Migrasi autentikasi aplikasi ke Azure Active Directory

Tentang dokumen ini

Laporan resmi ini memerinci perencanaan dan manfaat melakukan migrasi autentikasi aplikasi Anda ke Microsoft Azure Active Directory. Laporan Ini dirancang untuk administrator Azure dan profesional identitas.

Dengan membagi proses ke dalam empat fase, masing-masing dengan perencanaan terperinci dan kriteria keluar, dokumen ini dirancang untuk membantu Anda merencanakan strategi migrasi Anda dan memahami cara autentikasi Microsoft Azure Active Directory dalam mendukung tujuan organisasi Anda.

Pengantar

Saat ini organisasi Anda membutuhkan sejumlah besar aplikasi (apl) untuk dipakai oleh pengguna dalam menyelesaikan pekerjaannya. Anda kemungkinan akan terus menambahkan, mengembangkan, atau menghentikan aplikasi setiap hari. Pengguna mengakses aplikasi dari berbagai perangkat perusahaan dan pribadi, serta berbagai lokasi. Pengguna membuka aplikasi dengan banyak cara, di antaranya:

  • melalui beranda atau portal perusahaan

  • dengan membuat marka buku di browser mereka

  • melalui URL dari vendor untuk aplikasi perangkat lunak sebagai layanan (SaaS)

  • tautan yang didorong langsung ke desktop atau perangkat seluler pengguna melalui solusi manajemen perangkat/aplikasi seluler (MDM/MAM)

Aplikasi Anda kemungkinan menggunakan jenis autentikasi berikut:

  • Solusi federasi lokal (seperti Layanan Federasi Direktori Aktif (ADFS) dan Ping)

  • Layanan Domain Active Directory (seperti Kerberos Auth dan Windows-Integrated Auth)

  • Solusi manajemen identitas dan akses (IAM) berbasis cloud lainnya (seperti Okta atau Oracle)

  • Infrastruktur web lokal (seperti IIS dan Apache)

  • Infrastruktur yang di-hosting cloud (seperti Azure dan AWS)

Untuk memastikan pengguna dapat mengakses aplikasi dengan mudah dan aman, Anda perlu memiliki satu set tunggal kontrol akses dan kebijakan di seluruh lingkungan lokal dan cloud Anda.

Azure Active Directory (Azure AD) menawarkan platform identitas universal yang memberikan identitas tunggal kepada staf, mitra, dan pelanggan Anda untuk mengakses aplikasi yang diinginkan dan berkolaborasi dari platform dan perangkat apa pun.

A diagram of Azure Active Directory connectivity

Microsoft Azure Active Directory memiliki paket lengkap kemampuan manajemen identitas. Menstandarkan autentikasi dan otorisasi aplikasi Anda ke Microsoft Azure Active Directory memungkinkan Anda mendapatkan manfaat yang disediakan oleh kemampuan ini.

Anda dapat menemukan sumber daya migrasi lainnya di https://aka.ms/migrateapps

Manfaat melakukan migrasi autentikasi aplikasi ke Microsoft Azure Active Directory

Memindahkan autentikasi aplikasi ke Microsoft Azure Active Directory akan membantu Anda mengelola risiko dan biaya, meningkatkan produktivitas, dan menangani persyaratan kepatuhan dan tata kelola.

Mengelola risiko

Untuk melindungi aplikasi, Anda harus memahami semua faktor risiko dengan baik. Melakukan migrasi aplikasi Anda ke Microsoft Azure Active Directory mengonsolidasikan solusi keamanan Anda. Dengan melakukan itu, Anda dapat:

Mengelola biaya

Organisasi Anda mungkin memiliki beberapa solusi Manajemen Akses Identitas (IAM) yang sudah bekerja. Melakukan migrasi ke salah satu infrastruktur Microsoft Azure Active Directory adalah kesempatan untuk mengurangi ketergantungan pada lisensi IAM (lokal atau di cloud) dan biaya infrastruktur. Dalam kasus di mana Anda mungkin telah membayar Azure AD melalui lisensi Microsoft 365, tidak perlu lagi membayar biaya tambahan solusi IAM lainnya.

Dengan Microsoft Azure Active Directory, Anda dapat mengurangi biaya infrastruktur dengan cara:

Meningkatkan produktivitas

Manfaat ekonomi dan keamanan mendorong organisasi untuk mengadopsi Microsoft Azure Active Directory, tetapi jika pengguna juga mendapatkan manfaat, maka adopsi dan kepatuhan penuh menjadi lebih mungkin. Dengan Microsoft Azure Active Directory, Anda dapat:

Menangani kepatuhan dan tata kelola

Memastikan kepatuhan terhadap persyaratan peraturan dengan memberlakukan kebijakan akses perusahaan dan memantau akses pengguna ke aplikasi dan data terkait, menggunakan alat audit terintegrasi dan API. Dengan Microsoft Azure Active Directory, Anda dapat memantau rincian masuk aplikasi melalui laporan yang menggunakan alat Security Incident and Event Monitoring (SIEM). Anda dapat mengakses laporan itu dari portal atau API, dan secara terprogram mengaudit orang yang memiliki akses ke aplikasi Anda dan menghapus akses pengguna yang tidak aktif melalui tinjauan akses.

Merencanakan fase migrasi dan strategi proyek Anda

Ketika proyek teknologi gagal, sering kali karena harapan yang tidak sesuai, pemangku kepentingan yang tepat tidak terlibat, atau kurangnya komunikasi. Memastikan keberhasilan Anda dengan merencanakan proyek itu sendiri.

Fase migrasi

Sebelum membahas alat yang dipakai, Anda harus memahami cara mempertimbangkan proses migrasi. Melalui beberapa lokakarya langsung ke pelanggan, kami merekomendasikan empat fase berikut:

A diagram of the phases of migration

Mengumpulkan tim proyek

Migrasi aplikasi adalah upaya tim, dan Anda perlu memastikan semua posisi penting sudah terisi. Dukungan dari para pemimpin bisnis senior adalah hal yang penting. Pastikan Anda melibatkan kelompok sponsor eksekutif, pembuat keputusan bisnis, dan ahli bidang studi (SME) yang tepat

Selama proyek migrasi, seseorang dapat melakukan beberapa peran, atau beberapa orang melakukan peran masing-masing, ini tergantung pada ukuran dan struktur organisasi Anda. Anda mungkin juga memiliki ketergantungan pada tim lain yang memainkan peran penting dalam lanskap keamanan Anda.

