Reprezentowanie zasad zabezpieczeń usług AD FS w identyfikatorze Entra firmy Microsoft: mapowania i przykłady
W tym artykule dowiesz się, jak mapować reguły autoryzacji i uwierzytelniania wieloskładnikowego z usług AD FS na identyfikator Entra firmy Microsoft podczas przenoszenia uwierzytelniania aplikacji. Dowiedz się, jak spełnić wymagania dotyczące zabezpieczeń właściciela aplikacji, ułatwiając proces migracji aplikacji z mapowaniami dla każdej reguły.
Podczas przenoszenia uwierzytelniania aplikacji do identyfikatora Entra firmy Microsoft utwórz mapowania z istniejących zasad zabezpieczeń na ich równoważne lub alternatywne warianty dostępne w identyfikatorze Entra firmy Microsoft. Zapewnienie, że te mapowania można wykonać, spełniając standardy zabezpieczeń wymagane przez właścicieli aplikacji, ułatwia migrację aplikacji.
Dla każdego przykładu reguły pokazujemy, jak wygląda reguła w usługach AD FS, kod równoważny języka reguł usług AD FS i sposób mapowania tej reguły na microsoft Entra ID.
Mapuj reguły autoryzacji
Poniżej przedstawiono przykłady różnych typów reguł autoryzacji w usługach AD FS i sposób mapowania ich na identyfikator Entra firmy Microsoft.
Przykład 1. Zezwolenie na dostęp do wszystkich użytkowników
Zezwól na dostęp do wszystkich użytkowników w usługach AD FS:
To mapowanie na identyfikator Entra firmy Microsoft w jeden z następujących sposobów:
Ustaw opcję Przypisanie wymagane na Nie.
Uwaga
Ustawienie przypisania wymagane do wartości Tak wymaga, aby użytkownicy zostali przypisani do aplikacji w celu uzyskania dostępu. Po ustawieniu opcji Nie wszyscy użytkownicy mają dostęp. Ten przełącznik nie kontroluje tego, co użytkownicy widzą w środowisku Moje aplikacje.
Na karcie Użytkownicy i grupy przypisz aplikację do grupy automatycznej Wszyscy użytkownicy . Należy włączyć grupy dynamiczne w dzierżawie firmy Microsoft Entra, aby domyślna grupa Wszyscy użytkownicy miała być dostępna.
Przykład 2. Zezwalanie jawnie na grupę
Jawna autoryzacja grupy w usługach AD FS:
Aby zamapować tę regułę na identyfikator Entra firmy Microsoft:
W centrum administracyjnym firmy Microsoft Entra utwórz grupę użytkowników odpowiadającą grupie użytkowników z usług AD FS.
Przypisz uprawnienia aplikacji do grupy:
Przykład 3. Autoryzowanie określonego użytkownika
Jawna autoryzacja użytkownika w usługach AD FS:
Aby zamapować tę regułę na identyfikator Entra firmy Microsoft:
W centrum administracyjnym firmy Microsoft Entra dodaj użytkownika do aplikacji za pomocą karty Dodaj przypisanie aplikacji, jak pokazano poniżej:
Mapuj reguły uwierzytelniania wieloskładnikowego
Lokalne wdrożenie uwierzytelniania wieloskładnikowego (MFA) i usług AD FS nadal działa po migracji, ponieważ federacyjne z usługami AD FS. Rozważ jednak migrację do wbudowanych funkcji uwierzytelniania wieloskładnikowego platformy Azure, które są powiązane z zasadami dostępu warunkowego firmy Microsoft Entra.
Poniżej przedstawiono przykłady typów reguł uwierzytelniania wieloskładnikowego w usługach AD FS oraz sposób mapowania ich na identyfikator Entra firmy Microsoft na podstawie różnych warunków.
Ustawienia reguły uwierzytelniania wieloskładnikowego w usługach AD FS:
Przykład 1. Wymuszanie uwierzytelniania wieloskładnikowego na podstawie użytkowników/grup
Selektor użytkowników/grup to reguła, która umożliwia wymuszanie uwierzytelniania wieloskładnikowego dla poszczególnych grup (identyfikator SID grupy) lub dla poszczególnych użytkowników (podstawowy identyfikator SID). Oprócz przypisań użytkowników/grup wszystkie inne pola wyboru w interfejsie użytkownika konfiguracji usługi AD FS MFA działają jako dodatkowe reguły, które są oceniane po wymuszaniu reguły użytkowników/grup.
Przykład 2. Wymuszanie uwierzytelniania wieloskładnikowego dla niezarejestrowanych urządzeń
Określ reguły uwierzytelniania wieloskładnikowego dla niezarejestrowanych urządzeń w usłudze Microsoft Entra:
Mapuj atrybuty emituj jako regułę oświadczeń
Emituj atrybuty jako regułę oświadczeń w usługach AD FS:
Aby zamapować regułę na identyfikator Entra firmy Microsoft:
W centrum administracyjnym firmy Microsoft Entra wybierz pozycję Aplikacje dla przedsiębiorstw, a następnie logowanie jednokrotne, aby wyświetlić konfigurację logowania opartego na protokole SAML:
Wybierz pozycję Edytuj (wyróżniona), aby zmodyfikować atrybuty:
Mapowanie wbudowanych zasad kontroli dostępu
Wbudowane zasady kontroli dostępu w usługach AD FS 2016:
Aby zaimplementować wbudowane zasady w usłudze Microsoft Entra ID, użyj nowych zasad dostępu warunkowego i skonfiguruj mechanizmy kontroli dostępu lub użyj niestandardowego projektanta zasad w usługach AD FS 2016, aby skonfigurować zasady kontroli dostępu. Edytor reguł zawiera wyczerpującą listę opcji Zezwól i Z wyjątkiem, które mogą pomóc w uzyskaniu wszystkich rodzajów permutacji.
