Grundlegendes zu den Phasen der Migration der Anwendungsauthentifizierung von AD FS zu Azure AD
Azure Active Directory (Azure AD) bietet eine universelle Identitätsplattform, die Ihren Mitarbeitern, Partnern und Kunden eine einzige Identität für den Zugriff auf Anwendungen und die Zusammenarbeit auf beliebigen Plattformen und Geräten bereitstellt. Azure AD verfügt über eine vollständige Suite von Funktionen zur Identitätsverwaltung. Durch die Standardisierung Ihrer Anwendungsauthentifizierung und -autorisierung bei Azure AD erhalten Sie folgende Vorteile.
Typen der zu migrierenden Apps
Ihre Anwendungen können moderne oder ältere Protokolle für die Authentifizierung verwenden. Wenn Sie die Migration zu Azure AD planen, empfiehlt es sich, zunächst die Apps zu migrieren, die moderne Authentifizierungsprotokolle (SAML und Open ID Connect) verwenden.
Diese Apps können für die Authentifizierung mit Azure AD entweder über einen integrierten Connector aus dem Azure App-Katalog oder durch Registrieren der benutzerdefinierten Anwendung in Azure AD neu konfiguriert werden.
Apps, die ältere Protokolle verwenden, können mithilfe des Anwendungsproxys oder eines unserer SHA-Partner (Secure Hybrid Access) integriert werden.
Weitere Informationen finden Sie unter
- Veröffentlichen von lokalen Apps für Remotebenutzer mit dem Azure AD-Anwendungsproxy
- Worum handelt es sich bei der Anwendungsverwaltung?
- Verwenden des AD FS-Anwendungsaktivitätsberichts, um Anwendungen zu Azure AD zu migrieren
- Überwachen von AD FS mithilfe von Azure AD Connect Health
Migrationsvorgang
Wenn Sie Ihre App-Authentifizierung in Azure AD verschieben, sollten Sie Ihre Apps und die Konfiguration testen. Wir empfehlen, weiterhin vorhandene Testumgebungen zum Testen der Migration zu verwenden, bevor sie für die Produktionsumgebung bereitgestellt wird. Wenn eine Testumgebung zurzeit nicht verfügbar ist, können Sie diese je nach Architektur der Anwendung mithilfe von Azure App Service oder Azure Virtual Machines einrichten.
Sie können einen separaten Azure AD-Testmandanten einrichten, der bei der Entwicklung Ihrer App-Konfigurationen verwendet werden soll.
Der Migrationsvorgang könnte wie folgt aussehen:
Phase 1 (aktueller Status): Authentifizierung der Produktions-App mit AD FS
Phase 2 (optional): Verweisen auf eine Testinstanz der App auf den Azure AD-Testmandanten
Aktualisieren Sie die Konfiguration, um mit der Testinstanz der App auf einen Azure AD-Testmandanten zu verweisen. Nehmen Sie dabei alle erforderlichen Änderungen vor. Die App kann mit Benutzern im Azure AD-Testmandanten getestet werden. Während des Entwicklungsprozesses können Sie Tools wie Fiddler verwenden, um Anforderungen und Antworten zu vergleichen und zu überprüfen.
Wenn es nicht möglich ist, einen separaten Testmandanten einzurichten, überspringen Sie diesen Schritt, und verweisen Sie, wie unten in Phase 3 beschrieben, mit einer Testinstanz der App auf Ihren Azure AD-Produktionsmandanten.
Phase 3: Verweisen einer Testinstanz der App auf den Azure AD-Produktionsmandanten
Aktualisieren Sie die Konfiguration, um mit der Testinstanz der App auf Ihren Azure AD-Produktionsmandanten zu verweisen. Sie können dies jetzt mit Benutzern in Ihrem Produktionsmandanten testen. Lesen Sie sich ggf. noch mal den Abschnitt dieses Artikels über das Migrieren durch.
Phase 4: Verweisen der Produktions-App auf den Azure AD-Produktionsmandanten
Aktualisieren Sie die Konfiguration Ihrer Produktions-App so, dass sie auf Ihren Azure AD-Produktionsmandanten verweist.
Apps, die sich mit AD FS authentifizieren, können Active Directory-Gruppen für Berechtigungen verwenden. Verwenden Sie die Azure AD Connect-Synchronisierung, um Identitätsdaten zwischen Ihrer lokalen Umgebung und Azure AD vor der Migration zu synchronisieren. Überprüfen Sie diese Gruppen und Mitgliedschaften vor der Migration, damit Sie denselben Benutzern Zugriff gewähren können, wenn die Anwendung migriert wird.
LOB-Apps (branchenspezifische Apps)
Ihre branchenspezifischen Apps sind diejenigen, die Ihre Organisation entwickelt hat, oder die, bei denen es sich um ein Standardpaketprodukt handelt.
Branchenspezifische Apps, für die OAuth 2.0, OpenID Connect oder der WS-Verbund verwendet werden, können als App-Registrierungen mit Azure AD integriert werden. Integrieren Sie benutzerdefinierte Apps, die SAML 2.0 oder den WS-Verbund verwenden, im Microsoft Entra Admin Center auf der Unternehmensanwendungsseite als Nicht-Katalog-Anwendungen.