Tabel berikut ini memasukkan peran kunci dan kontribusinya:

Peran Kontribusi
Manajer Proyek Pelatih proyek yang bertanggung jawab untuk memandu proyek, termasuk:
- memperoleh dukungan eksekutif
- mengajak masuk para pemangku kepentingan
- mengelola jadwal, dokumentasi, dan komunikasi
Arsitek Identitas / Administrator Aplikasi Microsoft Azure Active Directory Mereka bertanggung jawab atas hal-hal berikut:
- merancang solusi bekerja sama dengan pemangku kepentingan
- mendokumentasikan desain solusi dan prosedur operasional untuk serah terima kepada tim operasi
- mengelola lingkungan pra-produksi dan produksi
Tim operasi AD lokal Organisasi yang mengelola berbagai sumber identitas lokal seperti AD forest, direktori LDAP, sistem HR, dll.
- melakukan langkah perbaikan yang diperlukan sebelum melakukan sinkronisasi
- Menyediakan akun layanan yang diperlukan untuk sinkronisasi
- menyediakan akses untuk mengonfigurasi federasi ke Microsoft Azure Active Directory
Manajer Dukungan IT Perwakilan dari organisasi dukungan IT yang dapat memberikan masukan tentang kemampuan mendukung perubahan ini dari sudut pandang tim bantuan teknis.
Pemilik Keamanan Perwakilan dari tim keamanan yang dapat memastikan bahwa rencana tersebut akan memenuhi persyaratan keamanan organisasi Anda.
Pemilik teknis aplikasi Termasuk pemilik teknis aplikasi dan layanan yang akan diintegrasikan dengan Microsoft Azure Active Directory. Mereka menyediakan atribut identitas aplikasi yang harus disertakan dalam proses sinkronisasi. Mereka biasanya memiliki hubungan dengan perwakilan CSV.
Pemilik bisnis aplikasi Rekan perwakilan yang dapat memberikan masukan tentang pengalaman pengguna dan kegunaan perubahan ini dari sudut pandang pengguna. Dia memiliki aspek bisnis keseluruhan dari aplikasi, kadang termasuk mengelola akses.
Grup pengguna percontohan Pengguna yang akan menguji sebagai bagian dari pekerjaan harian mereka, pengalaman percontohan, dan memberikan umpan balik untuk memandu penyebaran aplikasi yang tersisa.

Merencanakan komunikasi

Keterlibatan dan komunikasi bisnis yang efektif adalah kunci keberhasilan. Hal yang penting adalah memberikan kesempatan kepada pemangku kepentingan dan pengguna akhir untuk mendapatkan informasi dan tetap mendapatkan informasi tentang pembaruan jadwal. Mendidik semua orang tentang nilai migrasi, garis waktu yang diharapkan, dan cara membuat rencana untuk gangguan bisnis sementara. Menggunakan beberapa kesempatan seperti sesi pengarahan, surel, rapat berdua, spanduk, dan pertemuan publik.

Berdasarkan strategi komunikasi yang telah Anda pilih untuk aplikasi, sebaiknya Anda mengingatkan kepada pengguna mengenai waktu henti yang akan terjadi. Anda juga harus memverifikasi bahwa tidak ada perubahan terbaru atau dampak bisnis yang akan mengakibatkan penundaan penyebaran.

Dalam tabel berikut terdapat komunikasi minimum yang disarankan agar pemangku kepentingan tetap mendapatkan informasi terbaru:

Merencanakan fase dan strategi proyek:

Komunikasi Audiens
Kesadaran dan nilai bisnis/teknis proyek Semua kecuali pengguna akhir
Permintaan untuk aplikasi percontohan - Pemilik bisnis aplikasi
- Pemilik teknis aplikasi
- Tim Arsitek dan Identitas

Fase 1- Temukan dan Selidiki:

Komunikasi Audiens
- Permintaan informasi aplikasi
- Hasil melakukan penyelidikan
- Pemilik teknis aplikasi
- Pemilik bisnis aplikasi

Fase 2- Mengklasifikasi aplikasi dan merencanakan percontohan:

Komunikasi Audiens
- Hasil klasifikasi dan akibatnya untuk jadwal migrasi
- Jadwal migrasi pendahuluan
- Pemilik teknis aplikasi
- Pemilik bisnis aplikasi

Fase 3 - Merencanakan migrasi dan pengujian:

Komunikasi Audiens
- Hasil pengujian migrasi aplikasi - Pemilik teknis aplikasi
- Pemilik bisnis aplikasi
- Pemberitahuan bahwa migrasi akan dilakukan dan penjelasan tentang pengalaman pengguna akhir yang dihasilkan.
- Waktu henti mendatang dan komunikasi lengkap, termasuk hal yang harus dilakukan sekarang, umpan balik, dan cara mendapatkan bantuan
- Pengguna akhir (dan yang lainnya)

Fase 4 - Mengelola dan mendapatkan wawasan:

Komunikasi Audiens
Analitik yang tersedia dan cara mengaksesnya - Pemilik teknis aplikasi
- Pemilik bisnis aplikasi

Dasbor komunikasi status migrasi

Mengomunikasikan status keseluruhan proyek migrasi adalah sangat penting, karena menunjukkan kemajuan, dan membantu pemilik aplikasi yang aplikasinya akan dimigrasi untuk mempersiapkan perpindahan. Anda bisa menyusun dasbor sederhana menggunakan Power BI atau alat pelaporan lainnya untuk menyediakan visibilitas kepada status aplikasi selama migrasi.

