Compartir a través de

Migración de aplicaciones de AD FS para mover aplicaciones de AD FS a Microsoft Entra ID

En este artículo, aprenderá a migrar las aplicaciones de los Servicios de federación de Active Directory (AD FS) a Microsoft Entra ID mediante la migración de aplicaciones de AD FS.

La migración de aplicaciones de AD FS proporciona experiencia guiada a los administradores de TI para migrar aplicaciones de usuario de confianza de AD FS desde AD FS a Microsoft Entra ID. El asistente le ofrece una experiencia unificada para detectar, evaluar y configurar una nueva aplicación de Microsoft Entra. Proporciona configuración de un solo clic para las direcciones URL básicas de SAML, asignación de notificaciones y asignaciones de usuario para integrar la aplicación con Microsoft Entra ID.

La herramienta de migración de aplicaciones de AD FS está diseñada para proporcionar compatibilidad de un extremo a otro para migrar aplicaciones de AD FS locales a Microsoft Entra ID.

Con la migración de aplicaciones de AD FS, puede hacer lo siguiente:

  • Evalúe las actividades de inicio de sesión de la aplicación de confianza de AD FS, lo que le ayuda a identificar el uso y el impacto de las aplicaciones dadas.
  • Analice la viabilidad de la migración de AD FS a Microsoft Entra que le ayude a identificar los bloqueadores de migración o las acciones necesarias para migrar sus aplicaciones a la plataforma Microsoft Entra.
  • Configure una nueva aplicación de Microsoft Entra con un solo clic en el proceso de migración de aplicaciones, que configura automáticamente una nueva aplicación de Microsoft Entra para la aplicación de AD FS determinada.

Requisitos previos

Para usar la migración de aplicaciones de AD FS debe tener:

  • En estos momentos, su organización debe usar AD FS para acceder a las aplicaciones.
  • Una licencia de Microsoft Entra ID P1 o P2.
  • Uno de los siguientes roles asignados:
    • Administrador de aplicaciones en la nube
    • Administrador de aplicaciones
    • Lector global (acceso de solo lectura)
    • Lector de informes (acceso de solo lectura)
  • Microsoft Entra Connect debe instalarse en los entornos locales, junto con los agentes sanitarios de AD FS de Microsoft Entra Connect Health.

Hay dos razones por las que no verá todas las aplicaciones que espera después de instalar los agentes de Microsoft Entra Connect Health para AD FS:

  • El panel de migración de aplicaciones de AD FS solo muestra las aplicaciones de AD FS que tengan inicios de sesión de usuario en los últimos 30 días.
  • Las aplicaciones de usuario de confianza de AD FS relacionadas con Microsoft no están disponibles en el panel.

Ver el panel de migración de aplicaciones de AD FS en Microsoft Entra ID

El panel de migración de aplicaciones de AD FS está disponible en el Centro de administración de Microsoft Entra en Informes de uso e información . Hay dos puntos de entrada para el asistente:

En la sección Aplicaciones empresariales :

  1. Inicie sesión en el Centro de administración de Microsoft Entra como al menos un administrador de aplicaciones en la nube.
  2. Vaya a Entra ID>Aplicaciones empresariales.
  3. En Uso e información, seleccione migración de aplicaciones de AD FS para acceder al panel de migración de aplicaciones de AD FS.

Desde la sección Supervisión y mantenimiento :

  1. Inicie sesión en el Centro de administración de Microsoft Entra como al menos un administrador de aplicaciones en la nube.
  2. Vaya a Entra ID>Monitoreo y salud>Uso y perspectivas.
  3. En Administrar, seleccione Usage & Insights y, a continuación, seleccione AD FS application migration (Migración de aplicaciones de AD FS ) para acceder al panel de migración de aplicaciones de AD FS.

El panel de migración de aplicaciones de AD FS muestra la lista de todas las aplicaciones de usuario de confianza de AD FS que tienen tráfico de inicio de sesión activo en el último período de 30 días.

El panel tiene el filtro de intervalo de fechas. El filtro permite seleccionar todas las aplicaciones de usuario de confianza de AD FS activas según el intervalo de tiempo seleccionado. El filtro admite los últimos 1 día, 7 días y 30 días.

Hay tres pestañas que proporcionan la lista completa de aplicaciones, aplicaciones configurables y aplicaciones configuradas previamente. En este panel, verá información general sobre el progreso general del trabajo de migración.

Las tres pestañas del panel son:

  • Todas las aplicaciones : muestra la lista de todas las aplicaciones que se detectan desde el entorno local.
  • Listo para migrar: muestra la lista de todas las aplicaciones que tienen el estado de migración Listo o Necesita revisión.
  • Listo para configurar: muestra la lista de todas las aplicaciones de Microsoft Entra que se migraron anteriormente mediante el Asistente para la migración de aplicaciones de AD FS.

