Introducción a la migración de aplicaciones de AD FS (versión preliminar)
En este artículo, obtendrá información sobre las funcionalidades del Asistente para la migración de aplicaciones de AD FS y el estado de la migración disponible en su panel. También aprenderá las distintas pruebas de validación que genera la migración de la aplicación para cada una de las aplicaciones que desee migrar de AD FS a Microsoft Entra ID.
El Asistente para la migración de aplicaciones de AD FS permite identificar rápidamente cuáles de las aplicaciones son capaces de migrarse a Microsoft Entra ID. Evalúa todas las aplicaciones de AD FS por compatibilidad con Microsoft Entra ID. También comprueba si hay algún problema, proporcionando instrucciones sobre cómo preparar aplicaciones individuales para la migración y cómo configurar una nueva aplicación de Microsoft Entra mediante la experiencia con un solo clic.
Con el asistente de migración de aplicaciones de AD FS, es posible hacer lo siguiente:
Detectar aplicaciones de AD FS y definir el ámbito de la migración: el Asistente para la migración de aplicaciones de AD FS enumera todas las aplicaciones de AD FS de la organización que hayan tenido un inicio de sesión de usuario activo en los últimos 30 días. El informe indica el grado de preparación de una aplicación para la migración a Microsoft Entra ID. El informe no muestra los usuarios de confianza relacionados con Microsoft en AD FS como Office 365. Por ejemplo, aquellos usuarios de confianza que tengan el nombre
urn:federation:MicrosoftOnline.Priorizar aplicaciones para la migración: obtenga el número de usuarios únicos que iniciaron sesión en la aplicación en los últimos 1, 7 o 30 días para ayudar a determinar la importancia o el riesgo de migrar la aplicación.
Ejecutar pruebas de migración y corregir problemas: el servicio de informes ejecuta automáticamente las pruebas para determinar si una aplicación está preparada para la migración. Los resultados se muestran en el panel de migración de aplicaciones de AD FS como estado de la migración. Si la configuración de AD FS no fuera compatible con una configuración de Microsoft Entra, obtendrá instrucciones específicas sobre cómo abordar la configuración en Microsoft Entra ID.
Uso de la experiencia de configuración de aplicaciones con un solo clic para configurar la nueva aplicación de Microsoft Entra: esto proporciona una experiencia guiada para migrar aplicaciones de usuario de confianza locales a la nube. La experiencia de migración usa los metadatos de la aplicación de usuario de confianza que se importan directamente desde el entorno local. Además, la experiencia proporciona una configuración con un solo clic de la aplicación SAML en la plataforma Microsoft Entra con algunas configuraciones básicas de SAML, configuraciones de notificaciones y asignaciones de grupos.
Nota:
La migración de aplicaciones de AD FS solo admite aplicaciones basadas en SAML. No se admiten aplicaciones que usen protocolos como OpenID Connect, WS-Fed y OAuth 2.0. Si desea migrar aplicaciones que usen estos protocolos, consulte Uso del informe de actividad de aplicaciones de AD FS para identificar las aplicaciones que desee migrar. Una vez que haya identificado las aplicaciones que desea migrar, configúrelas manualmente en Microsoft Entra ID. Para obtener más información sobre cómo empezar a trabajar en la migración manual, consulte Migrar y probar la aplicación.
Estado de la migración de aplicaciones de AD FS
Los agentes de Microsoft Entra Connect y Microsoft Entra Connect Health para AD FS leen las configuraciones de aplicaciones de usuarios de confianza locales y los registros de auditoría de inicio de sesión. Estos datos sobre cada aplicación de AD FS se analizan para determinar si se pueden migrar tal cual o si es necesario realizar una revisión adicional. En función del resultado de este análisis, se determinará el estado de migración de la aplicación determinada.
Las aplicaciones se clasifican en los siguientes estados de migración:
- Listo para migrar significa que la configuración de la aplicación de AD FS es totalmente compatible con Microsoft Entra ID y se puede migrar tal cual.
- Revisión necesaria significa que algunas de las configuraciones de la aplicación se pueden migrar a Microsoft Entra ID, pero se deberá revisar aquella configuración que no se pueda migrar tal cual.
- Pasos adicionales necesarios significa que Microsoft Entra ID no admite parte de la configuración de la aplicación, por lo que no se puede migrar en su estado actual.
