Поделиться через


Перенос приложений AD FS для перемещения приложений AD FS в идентификатор Microsoft Entra

В этой статье вы узнаете, как перенести приложения службы федерации Active Directory (AD FS) (AD FS) в идентификатор Microsoft Entra с помощью миграции приложения AD FS.

Миграция приложений AD FS предоставляет ИТ-администраторам интерактивный интерфейс для переноса приложений проверяющей стороны AD FS из AD FS в идентификатор Microsoft Entra. Мастер предоставляет унифицированный интерфейс для обнаружения, оценки и настройки нового приложения Microsoft Entra. Он предоставляет конфигурацию с одним щелчком для базовых URL-адресов SAML, сопоставления утверждений и назначений пользователей для интеграции приложения с идентификатором Microsoft Entra.

Средство миграции приложений AD FS предназначено для комплексной поддержки переноса локальных приложений AD FS в идентификатор Microsoft Entra.

С помощью миграции приложений AD FS вы можете:

  • Оцените действия входа в приложение AD FS проверяющей стороны, что помогает определить использование и влияние заданных приложений.
  • Анализ возможности миграции AD FS в Microsoft Entra, который помогает определить блокировщики миграции или действия, необходимые для переноса приложений на платформу Microsoft Entra.
  • Настройте новое приложение Microsoft Entra с помощью процесса миграции приложений с одним щелчком, который автоматически настраивает новое приложение Microsoft Entra для данного приложения AD FS.

Необходимые условия

Чтобы использовать миграцию приложений AD FS, выполните следующие действия.

  • В настоящее время ваша организация должна использовать AD FS для доступа к приложениям.
  • У вас есть лицензия Microsoft Entra ID P1 или P2.
  • У вас должна быть одна из следующих ролей:
    • Администратор облачных приложений
    • Администратор приложений
    • Глобальный читатель (доступ только для чтения)
    • Средство чтения отчетов (доступ только для чтения)
  • Microsoft Entra Connect следует установить в локальных средах вместе с агентами работоспособности Microsoft Entra Connect Health AD FS.

Есть несколько причин, почему вы не увидите все приложения, которые вы ожидаете после установки агентов Microsoft Entra Connect Health для AD FS:

  • На панели мониторинга миграции приложений AD FS отображаются только приложения AD FS с именами входа пользователей за последние 30 дней.
  • Приложения, связанные с AD FS, не доступны на панели мониторинга.

Просмотр панели мониторинга миграции приложений AD FS в идентификаторе Microsoft Entra

Панель мониторинга миграции приложений AD FS доступна в Центре администрирования Microsoft Entra в разделе "Отчеты об использовании и аналитике ". В мастере есть две точки входа:

Из раздела "Корпоративные приложения ":

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор облачных приложений.
  2. Перейдите к приложениям Identity>Applications>Enterprise.
  3. В разделе "Использование и аналитика" выберите миграцию приложений AD FS для доступа к панели мониторинга миграции приложений AD FS.

Из раздела "Мониторинг и работоспособности ":

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор облачных приложений.
  2. Перейдите к приложениям для мониторинга удостоверений и работоспособности>>корпоративных приложений.
  3. В разделе "Управление" выберите "Использование" и "Аналитика" и выберите миграцию приложений AD FS для доступа к панели мониторинга миграции приложений AD FS.

На панели мониторинга миграции приложений AD FS отображается список всех приложений проверяющей стороны AD FS, которые активно входить в трафик за последние 30 дней.

На панели мониторинга есть фильтр диапазона дат. Фильтр позволяет выбрать все активное приложение проверяющей стороны AD FS в каждом выбранном диапазоне времени. Фильтр поддерживает последние 1 день, 7 дней и 30 дней.

Существует три вкладки, которые предоставляют полный список приложений, настраиваемых приложений и ранее настроенных приложений. На этой панели мониторинга вы увидите обзор общего хода выполнения миграции.

Три вкладки на панели мониторинга:

  • Все приложения — отображает список всех приложений, обнаруженных из локальной среды.
  • Готово к миграции — отображает список всех приложений, имеющих состояние миграции "Готово " или "Требуется ".
  • Готово к настройке . Отображает список всех приложений Microsoft Entra, которые ранее были перенесены с помощью мастера миграции приложений AD FS.

Состояние миграции приложения

Агенты Microsoft Entra Connect и Microsoft Entra Connect Health для AD FS считывают конфигурации приложений проверяющей стороны AD FS и журналы аудита входа. Эти данные о каждом приложении AD FS анализируются, чтобы определить, можно ли перенести приложение как есть, или если требуется дополнительная проверка. На основе результата этого анализа состояние миграции для данного приложения указывается как одно из следующих состояний:

  • Подготовка к миграции означает, что конфигурация приложения AD FS полностью поддерживается в идентификаторе Microsoft Entra и может быть перенесена как есть.
  • Проверка потребностей означает, что некоторые параметры приложения можно перенести в идентификатор Microsoft Entra ID, но необходимо просмотреть параметры, которые нельзя перенести как есть. Тем не менее, они не блокируются для миграции.
  • Дополнительные действия, необходимые для выполнения дополнительных действий, идентификатор Microsoft Entra не поддерживает некоторые параметры приложения, поэтому приложение не может быть перенесено в текущем состоянии.