Estado de migración de la aplicación

Los agentes de Microsoft Entra Connect y Microsoft Entra Connect Health para AD FS leen las configuraciones de aplicaciones de usuarios de confianza de AD FS y los registros de auditoría de inicio de sesión. Estos datos sobre cada aplicación de AD FS se analizan para determinar si la aplicación se puede migrar as-iso si se necesita más revisión. En función del resultado de este análisis, el estado de migración de la aplicación dada se indica como uno de los siguientes estados:

  • Listo para migrar significa que la configuración de la aplicación de AD FS es totalmente compatible con el identificador de Microsoft Entra y se puede migrar as-is.
  • Necesita revisión significa que algunas configuraciones de la aplicación se pueden migrar a Microsoft Entra ID, pero necesita revisar las configuraciones que no se pueden migrar as-is. Sin embargo, la configuración no es bloqueador para la migración.
  • Los pasos adicionales necesarios significan que el identificador de Entra de Microsoft no admite algunas de las opciones de configuración de la aplicación, por lo que la aplicación no se puede migrar en su estado actual.

Revisemos cada pestaña en el panel de migración de aplicaciones de AD FS con más detalle.

Pestaña Todas las aplicaciones

En la pestaña Todas las aplicaciones se muestran todas las aplicaciones de usuario de confianza de AD FS activas a partir del intervalo de fechas seleccionado. El usuario puede analizar el impacto de cada aplicación mediante los datos de inicio de sesión agregados. También pueden navegar al panel de detalles mediante el vínculo Estado de migración .

Para ver detalles sobre cada regla de validación, consulte Reglas de validación de la migración de aplicaciones de AD FS.

Captura de pantalla del panel de detalles de la migración de aplicaciones de AD FS.

Seleccione un mensaje para abrir otros detalles de la regla de migración. Para obtener una lista completa de las propiedades probadas, consulte la tabla de pruebas de configuración siguiente.

Comprobación de los resultados de las pruebas de reglas de notificaciones

Si configuró una regla de notificación para la aplicación en AD FS, la experiencia proporciona un análisis pormenorizados de todas las reglas de notificación. Verá qué reglas de notificación puede mover a Microsoft Entra ID y cuáles necesitan revisión adicional.

  1. Seleccione una aplicación en la lista de aplicaciones de la pestaña Todas las aplicaciones y, a continuación, seleccione el estado en la columna Estado de migración para ver los detalles de la migración. Verá un resumen de las pruebas de configuración superadas, junto con los posibles problemas de migración.
  2. En la página Detalles de la regla de migración , expanda los resultados para mostrar detalles sobre posibles problemas de migración y obtener más instrucciones. Para obtener una lista detallada de todas las reglas de notificación probadas, consulte la sección pruebas de reglas de notificación de este artículo.

En el ejemplo siguiente se muestran los detalles de la regla de migración para la regla de IssuanceTransform. Muestra las partes específicas de la notificación que deben revisarse y abordarse antes de poder migrar la aplicación a Microsoft Entra ID.

Captura de pantalla del panel de detalles de reglas de migración de aplicaciones de AD FS.

Pruebas de reglas de notificaciones

En la tabla siguiente se enumeran todas las pruebas de reglas de notificaciones que se realizan en aplicaciones de AD FS.