Status migrasi yang dapat digunakan adalah sebagai berikut:

Status migrasi Rencana aksi
Permintaan Awal Temukan aplikasi dan hubungi pemiliknya untuk mendapatkan informasi
Penilaian Selesai Pemilik aplikasi mengevaluasi persyaratan aplikasi dan mengembalikan kuesioner aplikasi
Konfigurasi sedang berlangsung Melaksanakan perubahan yang diperlukan untuk mengelola autentikasi pada Microsoft Azure Active Directory
Konfigurasi Uji Berhasil Mengevaluasi perubahan dan melakukan autentikasi aplikasi pada penyewa Microsoft Azure Active Directory uji di lingkungan pengujian
Konfigurasi Produksi Berhasil Ubah konfigurasi agar dapat bekerja pada penyewa AD produksi dan periksa autentikasi aplikasi di lingkungan pengujian
Selesai / Berhenti Terapkan perubahan untuk aplikasi pada lingkungan produksi dan jalankan pada penyewa Microsoft Azure Active Directory produksi

Hal ini akan memastikan pemilik aplikasi mengetahui jadwal migrasi dan jadwal pengujian aplikasi, waktu aplikasi mereka siap untuk migrasi, dan hasil dari aplikasi lain yang telah dimigrasikan. Anda juga dapat menyediakan tautan ke database pelacak bug Anda agar pemilik dapat mengajukan dan melihat masalah aplikasi yang sedang dimigrasikan.

Praktik terbaik

Berikut adalah kisah sukses pelanggan dan mitra kami, dan praktik terbaik yang disarankan:

Fase 1: Temukan dan selidiki aplikasi

Penemuan aplikasi dan analisisnya adalah pekerjaan pokok untuk mendapatkan awal yang baik. Anda mungkin tidak mengetahui semuanya, jadi bersiaplah untuk mendapatkan aplikasi yang tidak dikenal.

Menemukan aplikasi Anda

Poin keputusan pertama dalam migrasi aplikasi adalah pilihan aplikasi yang akan dimigrasikan, aplikasi yang tetap dibiarkan ada, dan aplikasi yang harus dihentikan. Selalu ada kesempatan untuk menghentikan aplikasi yang tidak akan digunakan di organisasi Anda. Ada beberapa cara untuk menemukan aplikasi di organisasi Anda. Saat menemukan aplikasi, pastikan Anda telah menyertakan aplikasi yang sedang dikembangkan dan direncanakan. Gunakan Microsoft Azure Active Directory untuk autentikasi di semua aplikasi mendatang.

Menggunakan Layanan Federasi Direktori Aktif (AD FS) untuk mengumpulkan inventaris aplikasi yang benar:

  • Gunakan Azure AD Connect Health. Jika Anda memiliki lisensi Azure AD Premium, sebaiknya terapkan Azure AD Connect Health untuk menganalisis penggunaan aplikasi di lingkungan lokal Anda. Anda dapat menggunakan laporan aplikasi ADFS (pratinjau) untuk menemukan aplikasi ADFS yang dapat dimigrasikan dan mengevaluasi kesiapan aplikasi yang akan dimigrasikan. Setelah menyelesaikan migrasi, terapkan Cloud Discovery yang memungkinkan Anda terus memantau TI Bayangan di dalam organisasi Anda setelah Anda di cloud.

  • Penguraian log Layanan Federasi Direktori Aktif. Jika Anda tidak memiliki lisensi Microsoft Azure Active Directory Premium, sebaiknya gunakan alat migrasi aplikasi ADFS to Azure AD yang berbasis di PowerShell. Lihat Panduan solusi:

Melakukan migrasi aplikasi dari Layanan Federasi Direktori Aktif (AD FS) ke Azure AD.

Menggunakan penyedia identitas (IdP) lain

Untuk penyedia identitas lain (seperti Okta atau Ping), Anda dapat menggunakan alat di sistem tersebut untuk mengekspor inventaris aplikasi. Anda mungkin perlu melihat prinsipal layanan yang terdaftar di Active Directory yang berkaitan dengan aplikasi web di organisasi Anda.

Menggunakan alat penemuan cloud

Di lingkungan cloud, Anda memerlukan visibilitas yang besar, kontrol atas pergerakan data, dan analitik yang canggih untuk menemukan dan memerangi ancaman dunia maya di seluruh layanan cloud Anda. Anda dapat mengumpulkan inventaris aplikasi cloud Anda menggunakan alat berikut:

  • Cloud Access Security Broker (CASB)- CASB biasanya bekerja berdampingan dengan firewall Anda untuk memberikan visibilitas ke dalam penggunaan aplikasi cloud dari karyawan Anda dan membantu Anda melindungi data perusahaan Anda dari ancaman dunia maya. Laporan CASB dapat membantu Anda menentukan aplikasi yang paling banyak digunakan di organisasi Anda, dan merupakan target awal untuk migrasi ke Microsoft Azure Active Directory.

  • Cloud Discovery - Dengan mengonfigurasi Cloud Discovery, Anda memperoleh visibilitas ke dalam penggunaan aplikasi cloud, dan dapat menemukan aplikasi yang tidak berizin atau TI Bayangan.

  • API - Untuk aplikasi yang terhubung ke infrastruktur cloud, Anda dapat menggunakan API dan alat pada sistem tersebut untuk mulai mengambil inventaris aplikasi yang di-hosting. Di lingkungan Azure:

    • Gunakan cmdlet Get-AzureWebsite untuk mendapatkan informasi tentang situs web Azure.

    • Gunakan cmdlet Get-AzureRMWebApp untuk mendapatkan informasi tentang Azure Web Apps Anda. D

    • Anda dapat menemukan semua aplikasi yang berjalan di Microsoft IIS dari baris perintah Windows menggunakan AppCmd.exe.

    • Gunakan Applications dan Service Principals untuk mendapatkan informasi tentang aplikasi dan instans aplikasi di direktori pada Microsoft Azure Active Directory.

Menggunakan proses manual

Setelah Anda mengambil pendekatan otomatis yang dijelaskan di atas, Anda akan memahami aplikasi Anda dengan baik. Namun, Anda mungkin perlu melakukan hal berikut untuk memastikan Anda sudah menjangkau seluruh wilayah akses pengguna dengan baik:

  • Hubungi berbagai pemilik bisnis di organisasi Anda untuk menemukan aplikasi yang digunakan di organisasi Anda.

