Omówienie etapów migrowania uwierzytelniania aplikacji z usług AD FS do identyfikatora Entra firmy Microsoft
Microsoft Entra ID oferuje platformę tożsamości uniwersalnej, która zapewnia swoim osobom, partnerom i klientom pojedynczą tożsamość w celu uzyskiwania dostępu do aplikacji i współpracy z dowolnej platformy i urządzenia. Identyfikator Entra firmy Microsoft ma pełny zestaw funkcji zarządzania tożsamościami. Standaryzacja uwierzytelniania i autoryzacji aplikacji do identyfikatora Entra firmy Microsoft zapewnia te korzyści.
Typy aplikacji do migracji
Aplikacje mogą używać nowoczesnych lub starszych protokołów do uwierzytelniania. Podczas planowania migracji do identyfikatora Entra firmy Microsoft należy najpierw rozważyć migrację aplikacji korzystających z nowoczesnych protokołów uwierzytelniania (takich jak SAML i OpenID Połączenie).
Te aplikacje można ponownie skonfigurować w celu uwierzytelniania za pomocą identyfikatora Entra firmy Microsoft za pośrednictwem wbudowanego łącznika z galerii aplikacja systemu Azure lub rejestrując aplikację niestandardową w identyfikatorze Entra firmy Microsoft.
Aplikacje korzystające ze starszych protokołów można zintegrować przy użyciu serwer proxy aplikacji lub dowolnego z naszych partnerów secure hybrid access (SHA).
Aby uzyskać więcej informacji, zobacz:
- Używanie serwera proxy aplikacji Entra firmy Microsoft do publikowania aplikacji lokalnych dla użytkowników zdalnych.
- Co to jest zarządzanie aplikacjami?
- Raport aktywności aplikacji usług AD FS w celu migracji aplikacji do identyfikatora Entra firmy Microsoft.
- Monitorowanie usług AD FS przy użyciu usługi Microsoft Entra Połączenie Health.
Proces migracji
Podczas przenoszenia uwierzytelniania aplikacji do identyfikatora Entra firmy Microsoft przetestuj aplikacje i konfigurację. Zalecamy dalsze używanie istniejących środowisk testowych do testowania migracji przed przejściem do środowiska produkcyjnego. Jeśli środowisko testowe nie jest obecnie dostępne, możesz skonfigurować je przy użyciu usługi aplikacja systemu Azure lub usługi Azure Virtual Machines, w zależności od architektury aplikacji.
Możesz skonfigurować oddzielną testową dzierżawę firmy Microsoft Entra, w której chcesz opracowywać konfiguracje aplikacji.
Proces migracji może wyglądać następująco:
Etap 1 — bieżący stan: aplikacja produkcyjna uwierzytelnia się za pomocą usług AD FS
Etap 2 — (opcjonalnie) Wskazuje wystąpienie testowe aplikacji do testowej dzierżawy firmy Microsoft Entra
Zaktualizuj konfigurację, aby wskazywała wystąpienie testowe aplikacji na testową dzierżawę firmy Microsoft Entra i wprowadź wymagane zmiany. Aplikację można przetestować z użytkownikami w testowej dzierżawie firmy Microsoft Entra. Podczas procesu programowania możesz użyć narzędzi, takich jak Fiddler , aby porównać i zweryfikować żądania i odpowiedzi.
Jeśli nie można skonfigurować oddzielnej dzierżawy testowej, pomiń ten etap i wskaż wystąpienie testowe aplikacji do produkcyjnej dzierżawy microsoft Entra zgodnie z opisem w sekcji Etap 3 poniżej.
Etap 3 — wskazywanie wystąpienia testowego aplikacji do produkcyjnej dzierżawy firmy Microsoft Entra
Zaktualizuj konfigurację, aby wskazywała wystąpienie testowe aplikacji na produkcyjną dzierżawę firmy Microsoft Entra. Teraz możesz testować użytkowników w dzierżawie produkcyjnej. W razie potrzeby zapoznaj się z sekcją tego artykułu dotyczącą przenoszenia użytkowników.
Etap 4 — wskazywanie aplikacji produkcyjnej do produkcyjnej dzierżawy firmy Microsoft Entra
Zaktualizuj konfigurację aplikacji produkcyjnej, aby wskazywała produkcyjną dzierżawę firmy Microsoft Entra.
Aplikacje uwierzytelnione za pomocą usług AD FS mogą używać grup usługi Active Directory do uprawnień. Przed rozpoczęciem migracji użyj usługi Microsoft Entra Połączenie Sync, aby zsynchronizować dane tożsamości między środowiskiem lokalnym i identyfikatorem Entra firmy Microsoft. Przed migracją sprawdź te grupy i członkostwo, aby można było udzielić dostępu tym samym użytkownikom podczas migracji aplikacji.
Aplikacje biznesowe
Aplikacje biznesowe to aplikacje opracowane przez organizację lub aplikacje, które są standardowym produktem spakowanym.
Aplikacje biznesowe korzystające z protokołu OAuth 2.0, interfejsu OpenID Połączenie lub federacji WS można zintegrować z identyfikatorem Entra firmy Microsoft jako rejestracjami aplikacji. Integrowanie aplikacji niestandardowych korzystających z protokołu SAML 2.0 lub WS-Federation jako aplikacji spoza galerii na stronie aplikacji dla przedsiębiorstw w centrum administracyjnym firmy Microsoft Entra.
Następne kroki
- Konfigurowanie logowania jednokrotnego opartego na protokole SAML.