Pruebas de validación de migración de aplicaciones de AD FS
La preparación de aplicaciones se evalúa en función de las siguientes pruebas predefinidas de configuración de aplicaciones de AD FS. Las pruebas se ejecutan automáticamente y los resultados se muestran en el panel de migración de aplicaciones de AD FS como Estado de la migración. Si la configuración de AD FS no fuera compatible con una configuración de Microsoft Entra, obtendrá instrucciones específicas sobre cómo abordar la configuración en Microsoft Entra ID.
Actualizaciones de estado de la información de migración de aplicaciones de AD FS
Cuando se actualiza la aplicación, los agentes internos sincronizan las actualizaciones en unos minutos. Sin embargo, los trabajos de conclusiones de migración de AD FS son responsables de evaluar las actualizaciones y calcular un nuevo estado de migración. Esos trabajos están programados para ejecutarse cada 24 horas, lo que significa que los datos se calcularán solo una vez en un día, a las 00:00 Hora universal coordinada (UTC).
| Resultado | Sin errores/Advertencia/Error | Descripción |
|---|---|---|
| Test-ADFSRPAdditionalAuthenticationRules Se detectó al menos una regla no migrable para AdditionalAuthentication. |
Aprobada/Con advertencias | El usuario de confianza tiene reglas para solicitar la autenticación multifactor. Para desplazarse a Microsoft Entra ID, traduzca dichas reglas en directivas de acceso condicional. Si usa una aplicación local de MFA, se recomienda que se traslade a la autenticación multifactor de Microsoft Entra. Obtenga más información sobre el acceso condicional. |
| Test-ADFSRPAdditionalWSFedEndpoint El usuario de confianza tiene el valor de AdditionalWSFedEndpoint establecido en true. |
Sin errores/Error | El usuario de confianza de AD FS permite varios puntos de conexión de aserción de WS-FED. Actualmente, Microsoft Entra solo admite una. Si tiene un escenario en el que este resultado bloquea la migración, háganoslo saber. |
| Test-ADFSRPAllowedAuthenticationClassReferences El usuario de confianza ha establecido el valor de AllowedAuthenticationClassReferences. |
Sin errores/Error | Este valor de AD FS permite especificar si la aplicación se configura para permitir solo determinados tipos de autenticación. Se recomienda usar acceso condicional para lograr esta funcionalidad. Si tiene un escenario en el que este resultado bloquea la migración, háganoslo saber. Obtenga más información sobre el acceso condicional. |
| Test-ADFSRPAlwaysRequireAuthentication AlwaysRequireAuthenticationCheckResult |
Sin errores/Error | Este valor de AD FS permite especificar si la aplicación se configura para omitir las cookies de SSO y solicitar siempre la autenticación. En Microsoft Entra ID, puede administrar la sesión de autenticación mediante directivas de acceso condicional para lograr un comportamiento similar. Obtenga más información sobre cómo configurar la sesión de autenticación con acceso condicional. |
| Test-ADFSRPAutoUpdateEnabled El usuario de confianza tiene el valor de AutoUpdateEnabled establecido en true. |
Aprobada/Con advertencias | Este valor de AD FS permite especificar si AD FS se configura para actualizar automáticamente la aplicación en función de los cambios en los metadatos de federación. Microsoft Entra ID no admite esta configuración actualmente, pero no debería impedir la migración de la aplicación a Microsoft Entra ID. |
| Test-ADFSRPClaimsProviderName El usuario de confianza tiene varios elementos ClaimsProviders habilitados. |
Sin errores/Error | Este valor de AD FS llama a los proveedores de identidades de los que el usuario de confianza acepta notificaciones. En Microsoft Entra ID, puede habilitar la colaboración externa mediante Microsoft Entra B2B. Obtenga más información sobre Microsoft Entra B2B. |
| Test-ADFSRPDelegationAuthorizationRules | Sin errores/Error | La aplicación tiene definidas reglas de autorización de delegación personalizadas. Se trata de un concepto de WS-Trust que Microsoft Entra ID admite mediante protocolos de autenticación modernos, como OpenID Connect y OAuth 2.0. Obtenga más información sobre la Plataforma de identidad de Microsoft. |
