebruikers kunnen hetzelfde configureren na de configuratie van een nieuwe toepassing in hun tenant.
- Het handtekeningcertificaat wordt niet gemigreerd vanuit de AD FS Relying Party-toepassing. De volgende tabbladen bestaan in de wizard AD FS-toepassingsmigratie:
Laten we eens kijken naar de details van elk tabblad in de sectie ondersteunde toepassingsmigratie met één klik van de wizard Migratie van AD FS-toepassing
Tabblad Basisbeginselen
- Toepassingsnaam die vooraf is ingevuld met de naam van de relying party-toepassing van AD FS. U kunt deze gebruiken als de naam voor uw nieuwe Microsoft Entra-toepassing. U kunt de naam ook wijzigen in een andere waarde die u wilt gebruiken.
- Toepassingssjabloon. Selecteer een toepassingssjabloon die het meest geschikt is voor uw toepassing. U kunt deze optie overslaan als u geen sjabloon wilt gebruiken.
Tabblad Gebruikers en groepen
Met de on-click-configuratie worden de gebruikers en groepen automatisch toegewezen aan uw Microsoft Entra-toepassing die hetzelfde zijn als uw on-premises configuratie.
Alle groepen worden geëxtraheerd uit het toegangsbeheerbeleid van de AD FS Relying Party-toepassing. Groepen moeten worden gesynchroniseerd in uw Microsoft Entra-tenant met behulp van Microsoft Entra Connect-agents. In het geval dat groepen zijn toegewezen met AD FS Relying Party-toepassing, maar niet worden gesynchroniseerd met Microsoft Entra-tenant. Deze groepen worden overgeslagen vanuit de configuratie.
Configuratie van ondersteunde gebruikers en groepen ondersteunt de volgende configuraties vanuit de on-premises AD FS-omgeving:
- Iedereen van de tenant toestaan.
- Specifieke groepen toestaan.
Dit zijn de gebruikers en groepen die u kunt bekijken in de configuratiewizard. Dit is een alleen-lezenweergave. U kunt geen wijzigingen aanbrengen in deze sectie.
Tabblad SAML-configuraties
Dit tabblad bevat de basis-SAML-eigenschappen die worden gebruikt voor de instellingen voor eenmalige aanmelding van de Microsoft Entra-toepassing. Op dit moment worden alleen vereiste eigenschappen toegewezen die alleen id en antwoord-URL zijn.
Deze instellingen worden rechtstreeks geïmplementeerd vanuit uw AD FS Relying Party-toepassing en kunnen niet worden gewijzigd op dit tabblad. Nadat u de toepassing hebt geconfigureerd, kunt u deze echter wijzigen vanuit het deelvenster Single sing-on van uw bedrijfstoepassing in het Microsoft Entra-beheercentrum.
Tabblad Claims
Alle AD FS-claims worden niet vertaald zoals in de Microsoft Entra-claims. De migratiewizard ondersteunt alleen specifieke claims. Als u ontbrekende claims vindt, kunt u deze configureren in de gemigreerde bedrijfstoepassing in het Microsoft Entra-beheercentrum.
Als de AD FS Relying Party-toepassing heeft nameidentifier
geconfigureerd die wordt ondersteund in Microsoft Entra-id, wordt deze geconfigureerd als nameidentifier
. user.userprincipalname
Anders wordt deze gebruikt als standaard nameidentifier-claim.
Dit is de alleen-lezenweergave. U kunt hier geen wijzigingen aanbrengen.
Tabblad Volgende stappen
Dit tabblad bevat informatie over de volgende stappen of beoordelingen die aan de kant van de gebruiker worden verwacht. In het volgende voorbeeld ziet u de lijst met configuraties voor deze AD FS Relying Party-toepassing, die niet worden ondersteund in Microsoft Entra-id.
Op dit tabblad hebt u toegang tot de relevante documentatie om de problemen te onderzoeken en te begrijpen.
Tabblad Beoordelen en maken
Op dit tabblad ziet u de samenvatting van alle configuraties die u van de vorige tabbladen hebt gezien. U kunt het opnieuw bekijken. Als u tevreden bent met alle configuraties en u wilt doorgaan met de migratie van toepassingen, selecteert u de knop Maken om het migratieproces te starten. Hiermee migreert u de nieuwe toepassing naar uw Microsoft Entra-tenant.
