Сведения о этапах переноса проверки подлинности приложения из AD FS в идентификатор Microsoft Entra

Идентификатор Microsoft Entra предлагает универсальную платформу удостоверений, которая предоставляет пользователям, партнерам и клиентам единый идентификатор для доступа к приложениям и совместной работы с любой платформой и устройством. Идентификатор Microsoft Entra имеет полный набор возможностей управления удостоверениями. Стандартизация проверки подлинности приложения и авторизации в идентификаторе Microsoft Entra предоставляет эти преимущества.

Типы переносимых приложений

Приложения могут использовать современные или устаревшие протоколы для проверки подлинности. При планировании миграции на идентификатор Microsoft Entra рекомендуется сначала перенести приложения, использующие современные протоколы проверки подлинности (например, SAML и OpenID Подключение).

Эти приложения можно перенастроить для проверки подлинности с помощью идентификатора Microsoft Entra ID либо с помощью встроенного соединителя из коллекции приложение Azure, либо путем регистрации пользовательского приложения в идентификаторе Microsoft Entra ID.

Приложения, использующие старые протоколы, можно интегрировать с помощью прокси приложения или любого из наших партнеров по безопасному гибридному доступу (SHA).

Дополнительные сведения см. в разделе:

Процесс переноса

Во время перемещения проверки подлинности приложения на идентификатор Microsoft Entra проверьте приложения и конфигурацию. Перед переходом в рабочую среду рекомендуется продолжать использовать существующие тестовые среды для тестирования миграции. Если тестовая среда в настоящее время недоступна, вы можете настроить ее с помощью Службы приложений Azure или Виртуальных машин Azure в зависимости от архитектуры приложения.

Вы можете настроить отдельный тестовый клиент Microsoft Entra для разработки конфигураций приложения.

Процесс миграции может выглядеть следующим образом:

Этап 1. Текущее состояние: в рабочем приложении выполняется проверка подлинности с помощью AD FS

Diagram showing migration stage 1.

Этап 2. Указание тестового экземпляра приложения на тестовый клиент Microsoft Entra

Обновите конфигурацию, чтобы указать тестовый экземпляр приложения на тестовый клиент Microsoft Entra и внести все необходимые изменения. Приложение можно протестировать с пользователями в тестовом клиенте Microsoft Entra. В процессе разработки для сравнения и проверки запросов и ответов можно использовать такие средства, как Fiddler.

Если невозможно настроить отдельный тестовый клиент, пропустите этот этап и укажите тестовый экземпляр приложения в рабочий клиент Microsoft Entra, как описано на этапе 3 ниже.

Diagram showing migration stage 2.

Этап 3. Указание тестового экземпляра приложения на рабочий клиент Microsoft Entra

Обновите конфигурацию, чтобы указать тестовый экземпляр приложения в рабочий клиент Microsoft Entra. Теперь можно протестировать работу пользователей в рабочем клиенте. При необходимости изучите раздел этой статьи, посвященный переходу пользователей.

Diagram showing migration stage 3.

Этап 4. Указание рабочего приложения на рабочий клиент Microsoft Entra

Обновите конфигурацию рабочего приложения, чтобы указать на рабочий клиент Microsoft Entra.

Diagram showing migration stage 4.

Приложения, которые проходят проверку подлинности с помощью AD FS, могут использовать группы Active Directory для разрешений. Перед началом миграции используйте microsoft Entra Подключение Sync для синхронизации данных удостоверений между локальной средой и идентификатором Microsoft Entra. Прежде чем выполнять миграцию, проверьте эти группы и членство в них, чтобы предоставить доступ тем же пользователям после миграции приложения.

Бизнес-приложения

Бизнес-приложения — это приложения, разработанные вашей организацией или приложениями, которые являются стандартным упакованным продуктом.

Бизнес-приложения, использующие OAuth 2.0, OpenID Подключение или WS-Federation, можно интегрировать с идентификатором Microsoft Entra id в качестве регистрации приложений. Интеграция пользовательских приложений, использующих SAML 2.0 или WS-Federation, в качестве приложений , отличных от коллекции, на странице корпоративных приложений в Центре администрирования Microsoft Entra.

Следующие шаги