  • Jalankan alat inspeksi HTTP di server proksi Anda, atau lakukan analisis log proksi, untuk mengetahui tujuan perutean lalu lintas yang biasa terjadi.

  • Tinjau weblog dari situs portal perusahaan yang populer untuk melihat tautan yang paling banyak diakses pengguna.

  • Jangkau eksekutif atau anggota bisnis kunci lainnya untuk memastikan Anda telah menjangkau aplikasi yang penting secara bisnis.

Jenis aplikasi yang akan dimigrasi

Setelah menemukan aplikasi, Anda akan mengidentifikasi jenis aplikasi ini di organisasi Anda:

  • Aplikasi yang sudah menggunakan protokol autentikasi modern

  • Aplikasi yang menggunakan protokol autentikasi legasi yang Anda pilih untuk dimodernkan

  • Aplikasi yang menggunakan protokol autentikasi legasi yang Anda pilih untuk TIDAK dimodernkan

  • Aplikasi Lini Bisnis (LoB) baru

Aplikasi yang sudah menggunakan autentikasi modern

Aplikasi yang sudah dimodernkan yang paling mungkin dipindahkan ke Microsoft Azure Active Directory. Aplikasi ini sudah menggunakan protokol autentikasi modern (seperti SAML atau OpenID Connect) dan dapat dikonfigurasi ulang untuk melakukan autentikasi dengan Microsoft Azure Active Directory.

Selain pilihan di galeri aplikasi Microsoft Azure Active Directory, bisa juga aplikasi yang sudah ada di organisasi Anda atau aplikasi pihak ketiga dari vendor yang bukan bagian dari galeri Microsoft Azure Active Directory (aplikasi non-galeri).

Aplikasi legasi yang Anda pilih untuk dimodernkan

Untuk aplikasi legasi yang ingin dimodernkan Anda, memindahkannya ke Azure AD untuk autentikasi dan otorisasi inti dapat membuka segenap kekuatan dan kekayaan data yang ditawarkan oleh Microsoft Graph dan Intelligent Security Graph.

Sebaiknya perbarui kode tumpukan autentikasi untuk aplikasi ini dari protokol legasi (seperti Autentikasi Terintegrasi Windows, Delegasi yang dibatasi Kerberos, autentikasi berbasis Header HTTP) menjadi protokol modern (seperti SAML atau OpenID Connect).

Aplikasi legasi yang Anda pilih untuk TIDAK dimodernkan

Untuk aplikasi tertentu yang menggunakan protokol autentikasi legasi, terkadang memodernkan autentikasi aplikasi ini bukanlah hal yang tepat untuk dilakukan karena alasan bisnis. Yang termasuk adalah jenis aplikasi berikut:

  • Aplikasi yang disimpan di lokal untuk alasan kepatuhan atau kontrol.

  • Aplikasi yang terhubung ke identitas lokal atau penyedia federasi yang tidak ingin diubah.

  • Aplikasi yang dikembangkan menggunakan standar autentikasi lokal yang tidak direncanakan untuk dipindahkan

Microsoft Azure Active Directory dapat memberikan manfaat besar bagi aplikasi legasi ini, karena Anda dapat mengaktifkan fitur keamanan dan tata kelola Microsoft Azure Active Directory yang modern seperti Autentikasi Multifaktor, Akses Bersyarat, Perlindungan Identitas, Akses Aplikasi Terdelegasi, dan Tinjauan Akses terhadap aplikasi ini tanpa mengubah aplikasi itu sama sekali!

Mulailah dengan memperluas aplikasi ini ke cloud dengan Proksi Aplikasi Microsoft Azure Active Directory menggunakan cara autentikasi sederhana (seperti Pengelola Kata Sandi) untuk membuat pengguna Anda bermigrasi dengan cepat, atau melalui integrasi mitra kami dengan pengontrol pengiriman aplikasi yang mungkin telah Anda terapkan.

Aplikasi Lini Bisnis (LoB) baru

Anda biasanya mengembangkan aplikasi LoB untuk penggunaan internal organisasi Anda. Jika Anda memiliki aplikasi baru dalam alur, sebaiknya gunakan Platform Identitas Microsoft untuk menerapkan OpenID Connect.

Aplikasi yang dihentikan

Aplikasi tanpa pemilik yang jelas serta tanpa pemeliharaan dan pemantauan yang jelas menghadirkan risiko keamanan bagi organisasi Anda. Pertimbangkan menghentikan aplikasi jika:

  • fungsionalitas aplikasi sangat berlebihan dengan sistem lain • tidak ada pemilik bisnisnya

  • secara jelas tidak ada yang menggunakannya.

Sebaiknya Anda tidak menghentikan aplikasi yang berdampak tinggi dan penting bagi bisnis. Dalam kasus tersebut, bekerja samalah dengan pemilik bisnis untuk menentukan strategi yang tepat.

Kriteria keluar

Anda berhasil dalam fase ini dengan:

  • Pemahaman yang baik tentang sistem dalam lingkup migrasi Anda (yang dapat dihentikan begitu aplikasi sudah dipindahkan ke Microsoft Azure Active Directory)

  • Daftar aplikasi yang termasuk adalah:

    • Sistem yang terhubung dengan aplikasi tersebut
    • Jenis perangkat yang digunakan pengguna dalam mengaksesnya
    • Salah satu dari pilihan dimigrasikan, dihentikan, atau terhubung dengan Azure AD Connect.

Catatan

Anda bisa mengunduh Lembar Kerja Penemuan Aplikasi untuk mencatat aplikasi yang ingin Anda migrasikan ke autentikasi Azure AD, dan yang ingin ditinggalkan Anda tetapi dikelola dengan menggunakan Microsoft Azure Active Directory Connect.

