Проверка отчета о действиях приложений
Многие организации используют службы федерации Active Directory (AD FS) для предоставления единого входа в облачные приложения. Однако перенос приложений AD FS в Azure AD для проверки подлинности имеет целый ряд преимуществ, особенно с точки зрения управления затратами, управления рисками, повышения производительности, соответствия требованиям и системы управления. Но выявление того, какие приложения совместимы с Azure AD, и определение конкретных шагов по миграции может занять много времени.
Отчет о действиях приложений AD FS на портале Azure позволяет быстро узнать, какие приложения можно перенести в Azure AD. Он оценивает все приложения AD FS на совместимость с Azure AD, проверяет наличие проблем и предоставляет рекомендации по подготовке отдельных приложений к миграции. При использовании отчета о действиях приложения AD FS можно:
Обнаружить приложения AD FS и определить область их миграции. В отчете об активности приложений AD FS перечисляются все приложения AD FS в организации, для которых в течение последних 30 дней был зарегистрирован вход активного пользователя. В отчете отражена готовность приложений к миграции в Azure AD. В отчете не отображаются проверенные компоненты, связанные с Майкрософт в AD FS, такие как Office 365, например, проверенные компоненты с именем 'urn:federation:MicrosoftOnline'.
Определять, какие приложения стоит переносить в первую очередь. Вы можете просмотреть число уникальных пользователей, выполнивших вход в приложение за последние 1, 7 или 30 дней, чтобы определить важность или риск переноса приложения.
Выполнять тесты миграции и устранять неполадки. Служба отчетов автоматически запускает тесты, чтобы определить, готово ли приложение к миграции. Результаты отображаются в отчете об активности приложения AD FS в виде состояния миграции. Если конфигурация AD FS несовместима с конфигурацией Azure AD, вы получите конкретные рекомендации по настройке конфигурации Azure AD.
Данные о действиях приложения AD FS доступны пользователям, которым назначена любая из этих ролей администратора: глобальный администратор, читатель отчетов, читатель средств безопасности, администратор приложений или администратор облачных приложений.
Предварительные требования
- На данный момент в организации должны использоваться службы федерации Active Directory (AD FS) для доступа к приложениям.
- В клиенте Azure AD должна быть включена служба Azure AD Connect Health.
- Необходимо установить службу Azure AD Connect Health для агента AD FS.
- Дополнительные сведения об Azure AD Connect Health
- Начало работы с настройкой Azure AD Connect Health и установкой агента AD FS
Важно!
Существует несколько причин, по которым вы не увидите все ожидаемые приложения после установки Azure AD Connect Health. В отчете об активности приложений AD FS отображаются только те проверяющие стороны AD FS, в которые выполнялся вход пользователей за последние 30 дней. Кроме того, в отчете не будут отображаться проверяющие стороны, связанные с Майкрософт, такие как Office 365.
Обнаружение приложений AD FS, которые можно перенести
Отчет о действиях приложений AD FS доступен на портале Azure в разделе отчетов Azure AD & Использование и аналитические сведения. В отчете об активности приложений AD FS анализируется каждое из приложений AD FS, чтобы определить, можно ли его переносить как есть или требуется дополнительная проверка.
Войдите в портал Azure с ролью администратора, которая имеет доступ к данным о действиях приложений AD FS (глобальный администратор, читатель отчетов, читатель безопасности, администратор приложений или администратор облачных приложений).
Выберите раздел Azure Active Directory, а затем выберите Корпоративные приложения.
В разделе Активность выберите Использование и аналитические сведения, а затем выберите Активность приложений AD FS, чтобы открыть список всех приложений AD FS в вашей организации.
Для каждого из приложений в списке активности приложений AD FS просмотрите Состояние миграции.
Все готово для миграции означает, что конфигурация приложения AD FS полностью поддерживается в Azure AD и может быть перенесена как есть.
Требуется проверка означает, что некоторые параметры приложения можно перенести в Azure AD, но необходимо проверить параметры, которые не могут быть перенесены как есть.
Требуются дополнительные действия означает, что Azure AD не поддерживает некоторые параметры приложения, поэтому приложение нельзя перенести в его текущем состоянии.
Оценка готовности приложения к миграции
В списке действий приложения AD FS щелкните состояние в столбце Состояние миграции, чтобы открыть сведения о миграции. Вы увидите сводку проверок конфигурации, которые прошли успешно, а также возможные проблемы миграции.