Propiedad Descripción
PARÁMETRO_DE_CONDICIÓN_NO_SOPORTADO La instrucción de condición utiliza expresiones regulares para evaluar si la notificación coincide con un patrón determinado. Para lograr una funcionalidad similar en Microsoft Entra ID, puede usar la transformación predefinida como IfEmpty(), StartWith() o Contains(), entre otras. Para obtener más información, consulte Personalizar las notificaciones emitidas en el token SAML para aplicaciones empresariales.
CLASE_CONDICIÓN_NO_SOPORTADA La instrucción de condición tiene varias condiciones que deben evaluarse antes de ejecutar la instrucción de emisión. Microsoft Entra ID puede admitir esta funcionalidad con las funciones de transformación de la notificación, donde puede evaluar varios valores de notificaciones. Para obtener más información, consulte Personalizar las notificaciones emitidas en el token SAML para aplicaciones empresariales.
TIPO_DE_REGLA_NO_SOPORTADO No se pudo reconocer la regla de notificaciones. Para obtener más información sobre cómo configurar notificaciones en microsoft Entra ID, consulte Personalización de notificaciones emitidas en el token SAML para aplicaciones empresariales.
CONDICIÓN_COINCIDE_EMISOR_NO_SOPORTADO La instrucción de condición usa un emisor que no se admite en Microsoft Entra ID. Actualmente, Microsoft Entra no procesa las notificaciones de los almacenes que no sean de Active Directory o Microsoft Entra ID. Si esta condición le impide migrar aplicaciones a Microsoft Entra ID, háganoslo saber.
FUNCIÓN_DE_CONDICIÓN_NO_SOPORTADA La instrucción de condición utiliza una función de agregado para emitir o agregar una única notificación sin tener en cuenta el número de coincidencias. En Microsoft Entra ID puede evaluar el atributo de un usuario para decidir qué valor utilizar para la notificación con funciones como IfEmpty(), StartWith() o Contains(), entre otras. Para obtener más información, consulte Personalizar las notificaciones emitidas en el token SAML para aplicaciones empresariales.
RECLAMACIÓN_RESTRINGIDA_EMITIDA La instrucción de condición usa una notificación que está restringida en Microsoft Entra ID. Es posible que pueda emitir una notificación restringida, pero no puede modificar su origen ni aplicar ninguna transformación. Para obtener más información, consulte Personalizar declaraciones emitidas en tokens para una aplicación específica en Microsoft Entra ID.
ALMACÉN_DE_ATRIBUTOS_EXTERNOS La instrucción de emisión usa un almacén de atributos que no es Active Directory. Actualmente, Microsoft Entra no procesa las notificaciones de los almacenes que no sean de Active Directory o Microsoft Entra ID. Si este resultado le impide migrar aplicaciones a Microsoft Entra ID, háganoslo saber.
Clase de Emisión No Soportada La instrucción de emisión usa AAD para agregar notificaciones al conjunto de notificaciones entrantes. En Microsoft Entra ID, esta opción se puede configurar como varias transformaciones de notificación. Para obtener más información, consulte Personalizar las notificaciones emitidas en el token SAML para aplicaciones empresariales.
TRANSFORMACIÓN DE EMISIÓN NO SOPORTADA La instrucción de emisión utiliza expresiones regulares para transformar el valor de la notificación que se va a emitir. Para lograr una funcionalidad similar en Microsoft Entra ID, puede usar la transformación predefinida, como Extract(), Trim() y ToLower(). Para obtener más información, consulte Personalizar las notificaciones emitidas en el token SAML para aplicaciones empresariales.

Pestaña Listo para migrar

En la pestaña Listo para migrar se muestran todas las aplicaciones que tienen el estado de migración como Lista o Necesita revisión.

Puede usar los datos de inicio de sesión para identificar el impacto de cada aplicación y seleccionar las aplicaciones adecuadas para la migración. Seleccione Iniciar vínculo de migración para iniciar el proceso de migración de aplicaciones asistido con un solo clic.

Pestaña Listo para configurar

En esta pestaña se muestra la lista de todas las aplicaciones de Microsoft Entra que se migraron anteriormente mediante el Asistente para la migración de aplicaciones de AD FS.

El nombre de la aplicación es el nombre de la nueva aplicación de Microsoft Entra. El identificador de aplicación es el mismo que el identificador de aplicación de usuario de confianza de AD FS que se puede usar para correlacionar la aplicación con el entorno de AD FS. El vínculo Configurar aplicación en Microsoft Entra le permite ir a la aplicación De Microsoft Entra recién configurada en la sección Aplicación empresarial .

Migración de una aplicación de AD FS a Microsoft Entra ID mediante el Asistente para la migración de aplicaciones de AD FS

  1. Para iniciar la migración de la aplicación, seleccione el vínculo Begin migration (Comenzar migración ) de la aplicación que desea migrar desde la pestaña Listo para migrar .
  2. El vínculo le redirige a la sección de migración de aplicaciones con un solo clic del Asistente para la migración de aplicaciones de AD FS. Todas las configuraciones del asistente se importan desde el entorno de AD FS local.

Antes de pasar por los detalles de las distintas pestañas del asistente, es importante comprender las configuraciones admitidas y no admitidas.

Configuraciones admitidas

La migración asistida de aplicaciones de AD FS admite las siguientes configuraciones:

  • Solo admite la configuración de la aplicación SAML.
  • La opción para personalizar el nuevo nombre de aplicación de Microsoft Entra.
  • Permite a los usuarios seleccionar cualquier plantilla de aplicación de la galería de plantillas de aplicación.
  • Configuración de las configuraciones básicas de la aplicación SAML, es decir, identificador y dirección URL de respuesta.
  • Configuración de la aplicación Microsoft Entra para permitir a todos los usuarios del inquilino.
  • Asignación automática de grupos a la aplicación Microsoft Entra.
  • Configuración de notificaciones compatibles con Microsoft Entra extraída de las configuraciones de notificaciones del usuario de confianza de AD FS.

