Freigeben über


Grundlegendes zu den Phasen der Migration der Anwendungsauthentifizierung von AD FS zu Microsoft Entra ID

Microsoft Entra ID bietet eine universelle Identitätsplattform, die Ihren Mitarbeitern, Partnern und Kunden eine einzige Identität für den Zugriff auf Anwendungen und die Zusammenarbeit auf beliebigen Plattformen und Geräten bereitstellt. Microsoft Entra ID verfügt über eine vollständige Suite von Funktionen zur Identitätsverwaltung. Die Standardisierung Ihrer Anwendungsauthentifizierung und -autorisierung auf Microsoft Entra ID bietet folgende Vorteile.

Typen der zu migrierenden Apps

Ihre Anwendungen verwenden möglicherweise moderne oder ältere Protokolle für die Authentifizierung. Wenn Sie die Migration zu Microsoft Entra ID planen, empfiehlt es sich, zunächst die Apps zu migrieren, die moderne Authentifizierungsprotokolle (SAML und OpenID Connect) verwenden.

Diese Apps können so konfiguriert werden, dass sie sich entweder über einen integrierten Connector aus dem Azure App-Katalog mit der Microsoft Entra-ID authentifizieren. Sie können auch neu konfiguriert werden, indem sie die benutzerdefinierte Anwendung in der Microsoft Entra-ID registrieren.

Apps, die ältere Protokolle verwenden, können mithilfe des Anwendungsproxys oder eines unserer SHA-Partner (Secure Hybrid Access) integriert werden.

Weitere Informationen finden Sie unter:

Der Migrationsprozess

Wenn Sie Ihre App-Authentifizierung in Microsoft Entra ID verschieben, sollten Sie Ihre Apps und die Konfiguration testen. Wir empfehlen, weiterhin vorhandene Testumgebungen zum Testen der Migration zu verwenden, bevor sie für die Produktionsumgebung bereitgestellt wird. Wenn eine Testumgebung zurzeit nicht verfügbar ist, können Sie diese je nach Architektur der Anwendung mithilfe von Azure App Service oder Azure Virtual Machines einrichten.

Sie können einen separaten Testmandanten von Microsoft Entra einrichten, auf dem Ihre App-Konfigurationen entwickelt werden sollen.

Ihr Migrationsprozess sieht möglicherweise wie folgt aus:

Phase 1 (aktueller Status): Authentifizierung der Produktions-App mit AD FS

Diagramm: Migrationsphase 1

Phase 2 (optional): Verweisen auf eine Testinstanz der App auf den Microsoft Entra-Testmandanten

Aktualisieren Sie die Konfiguration, um mit der Testinstanz der App auf einen Microsoft Entra-Testmandanten zu verweisen. Nehmen Sie dabei alle erforderlichen Änderungen vor. Die App kann mit Benutzern im Microsoft Entra-Testmandanten getestet werden. Während des Entwicklungsprozesses können Sie Tools wie Fiddler verwenden, um Anforderungen und Antworten zu vergleichen und zu überprüfen.

Wenn es nicht möglich ist, einen separaten Testmandanten einzurichten, überspringen Sie diesen Schritt, und verweisen Sie, wie unten in Phase 3 beschrieben, mit einer Testinstanz der App auf Ihren Microsoft Entra-Produktionsmandanten.

Diagramm: Migrationsphase 2

Phase 3: Verweisen einer Testinstanz der App auf den Microsoft Entra-Produktionsmandanten

Aktualisieren Sie die Konfiguration, um mit der Testinstanz der App auf Ihren Microsoft Entra-Produktionsmandanten zu verweisen. Sie können dies jetzt mit Benutzern in Ihrem Produktionsmandanten testen. Lesen Sie sich ggf. noch mal den Abschnitt dieses Artikels über das Migrieren durch.

Diagramm: Migrationsphase 3

Phase 4: Verweisen der Produktions-App auf den Microsoft Entra-Produktionsmandanten

Aktualisieren Sie die Konfiguration Ihrer Produktions-App so, dass sie auf Ihren Microsoft Entra-Produktionsmandanten verweist.

Diagramm: Migrationsphase 4

Apps, die sich mit AD FS authentifizieren, können Active Directory-Gruppen für Berechtigungen verwenden. Verwenden Sie die Microsoft Entra Connect-Synchronisierung, um Identitätsdaten zwischen Ihrer lokalen Umgebung und Microsoft Entra ID vor der Migration zu synchronisieren. Überprüfen Sie diese Gruppen und Mitgliedschaften vor der Migration, damit Sie denselben Benutzern Zugriff gewähren können, wenn die Anwendung migriert wird.

Branchen-Apps

Ihre Branchen-Apps sind Apps, die Ihre Organisation entwickelt hat, oder Apps, die ein Standardpaketprodukt sind.

Branchenspezifische Apps, für die OAuth 2.0, OpenID Connect oder der WS-Verbund verwendet werden, können als App-Registrierungen mit Microsoft Entra ID integriert werden. Integrieren Sie benutzerdefinierte Apps, die SAML 2.0 oder den WS-Verbund verwenden, im Microsoft Entra Admin Center auf der Unternehmensanwendungsseite als Nicht-Katalog-Anwendungen.

Konfigurieren des SAML-basierten einmaligen Anmeldens