Fase 2- Mengklasifikasi aplikasi dan merencanakan percontohan

Mengklasifikasi migrasi aplikasi Anda adalah tahap penting. Tidak setiap aplikasi perlu dimigrasikan dan ditransisikan pada saat yang sama. Setelah mengumpulkan informasi tentang masing-masing aplikasi, Anda dapat memikirkan dengan baik aplikasi yang harus dimigrasikan terlebih dahulu dan aplikasi yang mungkin membutuhkan waktu tambahan.

Mengklasifikasi aplikasi dalam lingkup

Salah satu cara memahami hal ini adalah memikirkan sepanjang sumbu-sumbu kekritisan bisnis, penggunaan, dan masa pakai, yang masing-masing tergantung pada beberapa faktor.

Kekritisan Bisnis

Kekritisan bisnis akan memiliki dimensi berbeda untuk setiap bisnis, tetapi dua ukuran yang harus dipertimbangkan Anda adalah fitur dan fungsionalitas dan profil pengguna. Berikan nilai poin lebih tinggi kepada aplikasi dengan fungsionalitas unik dibandingkan aplikasi dengan fungsionalitas berlebihan atau usang.

A diagram of the spectrums of Features & Functionality and User Profiles

Penggunaan

Aplikasi dengan angka penggunaan tinggi harus menerima nilai yang lebih tinggi daripada aplikasi dengan penggunaan rendah. Berikan nilai lebih tinggi kepada aplikasi dengan pengguna tim eksternal, eksekutif, atau keamanan. Untuk setiap aplikasi dalam portofolio migrasi Anda, selesaikan penilaian ini.

A diagram of the spectrums of User Volume and User Breadth

Setelah menentukan nilai kekritisan bisnis dan penggunaan, Anda kemudian dapat menentukan masa pakai aplikasi, dan membuat matriks prioritas. Lihat salah satu matriks di bawah ini:

A triangle diagram showing the relationships between Usage, Expected Lifespan, and Business Criticality

Memprioritaskan aplikasi untuk migrasi

Anda dapat memilih untuk memulai migrasi aplikasi dengan aplikasi berprioritas terendah atau aplikasi berprioritas tertinggi berdasarkan kebutuhan organisasi Anda.

Dalam skenario di mana Anda tidak berpengalaman menggunakan Microsoft Azure Active Directory dan layanan Identitas, pertimbangkan untuk memindahkan aplikasi berprioritas terendah Anda ke Microsoft Azure Active Directory terlebih dahulu. Ini akan meminimalkan dampak pada bisnis Anda, dan Anda dapat membuat momentum. Setelah berhasil memindahkan aplikasi ini dan mendapatkan kepercayaan dari pemangku kepentingan, Anda dapat meneruskan migrasi aplikasi lain.

Jika tidak ada prioritas yang jelas, Anda dapat memindahkan aplikasi yang ada di Galeri Microsoft Azure Active Directory terlebih dahulu dan yang mendukung beberapa penyedia identitas (ADFS atau Okta) karena aplikasi itu lebih mudah diintegrasikan. Ada kemungkinan aplikasi yang dipilih adalah aplikasi dengan prioritas tertinggi pada organisasi Anda. Untuk membantu mengintegrasikan aplikasi SaaS Anda dengan Microsoft Azure Active Directory, kami telah membuat koleksi tutorial yang memandu Anda melakukan konfigurasi.

Jika Anda memiliki tenggat waktu untuk migrasi aplikasi, keranjang yang berisi aplikasi berprioritas tertinggi ini akan menjadi beban kerja utama Anda. Pada akhirnya Anda dapat memilih aplikasi berprioritas lebih rendah karena aplikasi ini tidak akan mengubah biaya meskipun Anda sudah melebihi tenggat waktu. Bahkan jika Anda ternyata harus memperbarui lisensi, biayanya akan sedikit.

Selain klasifikasi ini dan tergantung pada urgensi migrasi Anda, Anda dapat membuat jadwal migrasi di mana pemilik aplikasi harus terlibat agar aplikasi mereka dimigrasikan. Pada akhir proses ini, Anda seharusnya memiliki daftar berisi semua aplikasi dalam kelompok yang diprioritaskan untuk migrasi.

Mendokumentasikan aplikasi Anda

Pertama, mulailah dengan mengumpulkan detail utama tentang aplikasi Anda. Lembar Kerja Penemuan Aplikasi akan membantu Anda membuat keputusan migrasi dengan cepat dan menghasilkan rekomendasi kepada grup bisnis Anda dalam waktu singkat.

Informasi yang penting untuk membuat keputusan migrasi Anda meliputi:

  • Nama aplikasi - aplikasi ini dikenal sebagai apa di dalam bisnis?

  • Jenis aplikasi - apakah ini aplikasi SaaS pihak ketiga? Apakah aplikasi web lini bisnis kustom? Apakah API?

  • Kekritisan bisnis - apakah kekritisannya tinggi? Atau rendah? Atau di antara keduanya?

  • Volume akses pengguna – apakah semua orang mengakses aplikasi ini atau hanya beberapa orang?

  • Masa pakai yang direncanakan – berapa lama aplikasi ini akan ada? Apakah kurang dari enam bulan? Apakah lebih dari dua tahun?

  • Penyedia identitas saat ini – apa IdP utama untuk aplikasi ini? Atau apakah identitasnya bergantung pada penyimpanan lokal?

  • Metode autentikasi – apakah aplikasi melakukan autentikasi menggunakan standar terbuka?

  • Apakah Anda berencana memperbarui kode aplikasi – apakah aplikasi masih dalam perencanaan ataukah sudah aktif dikembangkan?

  • Apakah Anda berencana menyimpan aplikasi secara lokal – apakah Anda ingin menyimpan aplikasi di pusat data Anda dalam jangka panjang?

  • Apakah aplikasi bergantung pada aplikasi atau API lain – apakah aplikasi saat ini menggunakan kode dari aplikasi atau API lain?

  • Apakah aplikasi berada di galeri Microsoft Azure Active Directory – apakah aplikasi saat ini sudah terintegrasi dengan Galeri Microsoft Azure Active Directory?

Data lain yang akan membantu Anda nanti, tetapi yang tidak diperlukan untuk membuat keputusan migrasi dengan segera, mencakup:

  • URL Aplikasi – di mana pengguna mengakses aplikasi?