Configuraciones no admitidas:

La migración de aplicaciones de AD FS no admite las siguientes configuraciones:

  • No se admiten las configuraciones de OIDC (OpenID Connect), OAuth y WS-Fed.
  • No se admite la configuración automática de la directivas de acceso condicional; sin embargo, el usuario puede configurar lo mismo después de configurar la nueva aplicación en su inquilino.
  • El certificado de firma no se migra desde la aplicación de usuario de confianza de AD FS. Existen las pestañas siguientes en el Asistente para la migración de aplicaciones de AD FS:

Echemos un vistazo a los detalles de cada pestaña de la sección de migración de aplicaciones con un solo clic asistido del asistente.

Pestaña Aspectos básicos

  • Nombre de aplicación que está preconfigurado con el nombre de la aplicación de parte confiable de AD FS. Puede usarlo como nombre de la nueva aplicación de Microsoft Entra. También puede modificar el nombre a cualquier otro valor que prefiera.
  • Plantilla de aplicación. Seleccione la plantilla de aplicación que sea más adecuada para la aplicación. Puede omitir esta opción si no desea usar ninguna plantilla.

Pestaña Grupos y usuario

La configuración al hacer clic asigna automáticamente los usuarios y grupos a la aplicación de Microsoft Entra que son iguales que la configuración local.

Todos los grupos se extraen de las directivas de control de acceso de la aplicación de usuario de confianza de AD FS. Los grupos deben sincronizarse en el inquilino de Microsoft Entra mediante agentes de Microsoft Entra Connect. En los casos, los grupos se asignan con la aplicación de usuario de confianza de AD FS, pero no se sincronizan con el inquilino de Microsoft Entra. Esos grupos se omiten de la configuración.

La configuración de usuarios y grupos asistidos admite las siguientes configuraciones desde el entorno de AD FS local:

  • Permitir a todos los usuarios del inquilino.
  • Permitir grupos específicos.

Captura de pantalla del panel de configuración de usuarios y grupos de AD FS.

Puede ver los usuarios y grupos en el Asistente para configuración. Esta sección es una vista de solo lectura, no se pueden realizar cambios en esta sección.

Pestaña Configuraciones de SAML

En esta pestaña se muestran las propiedades básicas de SAML que se usan para la configuración de inicio de sesión único de la aplicación Microsoft Entra. Actualmente, solo se asignan las propiedades necesarias, que son Solo identificador y dirección URL de respuesta.

Esta configuración se implementa directamente desde la aplicación de usuario de confianza de AD FS y no se puede modificar desde esta pestaña. Sin embargo, después de configurar la aplicación, puede modificar estas opciones desde el panel inicio de sesión único del Centro de administración de Microsoft Entra de la aplicación empresarial.

Captura de pantalla del panel configuraciones de SAML de AD FS.

Captura de pantalla de la pestaña Configuraciones de SAML de migración de aplicaciones de AD FS.

Pestaña Notificaciones

No todas las notificaciones de AD FS se traducen tal como están en las notificaciones de Microsoft Entra. El asistente para la migración solo admite notificaciones específicas. Si encuentra notificaciones que faltan, puede configurarlas en la aplicación empresarial migrada en el Centro de administración de Microsoft Entra.

En caso de que, la aplicación de usuario de confianza de AD FS haya nameidentifier configurado que se admite en el identificador de Entra de Microsoft y, a continuación, se ha configurado como nameidentifier. De lo contrario, user.userprincipalname se usa como notificación nameidentifier predeterminada.

Captura de pantalla del panel de configuraciones de reclamaciones de AD FS.

Esta sección es una vista de solo lectura, no puede realizar ningún cambio aquí.

Captura de pantalla de la pestaña Configuraciones de reclamaciones de migración de aplicaciones de AD FS.

Pestaña Pasos siguientes

En esta pestaña se proporciona información sobre los pasos o revisiones siguientes que se esperan del lado del usuario. En el ejemplo siguiente se muestra la lista de configuraciones de esta aplicación de usuario de confianza de AD FS que no se admiten en Microsoft Entra ID.

En esta pestaña, puede acceder a la documentación pertinente para investigar y comprender los problemas.

Captura de pantalla de la pestaña Pasos siguientes de la migración de aplicaciones de AD FS.