| Test-ADFSRPImpersonationAuthorizationRules | Aprobada/Con advertencias | La aplicación tiene definidas reglas de autorización de suplantación personalizadas. Se trata de un concepto de WS-Trust que Microsoft Entra ID admite mediante protocolos de autenticación modernos, como OpenID Connect y OAuth 2.0. Obtenga más información sobre la Plataforma de identidad de Microsoft. |
| Test-ADFSRPIssuanceAuthorizationRules Se detectó al menos una regla no migrable para IssuanceAuthorization. |
Aprobada/Con advertencias | La aplicación tiene reglas de autorización de emisión personalizadas definidas en AD FS. Microsoft Entra ID admite esta funcionalidad con el acceso condicional de Microsoft Entra. Obtenga más información sobre el acceso condicional. También puede restringir el acceso a la aplicación por usuario o grupos asignados a la aplicación. Obtenga más información sobre cómo asignar usuarios y grupos para acceder a las aplicaciones. |
| Test-ADFSRPIssuanceTransformRules Se detectó al menos una regla no migrable para IssuanceTransform. |
Aprobada/Con advertencias | La aplicación tiene reglas de transformación de emisión personalizadas definidas en AD FS. Microsoft Entra ID admite la personalización de las notificaciones emitidas en el token. Para obtener más información, consulte Personalización de las notificaciones emitidas en el token SAML para aplicaciones empresariales. |
| Test-ADFSRPMonitoringEnabled El usuario de confianza tiene el valor de MonitoringEnabled establecido en true. |
Aprobada/Con advertencias | Este valor de AD FS permite especificar si AD FS se configura para actualizar automáticamente la aplicación en función de los cambios en los metadatos de federación. Microsoft Entra no admite esta configuración actualmente, pero no debería impedir la migración de la aplicación a Microsoft Entra ID. |
| Test-ADFSRPNotBeforeSkew NotBeforeSkewCheckResult |
Aprobada/Con advertencias | AD FS permite un desfase horario basado en las horas de NotBefore y NotOnOrAfter del token de SAML. Microsoft Entra ID controla automáticamente esto de forma predeterminada. |
| Test-ADFSRPRequestMFAFromClaimsProviders El usuario de confianza tiene el valor de RequestMFAFromClaimsProviders establecido en true. |
Aprobada/Con advertencias | Este valor de AD FS determina el comportamiento de MFA cuando el usuario procede de un proveedor de notificaciones diferente. En Microsoft Entra ID, puede habilitar la colaboración externa mediante Microsoft Entra B2B. Luego, puede aplicar directivas de acceso condicional para proteger el acceso de invitado. Obtenga más información sobre Microsoft Entra B2B y el acceso condicional. |
| Test-ADFSRPSignedSamlRequestsRequired El usuario de confianza tiene el valor de SignedSamlRequestsRequired establecido en true. |
Sin errores/Error | La aplicación se configura en AD FS para comprobar la firma de la solicitud SAML. Microsoft Entra ID acepta una solicitud SAML firmada, pero no comprobará la firma. Microsoft Entra ID tiene distintos métodos para protegerse frente a llamadas malintencionadas. Por ejemplo, Microsoft Entra ID usa las direcciones URL de respuesta configuradas en la aplicación para validar la solicitud SAML. Microsoft Entra ID solo enviará un token a las direcciones URL de respuesta configuradas para la aplicación. Si tiene un escenario en el que este resultado bloquea la migración, háganoslo saber. |
| Test-ADFSRPTokenLifetime TokenLifetimeCheckResult |
Aprobada/Con advertencias | La aplicación está configurada para una duración de token personalizada. El valor predeterminado de AD FS es de una hora. Microsoft Entra ID admite esta funcionalidad mediante el acceso condicional. Para obtener más información, consulte Configuración de la administración de las sesiones de autenticación con el acceso condicional. |
| El usuario de confianza está configurado para cifrar notificaciones. Esto es compatible con Microsoft Entra ID. | Aprobado | Con Microsoft Entra ID puede cifrar el token enviado a la aplicación. Para más información, consulte Configuración del cifrado de tokens SAML de Microsoft Entra. |
| EncryptedNameIdRequiredCheckResult | Sin errores/Error | La aplicación está configurada para cifrar la notificación nameID en el token SAML. Con Microsoft Entra ID puede cifrar todo el token enviado a la aplicación. Todavía no se admite el cifrado de notificaciones específicas. Para más información, consulte Configuración del cifrado de tokens SAML de Microsoft Entra. |