计划向 Microsoft Entra ID 的应用程序迁移
本文介绍 Microsoft Entra ID 的优势,以及如何规划应用程序身份验证的迁移。 本文概述了规划和退出条件,以帮助你规划迁移策略,并了解 Microsoft Entra 身份验证如何支持组织目标。
该过程划分为四个阶段, 每个阶段都有详细的规划和退出条件,旨在帮助你规划迁移策略并了解 Microsoft Entra 身份验证如何支持你的组织目标。
介绍
如今,你的组织需要很多应用程序才能使用户完成工作。 你可能每天都会继续添加、开发或停用应用。 用户从各种公司和个人设备以及范围广泛的位置访问这些应用程序。 他们通过多种方式打开应用,包括:
- 通过公司主页或门户
- 在其浏览器上添加书签或收藏夹
- 通过供应商的服务型软件 (SaaS) 应用的 URL
- 通过移动设备/应用程序管理 (MDM/MAM) 解决方案直接推送到用户的桌面或移动设备的链接
应用程序可能使用以下类型的身份验证:
安全断言标记语言 (SAML) 或 OpenID Connect (OIDC) 通过本地或云托管的标识和访问管理 (IAM) 解决方案联合解决方案(例如 Active Directory 联合身份验证服务 (ADFS)、Okta 或 Ping)
通过 Active Directory 的 Kerberos 或 NTLM
通过 Ping 访问进行基于标头的身份验证
为确保用户能够轻松安全地访问应用程序,你的目标是在本地环境和云环境中拥有一组访问控制和策略。
Microsoft Entra ID 提供了一个通用的标识平台,为你的员工、合作伙伴和客户提供单一标识,用于访问他们所需的应用程序。 该平台可提升来自任何平台和设备的合作。
Microsoft Entra ID 具有一整套标识管理功能。 通过将应用身份验证和授权标准化到 Microsoft Entra ID,可获得这些功能所提供的好处。
有关更多迁移资源,请参阅:https://aka.ms/migrateapps
规划迁移阶段和项目策略
技术项目的失败通常是由于预期不匹配、没有适当的利益干系人参与或者缺乏沟通造成的。 通过规划项目本身来确保你的成功。
迁移阶段
在使用这些工具之前,你应该了解如何对迁移过程进行透彻地思考。 通过几次直接面向客户的研讨会,我们推荐以下四个阶段:
组建项目团队
应用程序迁移是一项团队工作,你需要确保所有重要职位都有人担任。 高级业务主管的支持非常重要。 确保使一组合适的执行发起人、业务决策者和行业专家 (SME) 参与其中。
在迁移项目中,一个人可能扮演多个角色,或者多个人扮演一个角色,这取决于组织的规模和结构。 你可能还会依赖于其他在你的安全格局中扮演重要角色的团队。
下表包括关键角色及其贡献:
| 角色 | 参与 |
|---|---|
| 项目经理 | 负责指导项目的项目指导者,其责任包括: - 获取行政支持 - 引入利益干系人 - 管理计划、文档和通信 |
| 标识架构师/Microsoft Entra 应用管理员 | 负责以下任务: - 与利益干系人合作设计解决方案 - 将解决方案设计和操作过程编制成文档,以便移交给运营团队 - 管理预生产环境和生产环境 |
| 本地 AD 运营团队 | 管理不同本地标识源(如 AD 林、LDAP 目录、HR 系统等)的组织。 - 在同步之前执行所需的任何修正任务 - 提供同步所需的服务帐户 - 提供对 Microsoft Entra ID 配置联合身份验证的访问权限 |
| IT 支持经理 | IT 支持组织的代表,可以从服务支持的角度提供有关更改的可支持性的信息。 |
| 安全所有者 | 安全团队的代表,可以确保计划符合组织的安全要求。 |
| 应用程序技术所有者 | 包括与 Microsoft Entra ID 集成的应用和服务的技术所有者。 他们提供了应包含在同步过程中的应用程序的标识特性。 他们通常与 CSV 代表有关系。 |
| 应用程序业务所有者 | 可以从用户的角度提供对于此次更改的用户体验和实用性方面的信息的具有代表性的同事。 此代表还拥有应用程序的整体业务方面,可能包括管理访问权限。 |
| 试点用户组 | 将测试作为其日常工作(试点体验)的一部分的用户,并提供反馈来指导其余的部署。 |
规划沟通
有效的业务参与和交流是取得成功的关键。 为利益干系人和最终用户提供用于获取信息并及时了解计划更新的途径,这点非常重要。 让每个人都了解迁移的价值、预期的时间线以及对任何临时业务中断进行规划的方式。 使用多种途径,如简报会话、电子邮件、一对一会议、横幅和全体集会。
根据你为应用选择的通信策略,你可能希望提醒用户即将到来的停机时间。 你还应该验证最近没有需要推迟部署的变更或业务影响。
在下表中,可找到使利益干系人保持知情的最低限度的建议通信:
规划阶段和项目策略
| 通信 | 目标受众 |
|---|---|
| 项目的认知和业务/技术价值 | 除最终用户外的所有人员 |
| 试点应用征集 | - 应用业务所有者 - 应用技术所有者 - 架构师和标识团队 |
阶段 1 - 发现并界定范围:
| 通信 | 目标受众 |
|---|---|
| - 应用程序信息征集 - 范围界定实践的结果 |
- 应用技术所有者 - 应用业务所有者 |
阶段 2 - 对应用分类并规划试点:
| 通信 | 目标受众 |
|---|---|
| - 分类的结果及其对迁移计划的意义 - 初步迁移计划 |
- 应用技术所有者 - 应用业务所有者 |
阶段 3 - 规划迁移和测试:
| 通信 | 目标受众 |
|---|---|
| - 应用程序迁移测试的结果 | - 应用技术所有者 - 应用业务所有者 |
| - 通知迁移即将到来以及结果说明 最终用户体验。 - 故障时间即将到来以及完成的通信,包括 他们现在应该做什么、反馈、如何获取帮助 |
- 最终用户(以及所有其他人员) |
阶段 4 - 管理并获取见解:
| 通信 | 目标受众 |
|---|---|
| 可用分析以及访问方式 | - 应用技术所有者 - 应用业务所有者 |
迁移状态通信仪表板
传达迁移项目的整体状态至关重要,因为它显示了进度,并可帮助应用要进行迁移的应用所有者做好迁移的准备。 可使用 Power BI 或其他报告工具构建一个简单的仪表板,以在迁移期间提供对应用程序状态的可见性。
可考虑使用的迁移状态如下所示:
| 迁移状态 | 操作计划 |
|---|---|
| 初始请求 | 查找应用并联系所有者以获取详细信息 |
| 评估完成 | 应用所有者评估应用要求并返回应用问卷 |
| 正在进行配置 | 列出管理针对 Microsoft Entra ID 的身份验证所需的更改 |
| 测试配置成功 | 评估更改,并在测试环境中针对测试 Microsoft Entra 租户对应用进行身份验证 |
| 生产配置成功 | 更改配置,使其适用于生产 AD 租户,并在测试环境中评估应用身份验证 |
| 完成/注销 | 将应用的更改部署到生产环境,并针对生产 Microsoft Entra 租户执行 |
此阶段可确保应用所有者知道应用迁移和测试计划的内容,应用进行迁移的时间, 以及已迁移的其他应用的结果。 你还可以考虑提供指向 bug 跟踪器数据库的链接,使所有者能够归档和查看要迁移的应用的问题。