Pestaña Revisar y crear

En esta pestaña se muestra el resumen de todas las configuraciones que ha visto en las pestañas anteriores. Puede revisarlo una vez más. Si está satisfecho con todas las configuraciones y desea continuar con la migración de aplicaciones, seleccione el botón Crear para iniciar el proceso de migración. Migra la nueva aplicación al inquilino de Microsoft Entra.

La migración de aplicaciones es actualmente un proceso de nueve pasos que puede supervisar mediante las notificaciones. El flujo de trabajo completa las siguientes acciones:

  • Crea un registro de aplicación
  • Crea una entidad de servicio
  • Configura las opciones de SAML
  • Asigna usuarios y grupos a la aplicación
  • Configura las notificaciones

Una vez completado el proceso de migración, verá un mensaje de notificación que lee Migración de aplicaciones correcta.

Captura de pantalla del mensaje de migración correcta de la aplicación.

Al finalizar la migración de aplicaciones, se le redirigirá a la pestaña Listo para configurar donde se muestran todas las aplicaciones migradas previamente, incluidas las más recientes que configuró.

Revisión y configuración de la aplicación empresarial

  1. En la pestaña Listo para configurar , puede usar el vínculo Configurar aplicación en Microsoft Entra para ir a la aplicación recién configurada en la sección "Aplicaciones empresariales". De forma predeterminada, entra en la página de inicio de sesión basada en SAML de tu aplicación.

    Captura de pantalla del panel de inicio de sesión basado en SAML.

  2. En el panel Inicio de sesión basado en SAML , toda la configuración de la aplicación de usuario de confianza de AD FS ya se aplica a la aplicación Microsoft Entra recién migrada. Las propiedades Identificador y DIRECCIÓN URL de respuesta de la configuración básica de SAML y la lista de notificaciones de las pestañas Atributos y notificaciones del Asistente para la migración de aplicaciones de AD FS son las mismas que las notificaciones en la aplicación empresarial.

  3. En el panel Propiedades de la aplicación, el logotipo de la plantilla de aplicación implica que la aplicación está vinculada a la plantilla de aplicación seleccionada. En la página Propietarios , el usuario administrador actual se agrega como uno de los propietarios de la aplicación.

  4. En el panel Usuarios y grupos , todos los grupos necesarios ya están asignados a la aplicación.

Después de revisar la aplicación empresarial migrada, puede actualizar la aplicación según sus necesidades empresariales. Es posible agregar o actualizar notificaciones, asignar más usuarios y grupos o configurar directivas de acceso condicional para habilitar la compatibilidad con la autenticación multifactor u otras características de autorización condicional.

Reversión

La configuración con un solo clic del Asistente para la migración de aplicaciones de AD FS migra la nueva aplicación al inquilino de Microsoft Entra. Sin embargo, la aplicación migrada permanece inactiva hasta que redirija el tráfico de inicio de sesión a ella. Hasta entonces, si desea revertir, puede eliminar la aplicación de Microsoft Entra recién migrada del inquilino.

El asistente no proporciona ninguna limpieza automatizada. En caso de que no desee continuar con la configuración de la aplicación migrada, debe eliminar manualmente la aplicación del inquilino. Para obtener instrucciones sobre cómo eliminar un registro de aplicación y su aplicación empresarial correspondiente, consulte las siguientes direcciones URL:

Sugerencias de solución de problemas

No se pueden ver todas las aplicaciones de AD FS en el informe

Si instaló los agentes de Microsoft Entra Connect Health para AD FS, pero sigue viendo un mensaje para instalarlos o no ve todas las aplicaciones de AD FS en el informe, hay dos motivos posibles:

  • No tiene ninguna aplicación de AD FS activa.
  • Las aplicaciones de AD FS que faltan son aplicaciones de Microsoft.

Nota:

La migración de aplicaciones de AD FS enumera todas las aplicaciones de AD FS de su organización solo con los usuarios activos que hayan iniciado sesión en los últimos 30 días. El informe no muestra los usuarios de confianza relacionados con Microsoft en AD FS como Office 365. Por ejemplo, los usuarios de confianza con el nombre urn:federation:MicrosoftOnline, microsoftonline, microsoft:winhello:cert:prov:server no aparecen en la lista.

¿Por qué estoy viendo el error de validación "ya existe una aplicación con el mismo identificador"?

Cada aplicación del inquilino debe tener un identificador de aplicación único. Si ve este mensaje de error, significa que ya tiene otra aplicación con el mismo identificador en el inquilino de Microsoft Entra. En este caso, debe actualizar el identificador de aplicación existente o actualizar el identificador de aplicación de usuario de confianza de AD FS y esperar 24 horas para que se reflejen las actualizaciones.

Contenido relacionado