Fase 3: Pianificare la migrazione e il test
Una volta ottenuto il consenso degli stakeholder aziendali, la fase successiva consiste nell'avviare la migrazione di queste app al sistema di autenticazione di Microsoft Entra.
Strumenti e indicazioni per la migrazione
Usare gli strumenti e le indicazioni forniti per seguire esattamente le procedure necessarie per la migrazione delle applicazioni a Microsoft Entra ID:
- Indicazioni generali sulla migrazione. Usare il white paper, gli strumenti, i modelli di messaggi di posta e il questionario sulle applicazioni inclusi nel toolkit di migrazione delle app di Microsoft Entra per individuare, classificare ed eseguire la migrazione delle app.
- Applicazioni SaaS. Vedere l'elenco delle esercitazioni sulle app SaaS e il piano di distribuzione SSO di Microsoft Entra per seguire il processo end-to-end.
- Applicazioni in esecuzione in locale. Leggere le informazioni su Microsoft Entra Application Proxy e usare il piano di distribuzione completo di Microsoft Entra Application Proxy per diventare rapidamente operativi oppure valutare la collaborazione con un partner per l’accesso ibrido sicuro, di cui si potrebbe già disporre.
- App sviluppate autonomamente. Leggere le linee guida dettagliate sull'integrazione e sulla registrazione.
Panificare i test
Durante il processo di migrazione, potrebbe già essere disponibile un ambiente di testing per l'app, usato durante le normali distribuzioni. È possibile continuare a usare questo ambiente per il testing della migrazione. Se attualmente non è disponibile un ambiente di testing, si potrebbe configurarne uno usando il Servizio app di Azure o Macchine virtuali di Azure, a seconda dell'architettura dell'applicazione.
Si può scegliere di configurare un tenant Microsoft Entra di test separato da usare durante lo sviluppo delle configurazioni dell'app. Questo tenant viene avviato nello stato originario e non viene configurato per la sincronizzazione con alcun sistema.
A seconda di come si configura l'app, verificare che l'accesso Single Sign-On funzioni correttamente.
| Tipo di autenticazione | Test in corso |
|---|---|
| OAuth/OpenID Connect | Selezionare Applicazioni aziendali > Autorizzazioni e verificare di aver acconsentito all'uso dell’applicazione nell'organizzazione nelle impostazioni utente dell'app. |
| Single Sign-On basato su SAML | Usare il pulsante Test impostazioni SAML in Single Sign-On. |
| Single Sign-On basato su password | Scaricare e installare l'estensione per l’accesso sicuro ad App personali. Questa estensione consente di avviare tutte le app cloud dell'organizzazione che richiedono l'uso di un processo di accesso SSO. |
| Proxy dell'applicazione | Verificare che il connettore sia in esecuzione e assegnato all’applicazione. Per ulteriore assistenza, vedere la guida alla risoluzione dei problemi di Application Proxy. |
È possibile testare ogni app effettuando l'accesso come utente di test e verificando che tutte le funzionalità siano le stesse di prima della migrazione. Se durante i test si determina che gli utenti devono aggiornare le impostazioni di autenticazione a più fattori o reimpostazione della password self-service o se si aggiungono queste funzionalità durante la migrazione, assicurarsi di aggiungerle al piano di comunicazione dell'utente finale. Vedere i modelli di comunicazione con l'utente finale relativi all’autenticazione a più fattori e alla reimpostazione della password self-service.
Risoluzione dei problemi
In caso di problemi, vedere la guida alla risoluzione dei problemi delle app e l'articolo Proteggere l'accesso ibrido con l'integrazione di Microsoft Entra per ottenere assistenza. È possibile consultare anche gli articoli sulla risoluzione dei problemi, ad esempio Problemi di accesso alle app configurate con Single Sign-On basato su SAML.
Pianificare il rollback
Se la migrazione non riesce, è consigliabile lasciare le relying party esistenti sui server AD FS e rimuovere l'accesso alle relying party. Ciò consente un fallback rapido, se si rende necessario durante la distribuzione.
Ecco alcuni suggerimenti sulle azioni che è possibile eseguire per attenuare i problemi di migrazione:
- Acquisire screenshot della configurazione esistente dell'app. Serviranno da riferimento se dovesse essere necessario riconfigurare nuovamente l'app.
- Si può anche valutare la possibilità di fornire all'applicazione dei collegamenti per l'uso di opzioni di autenticazione alternative (autenticazione legacy o locale), in caso si verifichino problemi con l'autenticazione cloud.
- Prima di completare la migrazione, non modificare la configurazione esistente con il provider di identità esistente.
- Tenere presenti le app che supportano più provider di identità poiché offrono un piano di ripristino dello stato precedente più semplice.
- Assicurarsi che l'esperienza dell'app abbia un pulsante Feedback o puntatori all’help desk per la risoluzione dei problemi.
Comunicazione ai dipendenti
Anche se la finestra di interruzione pianificata può essere minima, è comunque consigliabile comunicare anticipatamente gli orari previsti ai dipendenti durante il passaggio da AD FS a Microsoft Entra ID. Assicurarsi che l'esperienza dell'app abbia un pulsante Feedback o puntatori all’help desk per la risoluzione dei problemi.
Al termine della distribuzione, è possibile informare gli utenti della sua riuscita e ricordare loro eventuali procedure da eseguire.
- Indicare agli utenti di usare App personali per accedere a tutte le applicazioni di cui è stata eseguita la migrazione.
- Ricordare agli utenti che potrebbero dover aggiornare le impostazioni di autenticazione a più fattori.
- Se è stata distribuita la funzionalità di reimpostazione della password self-service, gli utenti potrebbero dover aggiornare o verificare i propri metodi di autenticazione. Vedere i modelli di comunicazione con l'utente finale relativi all’autenticazione a più fattori e alla reimpostazione della password self-service.
Comunicazione agli utenti esterni
Questo gruppo di utenti è in genere quello che subisce l'impatto più significativo in caso di problemi. Ciò è particolarmente vero se la postura di sicurezza aziendale impone un set diverso di regole di accesso condizionale o di profili di rischio per i partner esterni. Assicurarsi che i partner esterni siano a conoscenza del piano di migrazione al cloud e che abbiano a disposizione un periodo di tempo in cui sono invitati a partecipare a una distribuzione pilota per testare tutti i flussi esclusivi della collaborazione esterna. Assicurarsi infine che siano in grado di accedere all'help desk in caso di problemi.
Criteri di uscita
Per assicurare la buona riuscita di questa fase è necessario:
- Esaminare gli strumenti di migrazione
- Pianificare i test, prevedendo ambienti di testing e gruppi
- Pianificare il ripristino dello stato precedente