De migratie van de toepassing is momenteel een proces van negen stappen dat u kunt bewaken met behulp van de meldingen. De werkstroom voltooit de volgende acties:
- Hiermee maakt u een toepassingsregistratie
- Hiermee maakt u een service-principal
- SAML-instellingen configureren
- Gebruikers en groepen toewijzen aan de toepassing
- Claims configureren
Zodra het migratieproces is voltooid, ziet u een meldingsbericht dat de migratie van de toepassing is geslaagd.
Wanneer de migratie van de toepassing is voltooid, wordt u omgeleid naar het tabblad Gereed om te configureren waar alle eerder gemigreerde toepassingen worden weergegeven, inclusief de meest recente toepassingen die u hebt geconfigureerd.
De bedrijfstoepassing controleren en configureren
Op het tabblad Gereed om te configureren kunt u de koppeling Toepassing configureren in Microsoft Entra gebruiken om naar de zojuist geconfigureerde toepassing te navigeren in de sectie Bedrijfstoepassingen. Deze gaat standaard naar de aanmeldingspagina op basis van SAML van uw toepassing.
Vanuit het aanmeldingsvenster op basis van SAML worden alle toepassingsinstellingen van AD FS Relying Party al toegepast op de zojuist gemigreerde Microsoft Entra-toepassing . De eigenschappen id en antwoord-URL van de standaard SAML-configuratie en de lijst met claims van de tabbladen Kenmerken & Claims van de wizard AD FS-toepassingsmigratie zijn hetzelfde als die in de bedrijfstoepassing.
In het deelvenster Eigenschappen van de toepassing impliceert het logo van de toepassingssjabloon dat de toepassing is gekoppeld aan de geselecteerde toepassingssjabloon. Op de pagina Eigenaren wordt de huidige beheerder toegevoegd als een van de eigenaren van de toepassing.
Vanuit het deelvenster Gebruikers en groepen zijn alle vereiste groepen al toegewezen aan de toepassing.
Nadat u de gemigreerde bedrijfstoepassing hebt bekeken, kunt u de toepassing bijwerken op basis van uw bedrijfsbehoeften. U kunt claims toevoegen of bijwerken, meer gebruikers en groepen toewijzen of beleid voor voorwaardelijke toegang configureren om ondersteuning voor meervoudige verificatie of andere functies voor voorwaardelijke autorisatie in te schakelen.
Terugdraaiactie
De configuratie van de ad FS-toepassingsmigratiewizard met één klik migreert de nieuwe toepassing naar de Microsoft Entra-tenant. De gemigreerde toepassing blijft echter inactief totdat u uw aanmeldingsverkeer naar de toepassing omleidt. Tot die tijd kunt u, als u wilt terugdraaien, de zojuist gemigreerde Microsoft Entra-toepassing verwijderen uit uw tenant.
De wizard biedt geen geautomatiseerde opschoning. Als u niet wilt doorgaan met het instellen van de gemigreerde toepassing, moet u de toepassing handmatig verwijderen uit uw tenant. Zie de volgende URL's voor instructies voor het verwijderen van een toepassingsregistratie en de bijbehorende bedrijfstoepassing:
Tips voor probleemoplossing
Kan niet al mijn AD FS-toepassingen in het rapport zien
Als u Microsoft Entra Connect Health-agents voor AD FS hebt geïnstalleerd, maar u nog steeds de prompt ziet om deze te installeren of als u niet al uw AD FS-toepassingen in het rapport ziet, kan het zijn dat u geen actieve AD FS-toepassingen hebt of dat uw AD FS-toepassingen Microsoft-toepassing zijn.
Notitie
De migratie van de AD FS-toepassing bevat alleen alle AD FS-toepassingen in uw organisatie met actieve gebruikers die zich de afgelopen 30 dagen aanmelden.
In het rapport worden gerelateerde relying party's van Microsoft niet weergegeven in AD FS, zoals Office 365. Relying party's met naamurn:federation:MicrosoftOnline
, microsoftonline
microsoft:winhello:cert:prov:server
worden bijvoorbeeld niet weergegeven in de lijst.
Waarom zie ik de validatiefout 'toepassing met dezelfde id bestaat al'?
Elke toepassing in uw tenant moet een unieke toepassings-id hebben. Als u dit foutbericht ziet, betekent dit dat u al een andere toepassing met dezelfde id in uw Microsoft Entra-tenant hebt. In dit geval moet u de bestaande toepassings-id bijwerken of uw AD FS Relying Party-toepassings-id bijwerken en wachten totdat updates worden doorgevoerd.