Rappresentare i criteri di sicurezza di AD FS in Microsoft Entra ID: mapping ed esempi
In questo articolo si apprenderà come eseguire il mapping delle regole di autorizzazione e autenticazione a più fattori da AD FS a Microsoft Entra ID durante lo spostamento dell'autenticazione dell'app. Scopri come soddisfare i requisiti di sicurezza del proprietario dell'app semplificando il processo di migrazione delle app con i mapping per ogni regola.
Quando si sposta l'autenticazione dell'app in Microsoft Entra ID, creare mapping dai criteri di sicurezza esistenti alle varianti equivalenti o alternative disponibili in Microsoft Entra ID. Assicurarsi che questi mapping possano essere eseguiti rispettando gli standard di sicurezza richiesti dai proprietari dell'app semplificano la migrazione delle app.
Per ogni esempio di regola, viene illustrato l'aspetto della regola in AD FS, il codice equivalente della lingua delle regole ad AD FS e il modo in cui viene eseguito il mapping a Microsoft Entra ID.
Eseguire il mapping delle regole di autorizzazione
Di seguito sono riportati alcuni esempi di vari tipi di regole di autorizzazione in AD FS e come eseguirne il mapping a Microsoft Entra ID.
Esempio 1: Consentire l'accesso a tutti gli utenti
Consentire l'accesso a tutti gli utenti in AD FS:
Viene eseguito il mapping all'ID Microsoft Entra in uno dei modi seguenti:
Impostare Assegnazione obbligatoria su No.
Nota
L'impostazione assegnazione richiesta su Sì richiede che gli utenti siano assegnati all'applicazione per ottenere l'accesso. Se impostato su No, tutti gli utenti hanno accesso. Questa opzione non controlla gli elementi visualizzati dagli utenti nell'esperienza di App personali.
Nella scheda Utenti e gruppi assegnare l'applicazione al gruppo automatico Tutti gli utenti. Per rendere disponibile il gruppo Tutti gli utenti predefinito, è necessario abilitare i gruppi dinamici nel tenant di Microsoft Entra.
Esempio 2: Consentire un gruppo in modo esplicito
Autorizzazione esplicita del gruppo in AD FS:
Per eseguire il mapping di questa regola a Microsoft Entra ID:
Nell'interfaccia di amministrazione di Microsoft Entra creare un gruppo di utenti corrispondente al gruppo di utenti di AD FS.
Assegnare le autorizzazioni dell'app al gruppo:
Esempio 3: Autorizzare un utente specifico
Autorizzazione esplicita dell'utente in AD FS:
Per eseguire il mapping di questa regola a Microsoft Entra ID:
Nell'interfaccia di amministrazione di Microsoft Entra aggiungere un utente all'app tramite la scheda Aggiungi assegnazione dell'app, come illustrato di seguito:
Eseguire il mapping delle regole di autenticazione a più fattori
Una distribuzione locale di Autenticazione a più fattori (MFA) e AD FS funziona ancora dopo la migrazione perché si è federati con AD FS. È tuttavia consigliabile eseguire la migrazione alle funzionalità MFA predefinite di Azure associate ai criteri di accesso condizionale di Microsoft Entra.
Di seguito sono riportati esempi di tipi di regole MFA in AD FS e come è possibile eseguirne il mapping a Microsoft Entra ID in base a condizioni diverse.
Impostazioni delle regole MFA in AD FS:
Esempio 1: Applicare l'autenticazione a più fattori in base a utenti/gruppi
Il selettore utenti/gruppi è una regola che consente di applicare MFA per gruppo (SID gruppo) o per utente (SID primario). Oltre alle assegnazioni di utenti/gruppi, tutte le altre caselle di controllo nell'interfaccia utente di configurazione di AD FS MFA funzionano come regole aggiuntive valutate dopo l'applicazione della regola utenti/gruppi.
Esempio 2: Applicare l'autenticazione a più fattori per i dispositivi non registrati
Specificare le regole MFA per i dispositivi non registrati in Microsoft Entra:
Eseguire il mapping degli attributi emit come regola attestazioni
Generare attributi come regola attestazioni in AD FS:
Per eseguire il mapping della regola a Microsoft Entra ID:
Nell'interfaccia di amministrazione di Microsoft Entra selezionare Applicazioni aziendali e quindi Single Sign-On per visualizzare la configurazione dell'accesso basato su SAML:
Selezionare Modifica (evidenziata) per modificare gli attributi:
Mappare i criteri di controllo di accesso predefiniti
Criteri di controllo di accesso predefiniti in AD FS 2016:
Per implementare criteri predefiniti in Microsoft Entra ID, usare un nuovo criterio di accesso condizionale e configurare i controlli di accesso oppure usare la finestra di progettazione criteri personalizzata in AD FS 2016 per configurare i criteri di controllo di accesso. L'Editor regole include un elenco completo delle opzioni Permit e Except che consentono di creare tutti i tipi di permutazioni.