  • Deskripsi aplikasi – apa deskripsi singkat tentang hal yang dilakukan oleh aplikasi?

  • Pemilik aplikasi – siapa pemilik bisnis yang menjadi POC utama dari aplikasi?

  • Komentar atau catatan umum – informasi umum lainnya tentang aplikasi atau kepemilikan bisnis

Setelah Anda mengklasifikasi aplikasi Anda dan mendokumentasikan perinciannya, pastikan untuk mendapatkan persetujuan dari pemilik bisnis atas strategi migrasi yang direncanakan.

Merencanakan percontohan

Aplikasi yang Anda pilih untuk percontohan harus mewakili identitas utama dan persyaratan keamanan organisasi Anda, dan Anda harus memiliki persetujuan yang jelas dari pemilik aplikasi. Percontohan biasanya berjalan di lingkungan pengujian yang terpisah. Lihat praktik terbaik untuk percontohan di halaman rencana penyebaran.

Jangan melupakan mitra eksternal Anda. Pastikan mereka berpartisipasi dalam jadwal dan pengujian migrasi. Akhirnya, pastikan mereka memiliki cara untuk mengakses bantuan teknis Anda jika terjadi masalah baru.

Membuat rencana untuk keterbatasan

Meskipun beberapa aplikasi mudah dimigrasikan, namun yang lain mungkin memakan waktu lebih lama karena beberapa server atau instans. Misalnya, migrasi SharePoint mungkin memakan waktu lebih lama karena halaman masuknya yang kustom.

Banyak vendor aplikasi SaaS mengenakan biaya untuk mengubah koneksi SSO. Periksa hal itu dengan mereka dan buat rencana untuk masalah ini.

Microsoft Azure Active Directory juga memiliki batas layanan dan pembatasan yang harus Anda ketahui.

Persetujuan pemilik aplikasi

Aplikasi bisnis yang penting dan digunakan secara universal mungkin memerlukan sekelompok pengguna percontohan untuk menguji aplikasi dalam tahap percontohan. Setelah Anda menguji aplikasi di lingkungan pra-produksi atau percontohan, pastikan pemilik bisnis aplikasi menyetujui kinerja aplikasi sebelum migrasi aplikasi dan semua pengguna sistem produksi menggunakan Microsoft Azure Active Directory untuk autentikasi.

Merencanakan postur keamanan

Sebelum memulai proses migrasi, pertimbangkan dengan baik postur keamanan yang ingin Anda kembangkan untuk sistem identitas perusahaan Anda. Hal ini didasarkan pada pengumpulan kumpulan informasi berharga ini: Identitas, perangkat, dan lokasi yang mengakses data Anda.

Identitas dan data

Sebagian besar organisasi memiliki persyaratan khusus tentang identitas dan perlindungan data yang bervariasi menurut segmen industri dan fungsi pekerjaan di dalam organisasi. Lihat konfigurasi identitas dan akses perangkat untuk rekomendasi kami termasuk serangkaian kebijakan akses bersyarat yang sudah ditentukan dan kemampuan yang terkait.

Anda dapat menggunakan informasi ini untuk melindungi akses ke semua layanan yang terintegrasi dengan Microsoft Azure Active Directory. Rekomendasi ini selaras dengan Microsoft Secure Score dan skor identitas di Azure AD. Skor membantu Anda untuk:

  • Mengukur postur keamanan identitas Anda secara objektif

  • Merencanakan penyempurnaan keamanan identitas

  • Meninjau keberhasilan peningkatan Anda

Hal ini juga akan membantu Anda menerapkan lima langkah untuk mengamankan infrastruktur identitas Anda. Gunakan panduan tersebut sebagai titik awal bagi organisasi Anda dan sesuaikan kebijakan untuk memenuhi persyaratan spesifik organisasi Anda.

Siapa yang mengakses data Anda?

Ada dua kategori utama pengguna aplikasi Anda dan sumber daya yang didukung Microsoft Azure Active Directory:

  • Internal: Karyawan, kontraktor, dan vendor yang memiliki akun dalam penyedia identitas Anda. Hal ini mungkin perlu percontohan lebih lanjut dengan aturan yang berbeda untuk manajer atau pemimpin dibandingkan untuk karyawan lain.

  • Eksternal: Vendor, pemasok, distributor, atau mitra bisnis lain yang berinteraksi dengan organisasi Anda dalam bisnis reguler dengan kolaborasi Microsoft Azure Active Directory B2B.

Anda dapat membuat grup untuk pengguna ini dan mengisi grup ini dengan cara yang beragam. Anda dapat memilih bahwa administrator harus menambahkan anggota secara manual ke dalam grup, atau Anda dapat mengaktifkan layanan mandiri untuk keanggotaan grup. Aturan dapat dibuat agar secara otomatis menambahkan anggota ke dalam grup berdasarkan kriteria yang ditentukan menggunakan grup dinamis.

Pengguna eksternal juga dapat dirujuk sebagai pelanggan. Azure AD B2C, produk terpisah yang mendukung autentikasi pelanggan. Namun, produk itu di luar lingkup dokumen ini.

Perangkat/lokasi yang digunakan untuk mengakses data

Perangkat dan lokasi yang digunakan pengguna untuk mengakses aplikasi juga penting. Perangkat yang terhubung secara fisik ke jaringan perusahaan Anda akan lebih aman. Koneksi dari luar jaringan melalui VPN mungkin perlu diawasi.

A diagram showing the relationship between User Location and Data Access

Dengan mempertimbangkan aspek sumber daya, pengguna, dan perangkat ini, Anda dapat memilih untuk menggunakan kemampuan Akses Bersyarat Microsoft Azure Active Directory. Akses bersyarat melampaui izin pengguna karena didasarkan pada kombinasi faktor, seperti identitas pengguna atau grup, jaringan yang digunakan pengguna, perangkat dan aplikasi yang mereka gunakan, dan jenis data yang mereka coba akses. Akses yang diberikan kepada pengguna disesuaikan dengan serangkaian kondisi yang lebih luas ini.