Давайте рассмотрим каждую вкладку на панели мониторинга миграции приложений AD FS более подробно.

Вкладка "Все приложения"

На вкладке "Все приложения" отображаются все активные приложения проверяющей стороны AD FS из выбранного диапазона дат. Пользователь может анализировать влияние каждого приложения с помощью агрегированных данных входа. Они также могут перейти к области сведений с помощью ссылки состояния миграции.

Дополнительные сведения о каждом правиле проверки см. в правилах проверки миграции приложений AD FS.

Снимок экрана: область сведений о миграции приложений AD FS.

Выберите сообщение, чтобы открыть дополнительные сведения о правиле миграции. Полный список протестированных свойств см. в следующей таблице тестов конфигурации.

Проверка результатов тестов правил утверждений

Если вы настроили правило утверждений для приложения в AD FS, интерфейс предоставляет подробный анализ всех правил утверждений. Вы увидите, какие правила утверждений можно переместить в идентификатор Microsoft Entra ID и какие из них требуют дальнейшего просмотра.

  1. Выберите приложение из списка приложений на вкладке "Все приложения" , а затем выберите состояние в столбце состояния миграции для просмотра сведений о миграции. Вы увидите сводку тестов конфигурации, переданных вместе с любыми потенциальными проблемами миграции.
  2. На странице сведений о правиле миграции разверните результаты для отображения сведений о потенциальных проблемах миграции и получения дополнительных рекомендаций. Подробный список всех проверенных правил утверждений см . в разделе тестов правил утверждений в этой статье.

В следующем примере показаны сведения о правиле миграции для правила IssuanceTransform. В нем перечислены определенные части утверждения, которые необходимо проверить и устранить, прежде чем перенести приложение в идентификатор Microsoft Entra.

Снимок экрана: область сведений о правилах миграции приложений AD FS.

Тесты правил утверждения

В следующей таблице перечислены все тесты правил утверждений, выполняемые в приложениях AD FS.

Свойство Описание
UNSUPPORTED_CONDITION_PARAMETER Оператор условия использует регулярные выражения для оценки соответствия утверждения определенному шаблону. Для достижения аналогичной функциональности в идентификаторе Microsoft Entra можно использовать предопределенное преобразование, например IfEmpty(), StartWith(), Contains(), среди прочего. Дополнительные сведения см. в разделе "Настройка утверждений, выданных в токене SAML для корпоративных приложений".
UNSUPPORTED_CONDITION_CLASS Оператор условия имеет несколько условий, которые необходимо оценить перед выполнением инструкции выдачи. Идентификатор Microsoft Entra может поддерживать эту функцию с функциями преобразования утверждения, где можно оценить несколько значений утверждений. Дополнительные сведения см. в разделе "Настройка утверждений, выданных в токене SAML для корпоративных приложений".
UNSUPPORTED_RULE_TYPE Не удалось распознать правило утверждения. Дополнительные сведения о настройке утверждений в идентификаторе Microsoft Entra см. в разделе "Настройка утверждений, выданных в токене SAML для корпоративных приложений".
CONDITION_MATCHES_UNSUPPORTED_ISSUER Оператор условия использует издателя, который не поддерживается в идентификаторе Microsoft Entra. В настоящее время Microsoft Entra не выдает утверждения из хранилищ, отличных от идентификатора Active Directory или Microsoft Entra. Если это блокирует перенос приложений в идентификатор Microsoft Entra, сообщите нам об этом.
UNSUPPORTED_CONDITION_FUNCTION Оператор условия использует агрегатную функцию для выдачи или добавления одного утверждения независимо от количества совпадений. В идентификаторе Microsoft Entra можно оценить атрибут пользователя, чтобы определить, какое значение следует использовать для утверждения с такими функциями, как IfEmpty(), StartWith(), Contains(), среди прочего. Дополнительные сведения см. в разделе "Настройка утверждений, выданных в токене SAML для корпоративных приложений".
RESTRICTED_CLAIM_ISSUED Оператор условия использует утверждение, ограниченное идентификатором Microsoft Entra. Возможно, вы сможете выдавать ограниченное утверждение, но не можете изменить его источник или применить любое преобразование. Дополнительные сведения см. в разделе "Настройка утверждений, создаваемых в токенах для конкретного приложения в идентификаторе Microsoft Entra ID".
EXTERNAL_ATTRIBUTE_STORE Инструкция выдачи использует хранилище атрибутов, отличающееся от Active Directory. В настоящее время Microsoft Entra не выдает утверждения из хранилищ, отличных от идентификатора Active Directory или Microsoft Entra. Если этот результат блокирует перенос приложений на идентификатор Microsoft Entra, сообщите нам об этом.
UNSUPPORTED_ISSUANCE_CLASS Инструкция выдачи использует ADD для добавления утверждений в входящий набор утверждений. В идентификаторе Microsoft Entra это можно настроить как несколько преобразований утверждений. Дополнительные сведения см. в разделе "Настройка утверждений, выданных в токене SAML для корпоративных приложений".
UNSUPPORTED_ISSUANCE_TRANSFORMATION Инструкция выдачи использует регулярные выражения для преобразования значения утверждения, которое будет выдаваться. Для достижения аналогичных функций в идентификаторе Microsoft Entra можно использовать предопределенное преобразование, например Extract(), Trim()и ToLower(). Дополнительные сведения см. в разделе "Настройка утверждений, выданных в токене SAML для корпоративных приложений".