Щелкните сообщение, чтобы открыть дополнительные сведения о правиле миграции. Полный список тестируемых свойств см. в таблице ниже, Тесты конфигурации приложений AD FS.
Тесты конфигурации приложений AD FS
В следующей таблице перечислены все тесты конфигурации, выполняемые в приложениях AD FS.
| Результат | Успех/предупреждение/сбой | Описание |
|---|---|---|
| Test-ADFSRPAdditionalAuthenticationRules Для AdditionalAuthentication обнаружено по крайней мере одно правило, не готовое к миграции. |
Успех/предупреждение | Проверяющая сторона имеет правила, требующие запроса многофакторной проверки подлинности (MFA). Чтобы выполнить миграцию в Azure AD, преобразуйте эти правила в политики условного доступа. Если используется локальная MFA, рекомендуется перейти на многофакторную проверку подлинности Azure AD MFA. См. дополнительные сведения об условном доступе. |
| Test-ADFSRPAdditionalWSFedEndpoint AdditionalWSFedEndpoint проверяющей стороны имеет значение true. |
Успех или сбой. | Проверяющая сторона в AD FS допускает несколько проверочных конечных точек WS-Fed. В настоящее время Azure AD поддерживает только одну точку. Если используется сценарий, в котором этот результат блокирует миграцию, сообщите нам об этом. |
| Test-ADFSRPAllowedAuthenticationClassReferences Проверяющая сторона установила параметр AllowedAuthenticationClassReferences. |
Успех или сбой. | Этот параметр AD FS позволяет указать, настроено ли приложение на разрешение только определенных типов проверки подлинности. Для реализации этой возможности рекомендуется использовать условный доступ. Если используется сценарий, в котором этот результат блокирует миграцию, сообщите нам об этом. См. дополнительные сведения об условном доступе. |
| Test-ADFSRPAlwaysRequireAuthentication AlwaysRequireAuthenticationCheckResult |
Успех или сбой. | Этот параметр AD FS позволяет указать, настроено ли приложение так, чтобы игнорировать файлы cookie единого входа и всегда запрашивать проверку подлинности. Для реализации аналогичного сценария в Azure AD можно управлять сеансом проверки подлинности с помощью политик условного доступа. См. дополнительные сведения о настройке управления сеансами проверки подлинности с помощью условного доступа. |
| Test-ADFSRPAutoUpdateEnabled Параметр AutoUpdateEnabled проверяющей стороны имеет значение true |
Успех/предупреждение | Этот параметр AD FS позволяет указать, настроено ли для AD FS автоматическое обновление приложения на основе изменений в метаданных федерации. В настоящее время Azure AD не поддерживает эту процедуру, но это не должно блокировать перенос приложения в Azure AD. |
| Test-ADFSRPClaimsProviderName Для проверяющей стороны включено несколько ClaimsProviders |
Успех или сбой. | Этот параметр AD FS вызывает поставщиков удостоверений, от которых принимает утверждения проверяющая сторона. В Azure AD можно включить внешнюю совместную работу с помощью Azure AD B2B. См. дополнительные сведения об Azure AD B2B. |
| Test-ADFSRPDelegationAuthorizationRules | Успех или сбой. | Для данного приложения определены пользовательские правила авторизации делегирования. Это концепция WS-Trust, которую Azure AD поддерживает с помощью современных протоколов проверки подлинности, таких как OpenID Connect и OAuth 2.0. См. дополнительные сведения о платформе удостоверений Майкрософт. |
| Test-ADFSRPImpersonationAuthorizationRules | Успех/предупреждение | В приложении определены пользовательские правила авторизации олицетворения. Это концепция WS-Trust, которую Azure AD поддерживает с помощью современных протоколов проверки подлинности, таких как OpenID Connect и OAuth 2.0. См. дополнительные сведения о платформе удостоверений Майкрософт. |
| Test-ADFSRPIssuanceAuthorizationRules Для IssuanceAuthorization обнаружено по крайней мере одно правило, не готовое к миграции. |
Успех/предупреждение | Приложение имеет пользовательские правила авторизации выдачи, определенные в AD FS. Azure AD поддерживает эту функцию с помощью условного доступа Azure AD. Дополнительные сведения об условном доступе Можно также ограничить доступ к приложению по пользователям или группам, назначенным приложению. См. дополнительные сведения о назначении пользователей и групп для доступа к приложениям. |