Kriteria keluar

Anda berhasil dalam fase ini jika Anda:

  • Mengetahui aplikasi Anda

    • Telah sepenuhnya mendokumentasikan aplikasi yang ingin Anda migrasikan
    • Telah memprioritaskan aplikasi berdasarkan kekritisan bisnis, volume penggunaan, dan umur pakai
  • Telah memilih aplikasi yang mewakili kebutuhan Anda untuk percontohan

  • Persetujuan pemilik bisnis untuk prioritas dan strategi Anda

  • Memahami kebutuhan postur keamanan Anda dan cara mengimplementasikannya

Fase 3 - Merencanakan migrasi dan pengujian

Setelah Anda mendapatkan persetujuan pemilik bisnis, langkah selanjutnya adalah mulai melakukan migrasi aplikasi ini ke autentikasi Microsoft Azure Active Directory.

Alat dan panduan migrasi

Gunakan alat dan panduan di bawah ini untuk mengikuti langkah-langkah yang tepat dalam melakukan migrasi aplikasi Anda ke Microsoft Azure Active Directory:

Setelah migrasi, Anda dapat berkomunikasi memberitahukan kepada pengguna tentang keberhasilan penyebaran dan mengingatkan mereka tentang langkah-langkah baru yang perlu dilakukan oleh mereka.

Uji rencana

Selama proses migrasi, aplikasi Anda mungkin sudah memiliki lingkungan pengujian yang digunakan selama penerapan reguler. Anda dapat terus menggunakan lingkungan ini untuk pengujian migrasi. Jika lingkungan pengujian saat ini tidak tersedia, Anda mungkin dapat menyiapkannya menggunakan Azure App Service atau Azure Virtual Machines, tergantung pada arsitektur aplikasi. Anda dapat memilih untuk menyiapkan penyewa Microsoft Azure Active Directory pengujian terpisah untuk digunakan saat membuat konfigurasi aplikasi Anda. Penyewa ini akan dimulai dalam status bersih dan tidak akan dikonfigurasi untuk sinkronisasi dengan sistem apa pun.

Anda dapat menguji setiap aplikasi dengan masuk ke aplikasi bersama seorang pengguna uji dan memastikan semua fungsionalitasnya sama seperti sebelum migrasi. Jika Anda menentukan selama pengujian bahwa pengguna harus memperbarui pengaturan MFA atau SSPR mereka, atau Anda menambahkan fungsionalitas ini selama migrasi, pastikan untuk menambahkan hal itu pada rencana komunikasi dengan pengguna akhir Anda. Lihat templat komunikasi pengguna akhir MFA dan SSPR.

Setelah Anda melakukan migrasi aplikasi, buka portal Microsoft Azure untuk menguji apakah migrasi sudah berhasil. Ikuti petunjuknya di bawah:

  • Pilih Enterprise Applications > All aplications dan temukan aplikasi Anda dari daftar.

  • Pilih Manage > Users and groups untuk menetapkan setidaknya satu pengguna atau satu grup ke aplikasi.

  • Pilih Manage > Conditional Access. Tinjau daftar kebijakan Anda dan pastikan Anda tidak memblokir akses ke aplikasi dengan kebijakan akses bersyarat.

Tergantung cara Anda mengonfigurasikan aplikasi, lakukan verifikasi bahwa SSO berfungsi dengan baik.

Jenis autentikasi Pengujian
OAuth/OpenID Connect Pilih Enterprise applications > Permissions dan pastikan Anda telah menyetujui aplikasi yang akan digunakan di organisasi Anda di dalam pengaturan pengguna untuk aplikasi Anda.
SSO berbasis SAML Gunakan tombol Test SAML Settings di bawah Single Sign-On.
SSO berbasis Password Unduh dan install MyApps Secure Sign-in Extension. Ekstensi ini membantu Anda memulai semua aplikasi di cloud organisasi Anda yang mengharuskan Anda menggunakan proses SSO.

| Proksi Aplikasi |Pastikan konektor Anda bekerja dan sudah diarahkan ke aplikasi Anda. Kunjungi panduan pemecahan masalah Proksi Aplikasi untuk bantuan lebih lanjut. |

Pecahkan masalah

Jika Anda mengalami masalah, lihat panduan pemecahan masalah aplikasi kami untuk mendapatkan bantuan. Anda juga dapat melihat artikel pemecahan masalah kami, lihat Masalah masuk ke aplikasi yang dikonfigurasi SSO berbasis SAML.

Rencanakan pembatalan

Jika migrasi Anda gagal, strategi terbaik adalah gulung balik dan melakukan pengujian. Berikut langkah-langkah yang bisa Anda ambil untuk mengurangi masalah migrasi:

  • Ambil cuplikan layar dari konfigurasi yang sudah ada di aplikasi Anda. Anda dapat melihat kembali konfigurasi itu jika Anda harus mengonfigurasi ulang aplikasi sekali lagi.

  • Anda juga dapat menyediakan tautan ke autentikasi legasi, jika ada masalah dengan autentikasi cloud.

  • Sebelum Anda menyelesaikan migrasi, jangan ubah konfigurasi yang sudah ada dengan penyedia identitas sebelumnya.

  • Mulailah dengan migrasi aplikasi yang mendukung banyak IdP. Jika terjadi kesalahan, Anda selalu dapat mengubahnya ke konfigurasi IdP yang lebih disukai.

  • Pastikan bahwa halaman pengalaman aplikasi Anda memiliki tombol Umpan Balik atau penunjuk ke masalah bantuan teknis Anda.

Kriteria keluar

Anda berhasil dalam fase ini jika Anda sudah:

  • Menentukan cara untuk melakukan migrasi terhadap setiap aplikasi

  • Meninjau peralatan migrasi

  • Merencanakan pengujian Anda termasuk lingkungan dan grup pengujian

  • Sudah mempersiapkan gulung balik

Fase 4: Manajemen rencana dan wawasan

Setelah aplikasi dimigrasikan, Anda harus memastikan bahwa:

  • Pengguna dapat mengakses dan mengelola dengan aman

  • Anda dapat memperoleh wawasan yang sesuai ke dalam penggunaan dan kesehatan aplikasi

Sebaiknya lakukan tindakan berikut yang sesuai dengan organisasi Anda.