In questa tabella sono state elencate alcune utili opzioni Permit e Except e come vengono mappate a Microsoft Entra ID.
Opzione | Come configurare l'opzione Permit in Microsoft Entra ID? | Come configurare l'opzione Except in Microsoft Entra ID? |
---|---|---|
Da specifico rete | Mappe a Posizione denominata in Microsoft Entra | Usare l'opzione Escludi per le posizioni attendibili |
Da specifico gruppi | Impostare un'assegnazione di utenti/gruppi | Usare l'opzione Escludi in Utenti e gruppi |
Da dispositivi con livello di attendibilità specifico | Impostare questa opzione dal controllo Stato del dispositivo in Assegnazioni -> Condizioni | Usare l'opzione Escludi in Condizione stato dispositivo e Includi tutti i dispositivi |
Con attestazioni specifiche nella richiesta | Non è possibile eseguire la migrazione di questa impostazione | Non è possibile eseguire la migrazione di questa impostazione |
Ecco un esempio di come configurare l'opzione Escludi per le posizioni attendibili nell'interfaccia di amministrazione di Microsoft Entra:
Eseguire la transizione degli utenti da AD FS a Microsoft Entra ID
Sincronizzare i gruppi di AD FS in Microsoft Entra ID
Quando si esegue il mapping delle regole di autorizzazione, le app che eseguono l'autenticazione con AD FS possono usare i gruppi di Active Directory per le autorizzazioni. In questo caso, usare Microsoft Entra Connessione per sincronizzare questi gruppi con l'ID Microsoft Entra prima di eseguire la migrazione delle applicazioni. Assicurarsi di verificare i gruppi e l'appartenenza prima della migrazione in modo che sia possibile concedere l'accesso agli stessi utenti quando viene eseguita la migrazione dell'applicazione.
Per altre informazioni, vedere Prerequisiti per l'uso degli attributi di gruppo sincronizzati da Active Directory.
Configurare il provisioning automatico degli utenti
Alcune applicazioni SaaS supportano la possibilità di effettuare il provisioning degli utenti JIT (Just-in-Time) quando accedono per la prima volta all'applicazione. In Microsoft Entra ID, il provisioning delle app si riferisce alla creazione automatica di identità utente e ruoli nelle applicazioni cloud (SaaS) a cui gli utenti devono accedere. Gli utenti di cui è stata eseguita la migrazione hanno già un account nell'applicazione SaaS. Tutti i nuovi utenti aggiunti dopo il provisioning della migrazione. Testare il provisioning di app SaaS dopo la migrazione dell'applicazione.
Sincronizzare gli utenti esterni in Microsoft Entra ID
Gli utenti esterni esistenti possono essere configurati in questi due modi in AD FS:
- Utenti esterni con un account locale all'interno dell'organizzazione: continuare a usare questi account nello stesso modo in cui funzionano gli account utente interni. Questi account utente esterni hanno un nome di principio all'interno dell'organizzazione, anche se il messaggio di posta elettronica dell'account può puntare esternamente.
Man mano che si procede con la migrazione, è possibile sfruttare i vantaggi offerti da Microsoft Entra B2B eseguendo la migrazione di questi utenti per usare la propria identità aziendale quando tale identità è disponibile. In questo modo viene semplificato il processo di accesso per tali utenti, perché spesso viene eseguito l'accesso con il proprio accesso aziendale. Anche l'amministrazione dell'organizzazione è più semplice, senza dover gestire gli account per gli utenti esterni.
- Identità esterne federate: se attualmente si esegue la federazione con un'organizzazione esterna, è possibile adottare alcuni approcci:
- Aggiungere gli utenti di Collaborazione B2B di Microsoft Entra nell'interfaccia di amministrazione di Microsoft Entra. È possibile inviare in modo proattivo inviti di collaborazione B2B dal portale amministrativo di Microsoft Entra all'organizzazione partner per consentire ai singoli membri di continuare a usare le app e gli asset a cui vengono usati.
- Creare un flusso di lavoro di iscrizione B2B self-service che genera una richiesta per singoli utenti nell'organizzazione partner usando l'API di invito B2B.
Indipendentemente dalla configurazione degli utenti esterni esistenti, è probabile che dispongano di autorizzazioni associate al proprio account, sia nell'appartenenza a gruppi che in autorizzazioni specifiche. Valutare se è necessario eseguire la migrazione o la pulizia di queste autorizzazioni.
Gli account all'interno dell'organizzazione che rappresentano un utente esterno devono essere disabilitati dopo la migrazione dell'utente a un'identità esterna. Il processo di migrazione deve essere discusso con i partner aziendali, in quanto potrebbe verificarsi un'interruzione della capacità di connettersi alle risorse.
Passaggi successivi
- Leggere Migrazione dell'autenticazione dell'applicazione all'ID Microsoft Entra.
- Configurare l'accesso condizionale e l'autenticazione a più fattori.
- Provare un esempio di codice dettagliato: AD FS al playbook di migrazione delle applicazioni Microsoft Entra per gli sviluppatori.