阶段 3:规划迁移和测试
获得业务认可后,下一步就是开始将这些应用迁移到 Microsoft Entra 身份验证。
迁移工具和指南
使用提供的工具和指南,按照将应用程序迁移到 Microsoft Entra ID 所需的具体步骤进行操作:
- 常规迁移指南 - 使用 Microsoft Entra 应用迁移工具包中的白皮书、工具、电子邮件模板和应用程序问卷来发现应用、对应用分类并迁移应用。
- SaaS 应用程序 – 请参阅 SaaS 应用教程列表和 Microsoft Entra SSO 部署计划,逐步完成端到端过程。
- 在本地运行的应用程序 – 全面了解 Microsoft Entra 应用程序代理,并使用完整的 Microsoft Entra 应用程序代理部署计划快速开始,或者考虑你可能已经拥有的安全混合访问合作伙伴。
- 正在开发的应用 - 请参阅分步集成和注册指南。
规划测试
在迁移过程中,应用可能已具有在常规部署过程中使用的测试环境。 可继续使用此环境进行迁移测试。 如果测试环境当前不可用,则可使用 Azure 应用服务或 Azure 虚拟机来设置一个测试环境,具体取决于应用程序的体系结构。
可选择设置一个独立的测试 Microsoft Entra 租户,以在开发应用配置时使用。 此租户以干净状态启动,并且不会配置为与任何系统同步。
根据你配置应用的方式,验证 SSO 是否正常工作。
| 身份验证类型 | 正在测试 |
|---|---|
| OAuth/OpenID Connect | 选择企业应用程序>权限,并确保你已在应用的用户设置中同意该应用程序在你的组织中使用。 |
| 基于 SAML 的 SSO | 使用“单一登录”下的测试 SAML 设置按钮。 |
| 基于密码的 SSO | 下载并安装 MyApps 安全登录扩展。 此扩展可帮助你启动组织中任何需要你使用 SSO 过程的云应用。 |
| 应用程序代理 | 确保连接器正在运行并已分配给应用程序。 访问应用程序代理故障排除指南以获取进一步的帮助。 |
可通过使用测试用户登录来测试每个应用,并确保所有功能与迁移之前的功能相同。 如果你在测试期间确定用户需要更新他们的 MFA 或 SSPR 设置,或者你要在迁移期间添加此功能,请务必将其添加到最终用户通信计划中。 请参阅 MFA 和 SSPR 最终用户通信模板。
疑难解答
如果遇到问题,请检查我们的应用故障排除指南和安全混合访问合作伙伴集成一文以获取帮助。 此外,还可以查看故障排除文章,请参阅登录到基于 SAML 的单一登录配置的应用时出现问题。
规划回滚
如果迁移失败,我们建议你将现有信赖方留在 AD FS 服务器上,并删除对信赖方的访问权限。 这允许在部署期间根据需要进行快速回退。
对于可以采取的缓解迁移问题的措施,请考虑以下建议:
- 获取应用的现有配置的屏幕截图。 如果必须再次重新配置应用,你可以返回查看该截图。
- 还可以考虑为应用程序提供链接,以便在云身份验证出现问题时使用替代身份验证选项(旧式或本地身份验证)。
- 在完成迁移之前,请勿通过现有标识提供者更改现有配置。
- 请注意支持多个 IdP 的应用,因为它们提供更简单的回滚计划。
- 确保你的应用体验有一个“反馈”按钮或指向你的支持人员的指针,以解决问题 。
员工通信
尽管计划内的故障时间可能很短,但你仍应计划在从 AD FS 切换到 Microsoft Entra ID 时,主动将这些时间范围传达给员工。 确保你的应用体验有一个“反馈”按钮或指向你的支持人员的指针,以解决问题。
部署完成后,可以通知用户部署成功,并提醒用户需要执行的任何步骤。
- 指示用户使用我的应用访问所有已迁移的应用程序。
- 提醒用户,他们可能需要更新其 MFA 设置。
- 如果自助式密码重置已部署,用户可能需要更新或验证其身份验证方法。 请参阅 MFA 和 SSPR 最终用户通信模板。
外部用户通信
如果出现任何问题,这组用户通常受到最严重的影响。 如果安全状况要求外部合作伙伴使用一组不同的条件访问规则或风险配置文件,这种情况尤其如此。 确保外部合作伙伴了解云迁移计划并设定了一个时间范围,鼓励他们在此时间范围内参与试点部署,以测试外部协作独有的所有流。 最后,确保在出现问题时,他们可以联系你的支持人员。
退出条件
若你完成了以下操作,则你在此阶段获得了成功:
- 查看迁移工具
- 规划测试,包括测试环境和组
- 规划回滚