AD FS から Microsoft Entra ID にアプリケーション認証を移行するステージについて理解する
Microsoft Entra ID によって提供されるユニバーサル ID プラットフォームでは、ユーザー、パートナー、顧客に対し、任意のプラットフォームやデバイスからアプリケーションにアクセスして共同作業を行うための 1 つの ID が提供されます。 Microsoft Entra ID には、必要な ID 管理機能がすべて備わっています。 アプリケーション認証と承認を Microsoft Entra ID に標準化すると、次のような利点があります。
移行するアプリの種類
アプリケーションでは、認証に最新のプロトコルまたはレガシ プロトコルが使用されている場合があります。 Microsoft Entra ID への移行を計画する場合は、先進認証プロトコル (SAML や OpenID Connect など) を使用するアプリを最初に移行することを検討してください。
これらのアプリは、Azure アプリ ギャラリーの組み込みコネクタを使用するか、Microsoft Entra ID にカスタム アプリケーションを登録することによって、Microsoft Entra ID で認証を行うように再構成できます。
古いプロトコルを使用するアプリは、アプリケーション プロキシまたは安全なハイブリッド アクセス (SHA) パートナーのいずれかを使用して統合できます。
詳細については、以下を参照してください:
- Microsoft Entra アプリケーション プロキシを使用してリモート ユーザー向けにオンプレミス アプリを発行する。
- アプリケーション管理とは
- アプリケーションを Microsoft Entra ID に移行するための AD FS アプリケーション アクティビティ レポート。
- 「Microsoft Entra Connect Health を使用して AD FS を監視する」。
移行プロセス
Microsoft Entra ID にアプリ認証を移動するプロセスの間に、アプリと構成をテストします。 運用環境に移動する前の移行テスト用に、既存のテスト環境を引き続き使用することをお勧めします。 テスト環境を現在使用できない場合は、アプリケーションのアーキテクチャに応じて、Azure App Service または Azure Virtual Machines を使用して設定できます。
アプリの構成を開発するためのテスト Microsoft Entra テナントを別に設定することもできます。
移行プロセスは次のようになります。
ステージ 1 – 現在の状態: 運用アプリは AD FS で認証を行っている
ステージ 2 – (省略可能) アプリのテスト インスタンスがテスト用の Microsoft Entra テナントを指し示すようにする
アプリのテスト インスタンスがテスト用の Microsoft Entra テナントを指し示すように構成を更新し、必要な変更を行います。 テスト用 Microsoft Entra テナントのユーザーを使用してアプリをテストできます。 開発プロセスの間に、Fiddler などのツールを使用して、要求と応答を比較および検証できます。
テスト用のテナントを別に設定できない場合は、このステージをスキップし、下のステージ 3 で説明するように、アプリのテスト インスタンスが運用環境の Microsoft Entra テナントを指し示すようにします。
ステージ 3 – アプリのテスト インスタンスが運用環境の Microsoft Entra テナントを指し示すようにする
アプリのテスト インスタンスが運用環境の Microsoft Entra テナントを指し示すように構成を更新します。 これで、運用テナントのユーザーを使用してテストできるようになります。 必要に応じて、この記事の、ユーザーの移行に関するセクションを確認してください。
ステージ 4 – 運用アプリが運用環境の Microsoft Entra テナントを指し示すようにする
運用アプリの構成を更新して、運用環境の Microsoft Entra テナントを指し示すようにします。
AD FS で認証を行うアプリでは、アクセス許可に Active Directory グループを使用する可能性があります。 移行を始める前にオンプレミス環境と Microsoft Entra ID の間で ID データを同期するには、Microsoft Entra Connect 同期を使用します。 アプリケーションが移行されるときに同じユーザーにアクセス権を付与できるよう、移行前にそれらのグループとメンバーシップを確認します。
基幹業務アプリ
基幹業務アプリは、組織が開発したアプリ、または標準のパッケージ製品であるアプリです。
OAuth 2.0、OpenID Connect、または WS-Federation を使用する基幹業務アプリは、アプリの登録として Microsoft Entra ID と統合できます。 Microsoft Entra 管理センターのエンタープライズ アプリケーション ページで、SAML 2.0 または WS-Federation を使用するカスタム アプリをギャラリー以外のアプリケーションとして統合します。