W tej tabeli wymieniono kilka przydatnych opcji Zezwól i Z wyjątkiem oraz sposób mapowania ich na identyfikator Entra firmy Microsoft.
| Opcja | Jak skonfigurować opcję Zezwól na identyfikator entra firmy Microsoft? | Jak skonfigurować opcję Z wyjątkiem w identyfikatorze Entra firmy Microsoft? |
|---|---|---|
| Z określonych sieci | Mapuje na nazwaną lokalizację w firmie Microsoft Entra | Użyj opcji Wyklucz dla zaufanych lokalizacji |
| Z określonych grupy | Ustawianie przypisania użytkowników/grup | Użyj opcji Wyklucz w obszarze Użytkownicy i grupy |
| Z urządzeń z określonym poziomem zaufania | Ustaw tę opcję z kontrolki Stan urządzenia w > | Użyj opcji Wyklucz w obszarze Warunek stanu urządzenia i Dołącz wszystkie urządzenia |
| Z określonymi oświadczeniami w żądaniu | Nie można migrować tego ustawienia | Nie można migrować tego ustawienia |
Oto przykład konfigurowania opcji Wykluczanie dla zaufanych lokalizacji w centrum administracyjnym firmy Microsoft Entra:
Przenoszenie użytkowników z usług AD FS do identyfikatora entra firmy Microsoft
Synchronizowanie grup usług AD FS w usłudze Microsoft Entra ID
Podczas mapowania reguł autoryzacji aplikacje uwierzytelnione za pomocą usług AD FS mogą używać grup usługi Active Directory do uprawnień. W takim przypadku użyj programu Microsoft Entra Connect , aby zsynchronizować te grupy z identyfikatorem Entra firmy Microsoft przed migracją aplikacji. Przed migracją upewnij się, że te grupy i członkostwo są weryfikowane, aby można było udzielić dostępu tym samym użytkownikom podczas migracji aplikacji.
Aby uzyskać więcej informacji, zobacz Wymagania wstępne dotyczące używania atrybutów grupy synchronizowanych z usługą Active Directory.
Konfigurowanie samodzielnej aprowizacji użytkownika
Niektóre aplikacje SaaS obsługują możliwość aprowizowania użytkowników typu just in time (JIT) podczas pierwszego logowania się do aplikacji. W usłudze Microsoft Entra ID aprowizowanie aplikacji odnosi się do automatycznego tworzenia tożsamości użytkowników i ról w aplikacjach w chmurze (SaaS), do których użytkownicy muszą uzyskiwać dostęp. Użytkownicy, którzy są migrowane, mają już konto w aplikacji SaaS. Wszyscy nowi użytkownicy dodani po migracji muszą zostać aprowizowani. Przetestuj aprowizowanie aplikacji SaaS po zmigrowaniu aplikacji.
Synchronizowanie użytkowników zewnętrznych w identyfikatorze Entra firmy Microsoft
Istniejących użytkowników zewnętrznych można skonfigurować na następujące dwa sposoby w usługach AD FS:
- Użytkownicy zewnętrzni z kontem lokalnym w organizacji — nadal używasz tych kont w taki sam sposób, w jaki działają wewnętrzne konta użytkowników. Te konta użytkowników zewnętrznych mają nazwę jednostki w organizacji, chociaż adres e-mail konta może wskazywać zewnętrznie.
W miarę postępu migracji możesz skorzystać z korzyści oferowanych przez firmę Microsoft Entra B2B , migrując tych użytkowników do korzystania z własnej tożsamości firmowej, gdy taka tożsamość jest dostępna. Usprawnia to proces logowania dla tych użytkowników, ponieważ często logują się przy użyciu własnego logowania firmowego. Administracja organizacji jest również łatwiejsza, nie trzeba zarządzać kontami dla użytkowników zewnętrznych.
-
Tożsamości zewnętrzne federacyjne — jeśli obecnie federujesz z organizacją zewnętrzną, masz kilka podejść do wykonania:
- Dodaj użytkowników współpracy microsoft Entra B2B w centrum administracyjnym firmy Microsoft Entra. Możesz aktywnie wysyłać zaproszenia do współpracy B2B z portalu administracyjnego firmy Microsoft Entra do organizacji partnerskiej, aby członkowie mogli nadal korzystać z aplikacji i zasobów, do których są przyzwyczajeni.
- Utwórz samoobsługowy przepływ pracy rejestracji B2B, który generuje żądanie dla poszczególnych użytkowników w organizacji partnerskiej przy użyciu interfejsu API zaproszenia B2B.
Niezależnie od tego, w jaki sposób istniejący użytkownicy zewnętrzni są skonfigurowani, prawdopodobnie mają uprawnienia skojarzone z kontem w ramach członkostwa w grupie lub określonych uprawnień. Oceń, czy te uprawnienia muszą zostać zmigrowane, czy oczyszczone.
Konta w organizacji reprezentujące użytkownika zewnętrznego muszą być wyłączone po przeprowadzeniu migracji użytkownika do tożsamości zewnętrznej. Proces migracji powinien zostać omówiony z partnerami biznesowymi, ponieważ może to spowodować przerwę w łączeniu się z zasobami.
Następne kroki
- Przeczytaj Migrowanie uwierzytelniania aplikacji do identyfikatora Entra firmy Microsoft.
- Konfigurowanie dostępu warunkowego i uwierzytelniania wieloskładnikowego.
- Wypróbuj przykładowy kod krokowy:AD FS to Microsoft Entra application migration playbook for developers (Przykładowy kod krok:USŁUGI AD FS do usługi Microsoft Entra application migration playbook dla deweloperów).