Mengelola akses aplikasi dari pengguna Anda

Setelah melakukan migrasi aplikasi, Anda dapat memperkaya pengalaman pengguna dengan berbagai cara

Membuat aplikasi mudah ditemukan

Arahkan pengguna Anda ke pengalaman portal MyApps. Di sini, mereka dapat mengakses semua aplikasi berbasis cloud, aplikasi yang Anda sediakan dengan menggunakan Azure AD Connect, dan aplikasi yang menggunakan Proksi Aplikasi asalkan mereka memiliki izin untuk mengakses aplikasi tersebut.

Anda dapat memandu pengguna tentang cara menemukan aplikasi mereka:

Membuat aplikasi dapat diakses

Izinkan pengguna mengakses aplikasi dari perangkat seluler mereka. Pengguna dapat mengakses portal MyApps dengan browser yang dikelola oleh Intune di perangkat iOS 7.0 atau versi lebih baru atau perangkat Android mereka.

Pengguna dapat mengunduh browser yang dikelola Intune:

Izinkan pengguna membuka aplikasi mereka dari ekstensi browser.

Pengguna dapat mengunduh Ekstensi Masuk Aman Aplikasi Saya di Chrome, atau Microsoft Edge dan dapat meluncurkan aplikasi langsung dari bilah browser ke:

  • Cari aplikasi mereka dan cari aplikasi yang paling terakhir digunakan mereka

  • Secara otomatis lakukan konversi URL internal yang telah Anda konfigurasikan di Proksi Aplikasi ke URL eksternal yang sesuai. Pengguna Anda sekarang dapat bekerja dengan tautan yang akrab dengan mereka, di mana pun mereka berada.

Izinkan pengguna membuka aplikasi mereka dari Office.com.

Pengguna dapat pergi ke Office.com untuk mencari aplikasi mereka dan membuat aplikasi yang paling terakhir mereka gunakan menjadi muncul untuk mereka, langsung dari tempat mereka bekerja.

Akses aplikasi yang aman

Microsoft Azure Active Directory menyediakan lokasi akses terpusat untuk mengelola aplikasi Anda yang sudah migrasi. Buka portal Microsoft Azure dan aktifkan kapabilitas berikut ini:

  • Mengamankan akses pengguna ke aplikasi. Aktifkan Conditional Access policies atau Identity Protection untuk mengamankan akses pengguna ke aplikasi berdasarkan status perangkat, lokasi, dan lainnya.

  • Provisi otomatis. Siapkan provisi otomatis pengguna dengan berbagai aplikasi SaaS pihak ketiga yang perlu diakses oleh pengguna. Selain membuat identitas pengguna, provisi ini mencakup pemeliharaan dan penghapusan identitas pengguna ketika status atau peran mereka berubah.

  • Mendelegasikanmanajemen akses pengguna. Sesuai keadaan, aktifkan akses aplikasi layanan mandiri ke aplikasi Anda dan tetapkan seorang pemberi persetujuan bisnis untuk menyetujui akses ke aplikasi tersebut. Gunakan Pengelolaan Grup Layanan Mandiri untuk grup yang ditetapkan ke koleksi aplikasi.

  • Mendelegasikan akses admin. menggunakan Peran Direktori untuk menetapkan peran admin (seperti administrator aplikasi, administrator aplikasi cloud, atau pengembang aplikasi) kepada pengguna Anda.

Mengaudit dan mendapatkan wawasan tentang aplikasi Anda

Anda juga dapat menggunakan portal Microsoft Azure untuk mengaudit semua aplikasi Anda dari lokasi terpusat,

Kriteria keluar

Anda berhasil dalam fase ini jika Anda:

  • Menyediakan akses aplikasi yang aman kepada pengguna Anda

  • Berhasil mengaudit dan mendapatkan wawasan tentang aplikasi yang dimigrasikan

Lakukan lebih banyak lagi dengan rencana penyebaran

Rencana penerapan memandu Anda melalui nilai bisnis, perencanaan, langkah implementasi, dan manajemen solusi Microsoft Azure Active Directory, termasuk skenario migrasi aplikasi. Hal-hal tersebut menyatukan semua yang Anda butuhkan untuk mulai menerapkan dan mendapatkan nilai dari kemampuan Microsoft Azure Active Directory. Panduan penggunaan mencakup konten seperti praktik terbaik yang direkomendasikan Microsoft, komunikasi pengguna akhir, panduan perencanaan, langkah implementasi, kasus pengujian, dan lainnya.

Banyak paket penyebaran tersedia untuk Anda gunakan, dan masih banyak lagi dari kami!

Hubungi dukungan

Kunjungi tautan dukungan berikut untuk membuat atau melacak tiket dukungan dan memantau kesehatan.

  • Dukungan Azure: Anda dapat menghubungi Dukungan Microsoft dan membuka tiket untuk Azure mana pun

Masalah penerapan identitas tergantung pada Perjanjian Perusahaan Anda dengan Microsoft.

  • FastTrack: Jika Anda telah membeli lisensi Enterprise Mobility and Security (EMS) atau Microsoft Azure Active Directory Premium, Anda memenuhi syarat untuk menerima bantuan penyebaran dari program FastTrack.

  • Libatkan tim Teknik Produk: Jika Anda sedang mengerjakan penyebaran pelanggan utama dengan jutaan pengguna, Anda berhak mendapatkan dukungan dari tim akun Microsoft atau Cloud Solutions Architect Anda. Berdasarkan kompleksitas penyebaran proyek, Anda dapat bekerja langsung dengan tim Teknik Produk Azure Identity.

  • Blog Microsoft Azure Active Directory Identity: Berlangganan blog Microsoft Azure Active Directory Identity untuk tetap mendapatkan informasi terbaru tentang semua pengumuman produk terbaru, pembahasan mendalam, dan informasi peta jalan yang disediakan langsung oleh tim teknik Identity.