Compreender os estágios de migração da autenticação de aplicativos do AD FS para o Microsoft Entra ID
O Microsoft Entra ID oferece uma plataforma de identidade universal que fornece às suas pessoas, parceiros e clientes uma única identidade para aceder a aplicações e colaborar a partir de qualquer plataforma e dispositivo. O Microsoft Entra ID tem um conjunto completo de recursos de gerenciamento de identidade. Padronizar a autenticação e a autorização do seu aplicativo para o Microsoft Entra ID oferece esses benefícios.
Tipos de aplicativos para migrar
Seus aplicativos podem usar protocolos modernos ou herdados para autenticação. Ao planejar sua migração para o Microsoft Entra ID, considere migrar os aplicativos que usam protocolos de autenticação modernos (como SAML e OpenID Connect) primeiro.
Esses aplicativos podem ser reconfigurados para autenticação com o Microsoft Entra ID por meio de um conector interno da Galeria de Aplicativos do Azure ou registrando o aplicativo personalizado no Microsoft Entra ID.
Os aplicativos que usam protocolos mais antigos podem ser integrados usando o Proxy de Aplicativo ou qualquer um de nossos parceiros de Acesso Híbrido Seguro (SHA).
Para obter mais informações, consulte:
- Usando o proxy de aplicativo Microsoft Entra para publicar aplicativos locais para usuários remotos.
- O que é o gerenciamento de aplicativos?
- Relatório de atividade do aplicativo AD FS para migrar aplicativos para a ID do Microsoft Entra.
- Monitore o AD FS usando o Microsoft Entra Connect Health.
O processo de migração
Durante o processo de mover a autenticação do aplicativo para o Microsoft Entra ID, teste seus aplicativos e configuração. Recomendamos que você continue a usar os ambientes de teste existentes para testes de migração antes de passar para o ambiente de produção. Se um ambiente de teste não estiver disponível no momento, você poderá configurá-lo usando o Serviço de Aplicativo do Azure ou as Máquinas Virtuais do Azure, dependendo da arquitetura do aplicativo.
Você pode optar por configurar um locatário de teste separado do Microsoft Entra para desenvolver suas configurações de aplicativo.
Seu processo de migração pode ter esta aparência:
Estágio 1 – Estado atual: o aplicativo de produção é autenticado com o AD FS
Etapa 2 – (Opcional) Aponte uma instância de teste do aplicativo para o locatário de teste do Microsoft Entra
Atualize a configuração para apontar sua instância de teste do aplicativo para um locatário de teste do Microsoft Entra e faça as alterações necessárias. O aplicativo pode ser testado com usuários no locatário de teste do Microsoft Entra. Durante o processo de desenvolvimento, você pode usar ferramentas como o Fiddler para comparar e verificar solicitações e respostas.
Se não for viável configurar um locatário de teste separado, ignore esta etapa e aponte uma instância de teste do aplicativo para seu locatário de produção do Microsoft Entra, conforme descrito no Estágio 3 abaixo.
Etapa 3 – Aponte uma instância de teste do aplicativo para o locatário de produção do Microsoft Entra
Atualize a configuração para apontar sua instância de teste do aplicativo para seu locatário de produção do Microsoft Entra. Agora você pode testar com usuários em seu locatário de produção. Se necessário, revise a seção deste artigo sobre a transição de usuários.
Etapa 4 – Aponte o aplicativo de produção para o locatário de produção do Microsoft Entra
Atualize a configuração do seu aplicativo de produção para apontar para o locatário de produção do Microsoft Entra.
Os aplicativos que se autenticam com o AD FS podem usar grupos do Ative Directory para permissões. Use o Microsoft Entra Connect Sync para sincronizar dados de identidade entre seu ambiente local e a ID do Microsoft Entra antes de iniciar a migração. Verifique esses grupos e associação antes da migração para que você possa conceder acesso aos mesmos usuários quando o aplicativo for migrado.
Aplicativos de linha de negócios
Seus aplicativos de linha de negócios são aplicativos que sua organização desenvolveu ou aplicativos que são um produto empacotado padrão.
Os aplicativos de linha de negócios que usam OAuth 2.0, OpenID Connect ou WS-Federation podem ser integrados ao Microsoft Entra ID como registros de aplicativos. Integre aplicativos personalizados que usam SAML 2.0 ou WS-Federation como aplicativos que não são de galeria na página de aplicativos corporativos no centro de administração do Microsoft Entra.