Descripción de las fases de migración de la autenticación de aplicaciones de AD FS a Microsoft Entra ID
Microsoft Entra ID ofrece una plataforma de identidad universal que proporciona a los usuarios, asociados y clientes una identidad única para acceder a las aplicaciones y colaborar desde cualquier plataforma y dispositivo. Con Microsoft Entra ID se incluye un conjunto completo de funcionalidades de administración de identidades. La estandarización de la autenticación y autorización de las aplicaciones en Microsoft Entra ID ofrece estas ventajas.
Tipos de aplicaciones que se van a migrar
Las aplicaciones pueden usar protocolos modernos o heredados para la autenticación. Cuando planee la migración a Microsoft Entra ID, considere la posibilidad de migrar primero las aplicaciones que usen protocolos de autenticación modernos (como SAML y Open ID Connect).
Estas aplicaciones se pueden volver a configurar para autenticarse con Microsoft Entra ID a través de un conector integrado desde la Galería de aplicaciones o al registrar la aplicación personalizada en Microsoft Entra ID.
Las aplicaciones que usan protocolos anteriores se pueden integrar mediante Application Proxy o cualquiera de nuestros asociados de acceso híbrido seguro (SHA).
Para más información, consulte:
- Uso de Microsoft Entra proxy de aplicación para publicar aplicaciones locales para usuarios remotos.
- ¿Qué es la administración de aplicaciones?
- Informe de actividad de la aplicación de AD FS para migrar aplicaciones al identificador de Microsoft Entra ID.
- Consulte Supervisión de AD FS mediante Microsoft Entra Connect Health.
El proceso de migración
Durante el proceso de trasladar la autenticación de las aplicaciones a Microsoft Entra ID, pruebe tanto las aplicaciones como la configuración. Se recomienda seguir usando los entornos de prueba existentes para las pruebas de migración antes de trasladarse al entorno de producción. Si actualmente no hay disponible un entorno de prueba, puede configurar uno con Azure App Service o Azure Virtual Machines, dependiendo de la arquitectura de la aplicación.
Puedes optar por configurar un inquilino de Microsoft Entra de prueba independiente para usarlo cuando desarrolles las configuraciones de las aplicaciones.
El proceso de migración puede tener el aspecto siguiente:
Fase 1: Estado actual: la aplicación de producción se autentica con AD FS
Fase 2: (opcional) Apunte una instancia de prueba de la aplicación al inquilino de prueba de Microsoft Entra
Actualice la configuración para que apunte la instancia de prueba de la aplicación a un inquilino de Microsoft Entra de prueba y haga los cambios que sean necesarios. La aplicación se puede probar con los usuarios en el inquilino de Microsoft Entra de prueba. Durante el proceso de desarrollo, puede usar herramientas como Fiddler para comparar y comprobar solicitudes y respuestas.
Si no es factible configurar un inquilino de prueba independiente, omita esta fase y apunte una instancia de prueba de la aplicación a su inquilino de Microsoft Entra de producción, tal como se describe en la fase 3.
Fase 3: Apunte una instancia de prueba de la aplicación al inquilino de Microsoft Entra de producción
Actualice la configuración para que apunte la instancia de prueba de la aplicación al inquilino de producción de Microsoft Entra. Ahora puede probar con los usuarios del inquilino de producción. Si es necesario, revise la sección de este artículo que habla sobre la transición de usuarios.
Fase 4: Apunte la aplicación de producción al inquilino de Microsoft Entra de producción
Actualice la configuración de la aplicación de producción para que apunte al inquilino de Microsoft Entra de producción.
Las aplicaciones que se autentican con AD FS pueden usar grupos de Active Directory para los permisos. Use la sincronización de Microsoft Entra Connect para sincronizar los datos de identidad entre el entorno local y Microsoft Entra ID antes de empezar la migración. Compruebe esos grupos y pertenencias antes de la migración para que pueda conceder acceso a los mismos usuarios cuando se migre la aplicación.
Aplicaciones de línea de negocio
Las aplicaciones de línea de negocio son las aplicaciones que tu organización desarrolló o que son un producto estándar empaquetado.
Las aplicaciones de línea de negocio que usan OAuth 2.0, OpenID Connect o WS-Federation se pueden integrar con Microsoft Entra ID como registros de aplicación. Integre aplicaciones personalizadas que usan SAML 2.0 o WS-Federation como aplicaciones que no son de la galería en la página de aplicaciones empresariales del Centro de administración de Microsoft Entra.