| Test-ADFSRPIssuanceTransformRules Для IssuanceTransform обнаружено по крайней мере одно правило, не готовое к миграции. |
Успех/предупреждение | Приложение имеет пользовательские правила авторизации выдачи, определенные в AD FS. Azure AD поддерживает настройку утверждений, которые передаются в токене. Дополнительные сведения см. в разделе Настройка утверждений, переданных в токене SAML для корпоративных приложений. |
| Test-ADFSRPMonitoringEnabled Параметр MonitoringEnabled проверяющей стороны имеет значение true. |
Успех/предупреждение | Этот параметр AD FS позволяет указать, настроено ли для AD FS автоматическое обновление приложения на основе изменений в метаданных федерации. В настоящее время Azure AD не поддерживает эту процедуру, но это не должно блокировать перенос приложения в Azure AD. |
| Test-ADFSRPNotBeforeSkew NotBeforeSkewCheckResult |
Успех/предупреждение | AD FS позволяет использовать сдвиг по времени на базе значений NotBefore и NotOnOrAfter в токене SAML. Azure AD автоматически обрабатывает это по умолчанию. |
| Test-ADFSRPRequestMFAFromClaimsProviders Параметр RequestMFAFromClaimsProviders проверяющей стороны имеет значение true. |
Успех/предупреждение | Этот параметр AD FS определяет поведение MFA, когда пользователь приходит от другого поставщика утверждений. В Azure AD можно включить внешнюю совместную работу с помощью Azure AD B2B. Затем можно применить политики условного доступа для защиты гостевого доступа. См. дополнительные сведения об Azure AD B2B и условном доступе. |
| Test-ADFSRPSignedSamlRequestsRequired Параметр SignedSamlRequestsRequired проверяющей стороны имеет значение true |
Успех или сбой. | Приложение настраивается в AD FS для проверки подписи в запросе SAML. Azure AD принимает подписанный запрос SAML, не проверяя при этом подпись. В Azure AD имеются различные методы защиты от вредоносных вызовов. Например, Azure AD использует URL-адреса ответа, настроенные в приложении на проверку запроса SAML. Azure AD отправляет токен только для URL-адресов ответов, которые настроены для приложения. Если используется сценарий, в котором этот результат блокирует миграцию, сообщите нам об этом. |
| Test-ADFSRPTokenLifetime TokenLifetimeCheckResult |
Успех/предупреждение | Приложение настроено на пользовательское время существования токена. Значение для AD FS по умолчанию — 1 час. Azure AD поддерживает эту функцию с помощью условного доступа. Дополнительные сведения см. в статье Настройка управления сеансами проверки подлинности с помощью условного доступа. |
| Проверяющая сторона настроена на шифрование утверждений. Эта функция поддерживается в Azure AD. | Успех | Azure AD позволяет шифровать токен, отправляемый приложению. Дополнительные сведения см. в статье Настройка шифрования токена SAML в Azure AD. |
| EncryptedNameIdRequiredCheckResult | Успех или сбой. | Приложение настроено для шифрования утверждения nameID в токене SAML. Azure AD позволяет шифровать весь токен, отправляемый приложению. Шифрование отдельных утверждений пока не поддерживается. Дополнительные сведения см. в статье Настройка шифрования токена SAML в Azure AD. |
Проверка результатов тестов правил утверждений
Если настроено правило утверждений для приложения в AD FS, результатом процесса будет детализированный анализ всех правил утверждений. В результате будет видно, какие правила утверждений можно перенести в Azure AD, а какие из них требуют дополнительного анализа.
В списке действий приложения AD FS щелкните состояние в столбце Состояние миграции, чтобы открыть сведения о миграции. Вы увидите сводку проверок конфигурации, которые прошли успешно, а также возможные проблемы миграции.
На странице Сведения о правиле миграции разверните результаты, чтобы просмотреть сведения о потенциальных проблемах миграции и получить дополнительные рекомендации. Подробный список всех проверенных правил утверждений см. в таблице Просмотр результатов проверки правил утверждений ниже.
В приведенном ниже примере показаны сведения о правиле миграции для правила IssuanceTransform. В нем перечислены конкретные части утверждения, в которых необходимо провести анализ и устранить проблемы, прежде чем можно будет перенести приложение в Azure AD.
