Microsoft Entra-javaslat: Migrálás az Azure Active Directory hitelesítési kódtárból a Microsoft Authentication-kódtárakba
A Microsoft Entra-javaslatok olyan funkciók, amelyek személyre szabott elemzéseket és végrehajtható útmutatást nyújtanak a bérlő ajánlott eljárásokhoz való igazításához.
Ez a cikk azt a javaslatot ismerteti, hogy migráljon az Azure Active Directory Authentication Libraryből (ADAL) a Microsoft Authentication-kódtárakba. Ezt a javaslatot a Microsoft Graph recommendations API-jában hívjuk AdalToMsalMigration
meg.
Leírás
Az ADAL jelenleg 2023. június 30-án megszűnik. Javasoljuk, hogy az ügyfelek az ADAL helyett a Microsoft Authentication Libraries (MSAL) szolgáltatásba migráljanak.
Ez a javaslat akkor jelenik meg, ha a bérlő olyan alkalmazásokkal rendelkezik, amelyek továbbra is az ADAL-t használják. A szolgáltatás megjelöli a bérlőben azokat az alkalmazásokat, amelyek jogkivonat-kérést intéznek az ADAL-tól ADAL-alkalmazásként. Az ADAL-t és az MSAL-t egyaránt használó alkalmazások ADAL-alkalmazásként vannak megjelölve.
Ha egy alkalmazás ADAL-alkalmazásként van azonosítva, a javaslat minden nap 30 nappal visszatekint a bérlőn belüli alkalmazásoktól érkező új ADAL-kérelmekre. Ha egy ADAL-javaslat 30 napig nem küld új ADAL-kéréseket, a javaslat befejezettként lesz megjelölve. Amikor az összes alkalmazás befejeződött, a javaslat állapota befejeződött. Ha egy befejezett alkalmazáshoz új ADAL-kérést észlel, az állapot újra aktív lesz.
Érték
Az MSAL úgy lett kialakítva, hogy biztonságos megoldást biztosíthasson anélkül, hogy a fejlesztőknek aggódniuk kellene a megvalósítás részletei miatt. Az MSAL leegyszerűsíti a jogkivonatok beszerzését, kezelését, gyorsítótárazási és frissítési módját. Az MSAL a rugalmasságra vonatkozó ajánlott eljárásokat is alkalmazza. Az MSAL-be való migrálásról további információt az alkalmazások migrálása az MSAL-be című témakörben talál.
Az ADAL-t használó meglévő alkalmazások a támogatás megszűnésének dátuma után is működni fognak.
Cselekvési terv
Az alkalmazások ADAL-ról MSAL-re való migrálásának első lépése az összes olyan alkalmazás azonosítása a bérlőben, amely jelenleg az ADAL-t használja. Alkalmazásait programozott módon azonosíthatja a Microsoft Graph API-val vagy a Microsoft Graph PowerShell SDK-val. A Microsoft Graph PowerShell SDK lépéseit a Javaslat részletei a Microsoft Entra felügyeleti központban találja.
A Microsoft Graph segítségével azonosíthatja az MSAL-be migrálni kívánt alkalmazásokat. Első lépésként tekintse meg a Microsoft Graph és a Microsoft Entra javaslatainak használatát ismertető témakört.
- Jelentkezzen be a Graph Explorerbe.
- Válassza a GET elemet HTTP-metódusként a legördülő listában.
- Állítsa az API-verziót bétaverzióra.
- Futtassa a következő lekérdezést a Microsoft Graphban, és cserélje le a
<TENANT_ID>
helyőrzőt a bérlőazonosítóra. Ez a lekérdezés a bérlő érintett erőforrásainak listáját adja vissza.https://graph.microsoft.com/beta/directory/recommendations/<TENANT_ID>_Microsoft.Identity.IAM.Insights.AdalToMsalMigration/impactedResources
Az alábbi válasz az ADAL használatával ismerteti az érintett erőforrások részleteit:
{
"id": "<APPLICATION_ID>",
"subjectId": "<APPLICATION_ID>",
"recommendationId": "TENANT_ID_Microsoft.Identity.IAM.Insights.AdalToMsalMigration",
"resourceType": "app",
"addedDateTime": "2023-03-29T09:29:01.1708723Z",
"postponeUntilDateTime": null,
"lastModifiedDateTime": "0001-01-01T00:00:00Z",
"lastModifiedBy": "System",
"displayName": "sample-adal-app",
"owner": null,
"rank": 1,
"portalUrl": "
df.onecloud.azure-test.net/#view/Microsoft_AAD_RegisteredApps/ApplicationMenuBlade/~/Branding/appId/{0}"
"apiUrl": null,
"status": "completedBySystem",
"additionalDetails": [
{
"key": "Library",
"value": "ADAL.Net"
}
]
}
Gyakori kérdések
Az ADAL-ról MSAL-ra vonatkozó javaslat használatakor tekintse át az alábbi gyakori kérdéseket.
Miért tart 30 napig az állapot módosítása a befejezésig?
A hamis pozitív értékek csökkentése érdekében a szolgáltatás 30 napos időszakot használ az ADAL-kérelmekhez. Így a szolgáltatás több napig is eltarthat ADAL-kérés nélkül, és nem lehet hamisan befejezettként megjelölve.
Hogyan azonosították az ADAL-alkalmazásokat a javaslat megjelenése előtt?
A Microsoft Entra bejelentkezési munkafüzete alternatív módszer volt az alkalmazások azonosítására. A munkafüzet továbbra is elérhető, de a munkafüzet használatához először streamelési bejelentkezési naplókra van szükség az Azure Monitorba. Az ADAL-ról MSAL-ra vonatkozó javaslat a dobozon kívül működik. Emellett a bejelentkezési munkafüzet nem rögzíti a szolgáltatásnév-bejelentkezéseket, míg a javaslat igen.
Miért különbözik az ADAL-alkalmazások száma a munkafüzetben és a javaslatban?
Mivel a javaslat rögzíti a szolgáltatásnév-bejelentkezéseket, és a munkafüzet nem, a javaslat további ADAL-alkalmazásokat jeleníthet meg.
Hogyan azonosítani egy alkalmazás tulajdonosát a bérlőmben?
A javaslat részletei között megtalálhatja a tulajdonost. Válassza ki az erőforrást, amely az alkalmazás részleteihez vezet. Válassza a Navigációs menü Tulajdonosok elemét.
Az állapot befejezettről aktívra válthat?
Igen. Ha egy alkalmazás befejezettként lett megjelölve – tehát a 30 napos időszak alatt nem érkezett ADAL-kérés –, akkor az alkalmazás készként lesz megjelölve. Ha a szolgáltatás új ADAL-kérést észlel, az állapot újra aktív lesz.