Microsoft Entra-javaslat: Migrálás az Azure Active Directory hitelesítési kódtárból a Microsoft Authentication-kódtárakba

Cikk
10/25/2023

A Microsoft Entra-javaslatok olyan funkciók, amelyek személyre szabott elemzéseket és végrehajtható útmutatást nyújtanak a bérlő ajánlott eljárásokhoz való igazításához.

Ez a cikk azt a javaslatot ismerteti, hogy migráljon az Azure Active Directory Authentication Libraryből (ADAL) a Microsoft Authentication-kódtárakba. Ezt a javaslatot a Microsoft Graph recommendations API-jában hívjuk AdalToMsalMigration meg.

Leírás

Az ADAL jelenleg 2023. június 30-án megszűnik. Javasoljuk, hogy az ügyfelek az ADAL helyett a Microsoft Authentication Libraries (MSAL) szolgáltatásba migráljanak.

Ez a javaslat akkor jelenik meg, ha a bérlő olyan alkalmazásokkal rendelkezik, amelyek továbbra is az ADAL-t használják. A szolgáltatás megjelöli a bérlőben azokat az alkalmazásokat, amelyek jogkivonat-kérést intéznek az ADAL-tól ADAL-alkalmazásként. Az ADAL-t és az MSAL-t egyaránt használó alkalmazások ADAL-alkalmazásként vannak megjelölve.

Ha egy alkalmazás ADAL-alkalmazásként van azonosítva, a javaslat minden nap 30 nappal visszatekint a bérlőn belüli alkalmazásoktól érkező új ADAL-kérelmekre. Ha egy ADAL-javaslat 30 napig nem küld új ADAL-kéréseket, a javaslat befejezettként lesz megjelölve. Amikor az összes alkalmazás befejeződött, a javaslat állapota befejeződött. Ha egy befejezett alkalmazáshoz új ADAL-kérést észlel, az állapot újra aktív lesz.

Érték

Az MSAL úgy lett kialakítva, hogy biztonságos megoldást biztosíthasson anélkül, hogy a fejlesztőknek aggódniuk kellene a megvalósítás részletei miatt. Az MSAL leegyszerűsíti a jogkivonatok beszerzését, kezelését, gyorsítótárazási és frissítési módját. Az MSAL a rugalmasságra vonatkozó ajánlott eljárásokat is alkalmazza. Az MSAL-be való migrálásról további információt az alkalmazások migrálása az MSAL-be című témakörben talál.

Az ADAL-t használó meglévő alkalmazások a támogatás megszűnésének dátuma után is működni fognak.

Cselekvési terv

Az alkalmazások ADAL-ról MSAL-re való migrálásának első lépése az összes olyan alkalmazás azonosítása a bérlőben, amely jelenleg az ADAL-t használja. Alkalmazásait programozott módon azonosíthatja a Microsoft Graph API-val vagy a Microsoft Graph PowerShell SDK-val. A Microsoft Graph PowerShell SDK lépéseit a Javaslat részletei a Microsoft Entra felügyeleti központban találja.

Microsoft Graph API
Microsoft Graph PowerShell SDK

A Microsoft Graph segítségével azonosíthatja az MSAL-be migrálni kívánt alkalmazásokat. Első lépésként tekintse meg a Microsoft Graph és a Microsoft Entra javaslatainak használatát ismertető témakört.

Jelentkezzen be a Graph Explorerbe.
Válassza a GET elemet HTTP-metódusként a legördülő listában.
Állítsa az API-verziót bétaverzióra.
Futtassa a következő lekérdezést a Microsoft Graphban, és cserélje le a <TENANT_ID> helyőrzőt a bérlőazonosítóra. Ez a lekérdezés a bérlő érintett erőforrásainak listáját adja vissza.
- https://graph.microsoft.com/beta/directory/recommendations/<TENANT_ID>_Microsoft.Identity.IAM.Insights.AdalToMsalMigration/impactedResources

Az alábbi válasz az ADAL használatával ismerteti az érintett erőforrások részleteit:

{
    "id": "<APPLICATION_ID>",
    "subjectId": "<APPLICATION_ID>",
    "recommendationId": "TENANT_ID_Microsoft.Identity.IAM.Insights.AdalToMsalMigration",
    "resourceType": "app",
    "addedDateTime": "2023-03-29T09:29:01.1708723Z",
    "postponeUntilDateTime": null,
    "lastModifiedDateTime": "0001-01-01T00:00:00Z",
    "lastModifiedBy": "System",
    "displayName": "sample-adal-app",
    "owner": null,
    "rank": 1,
    "portalUrl": "
df.onecloud.azure-test.net/#view/Microsoft_AAD_RegisteredApps/ApplicationMenuBlade/~/Branding/appId/{0}"
    "apiUrl": null,
    "status": "completedBySystem",
    "additionalDetails": [
        {
            "key": "Library",
            "value": "ADAL.Net"
        }
    ]
}

A Windows PowerShellben az alábbi parancsokat futtathatja. Ezek a parancsok a Microsoft Graph PowerShell SDK használatával lekérik az ADAL-t használó összes alkalmazás listáját a bérlőben.

Nyissa meg a Windows PowerShellt rendszergazdaként.
Csatlakozás a Microsoft Graphra:
- Connect-MgGraph-Tenant <YOUR_TENANT_ID>
Válassza ki a profilját:
- Select-MgProfile beta
A javaslatok listájának lekérése:
- Get-MgDirectoryRecommendation | Format-List
Frissítse az alkalmazások kódját az MSAL-be való migrálás utasításaival.

Gyakori kérdések

Az ADAL-ról MSAL-ra vonatkozó javaslat használatakor tekintse át az alábbi gyakori kérdéseket.

Miért tart 30 napig az állapot módosítása a befejezésig?

A hamis pozitív értékek csökkentése érdekében a szolgáltatás 30 napos időszakot használ az ADAL-kérelmekhez. Így a szolgáltatás több napig is eltarthat ADAL-kérés nélkül, és nem lehet hamisan befejezettként megjelölve.

Hogyan azonosították az ADAL-alkalmazásokat a javaslat megjelenése előtt?

A Microsoft Entra bejelentkezési munkafüzete alternatív módszer volt az alkalmazások azonosítására. A munkafüzet továbbra is elérhető, de a munkafüzet használatához először streamelési bejelentkezési naplókra van szükség az Azure Monitorba. Az ADAL-ról MSAL-ra vonatkozó javaslat a dobozon kívül működik. Emellett a bejelentkezési munkafüzet nem rögzíti a szolgáltatásnév-bejelentkezéseket, míg a javaslat igen.

Miért különbözik az ADAL-alkalmazások száma a munkafüzetben és a javaslatban?

Mivel a javaslat rögzíti a szolgáltatásnév-bejelentkezéseket, és a munkafüzet nem, a javaslat további ADAL-alkalmazásokat jeleníthet meg.

Hogyan azonosítani egy alkalmazás tulajdonosát a bérlőmben?

A javaslat részletei között megtalálhatja a tulajdonost. Válassza ki az erőforrást, amely az alkalmazás részleteihez vezet. Válassza a Navigációs menü Tulajdonosok elemét.

Az állapot befejezettről aktívra válthat?

Igen. Ha egy alkalmazás befejezettként lett megjelölve – tehát a 30 napos időszak alatt nem érkezett ADAL-kérés –, akkor az alkalmazás készként lesz megjelölve. Ha a szolgáltatás új ADAL-kérést észlel, az állapot újra aktív lesz.