Тесты правил утверждений
В следующей таблице перечислены все тесты правил утверждений, выполняемые в приложениях AD FS.
| Свойство | Описание |
|---|---|
| UNSUPPORTED_CONDITION_PARAMETER | Оператор Condition используется с регулярными выражениями, чтобы вычислить соответствие заявки определенному шаблону. Для реализации аналогичной функциональности в Azure AD можно использовать стандартные преобразования, такие как IfEmpty(), StartWith(), а также, помимо прочих, Contains(). Дополнительные сведения см. в статье Настройка утверждений, выпущенных в токене SAML для корпоративных приложений. |
| UNSUPPORTED_CONDITION_CLASS | Оператор Condition имеет несколько условий, которые необходимо вычислить перед выполнением инструкции выдачи. В Azure AD этот сценарий можно реализовать с помощью функций преобразования утверждения, позволяющих оценить несколько значений утверждений. Дополнительные сведения см. в статье Настройка утверждений, выпущенных в токене SAML для корпоративных приложений. |
| UNSUPPORTED_RULE_TYPE | Не удалось распознать правило утверждения. Дополнительные сведения о настройке утверждений в Azure AD см. в статье Настройка утверждений, выпущенных в токене SAML для корпоративных приложений. |
| CONDITION_MATCHES_UNSUPPORTED_ISSUER | В инструкции условия используется издатель, который не поддерживается в Azure AD. В настоящее время Azure AD не использует в качестве источника утверждения из хранилищ, отличных от Active Directory или Azure AD. Если данная ситуация мешает переносу приложения в Azure AD, сообщите нам об этом. |
| UNSUPPORTED_CONDITION_FUNCTION | Оператор Condition используется с агрегатной функцией для выдачи или добавления одиночного утверждения независимо от числа совпадений. В Azure AD можно оценить атрибут пользователя, чтобы решить, какое значение следует использовать для утверждения с такими функциями, как IfEmpty(), StartWith(), Contains (), помимо прочих. Дополнительные сведения см. в статье Настройка утверждений, выпущенных в токене SAML для корпоративных приложений. |
| RESTRICTED_CLAIM_ISSUED | В инструкции условия используется утверждение, которое ограничено в Azure AD. Можно выдать ограниченное утверждение, но нельзя изменить его источник или применить какое-либо преобразование. Дополнительные сведения см. в статье Настройка утверждений, добавляемых в токены для конкретного приложения в Azure AD. |
| EXTERNAL_ATTRIBUTE_STORE | Инструкция выдачи использует хранилище атрибутов, отличающееся от Active Directory. В настоящее время Azure AD не использует в качестве источника утверждения из хранилищ, отличных от Active Directory или Azure AD. Если данная ситуация мешает переносу приложения в Azure AD, сообщите нам об этом. |
| UNSUPPORTED_ISSUANCE_CLASS | Инструкция выдачи используется с ADD для добавления утверждений ко входящему набору утверждений. В Azure AD это можно настроить как преобразования нескольких утверждений. Дополнительные сведения см. в статье Настройка утверждений, выпущенных в токене SAML для корпоративных приложений. |
| UNSUPPORTED_ISSUANCE_TRANSFORMATION | Инструкция выдачи используется с регулярными выражениями для преобразования значения утверждения, которое необходимо выдавать. Для реализации аналогичной функциональности в Azure AD можно использовать стандартные преобразования, такие как Extract(), Trim(), а также, помимо прочих, ToLower. Дополнительные сведения см. в статье Настройка утверждений, выпущенных в токене SAML для корпоративных приложений. |
Устранение неполадок
Не удается просмотреть все приложения AD FS в отчете
Если установлена служба Azure AD Connect Health, но по-прежнему выводится приглашение для ее установки или в отчете не выводятся все приложения AD FS, возможно, у вас отсутствуют активные приложения AD FS или приложения AD FS являются приложениями Майкрософт.
В отчете об активности приложений AD FS перечисляются все приложения AD FS в организации, для которых в течение последних 30 дней был зарегистрирован вход активных пользователей. Кроме того, в отчете не отображаются проверяющие стороны, связанные с Майкрософт в AD FS, такие как Office 365. Например, проверяющие стороны с именем 'urn: federation:MicrosoftOnline', 'microsoftonline', 'microsoft: winhello:cert:prov:server' не будут отображаться в списке.