Готово к миграции вкладки

На вкладке "Готово к миграции" отображаются все приложения с состоянием "Готово" или "Требуется".

Данные входа можно использовать для определения влияния каждого приложения и выбора нужных приложений для миграции. Нажмите кнопку "Начать миграцию", чтобы инициировать процесс миграции приложений с помощью одного щелчка мыши.

Готово к настройке вкладки

На этой вкладке показан список всех приложений Microsoft Entra, которые ранее были перенесены с помощью мастера миграции приложений AD FS.

Имя приложения — это имя нового приложения Microsoft Entra. Идентификатор приложения совпадает с идентификатором приложения проверяющей стороны AD FS, который можно использовать для сопоставления приложения с средой AD FS. Ссылка "Настройка приложения" в Microsoft Entra позволяет перейти к только что настроенному приложению Microsoft Entra в разделе "Корпоративный".

Перенос приложения из AD FS в идентификатор Microsoft Entra с помощью мастера миграции приложений AD FS

  1. Чтобы инициировать миграцию приложений, выберите ссылку "Начать миграцию " для приложения, которое вы хотите перенести с вкладки "Готово" для миграции .
  2. Ссылка перенаправляет вас в раздел миграции приложений с помощью одного щелчка мыши мастера миграции приложений AD FS. Все конфигурации мастера импортируются из локальной среды AD FS.

Прежде чем ознакомиться с подробными сведениями о различных вкладках мастера, важно понимать поддерживаемые и неподдерживаемые конфигурации.

Поддерживаемые конфигурации

Миграция приложений AD FS поддерживает следующие конфигурации:

  • Поддерживает только конфигурацию приложения SAML.
  • Параметр настройки нового имени приложения Microsoft Entra.
  • Позволяет пользователям выбирать любой шаблон приложения из галли шаблона приложения.
  • Настройка базовых конфигураций приложений SAML, т. е. идентификатора и URL-адреса ответа.
  • Настройка приложения Microsoft Entra для разрешения всех пользователей из клиента.
  • Автоматическое назначение групп приложению Microsoft Entra.
  • Конфигурация утверждений, совместимая с Microsoft Entra, извлекается из конфигураций утверждений проверяющей стороны AD FS.

Неподдерживаемые конфигурации:

Миграция приложений AD FS не поддерживает следующие конфигурации:

  • Конфигурации OIDC (OpenID Connect), OAuth и WS-Fed не поддерживаются.
  • Автоматическая настройка политик условного доступа не поддерживается, однако пользователь может настроить то же самое после настройки нового приложения в клиенте.
  • Сертификат подписи не переносится из приложения проверяющей стороны AD FS. В мастере миграции приложений AD FS существуют следующие вкладки:

Рассмотрим подробные сведения о каждой вкладке в разделе миграции приложений с помощью одного щелчка в мастере миграции приложений AD FS.

Вкладка "Основы"

  • Имя приложения, которое предварительно заполнено с именем приложения проверяющей стороны AD FS. Его можно использовать в качестве имени нового приложения Microsoft Entra. Вы также можете изменить имя на любое другое значение, которое вы предпочитаете.
  • Шаблон приложения. Выберите любой шаблон приложения, наиболее подходящий для приложения. Этот параметр можно пропустить, если вы не хотите использовать какой-либо шаблон.

Вкладка "Пользователи и группы"

Конфигурация по щелчку автоматически назначает пользователям и группам приложение Microsoft Entra, которое совпадает с вашей локальной конфигурацией.

Все группы извлекаются из политик управления доступом приложения проверяющей стороны AD FS. Группы должны быть синхронизированы с клиентом Microsoft Entra с помощью агентов Microsoft Entra Connect. Если группы сопоставляются с приложением проверяющей стороны AD FS, но не синхронизируются с клиентом Microsoft Entra. Эти группы пропускаются из конфигурации.

Конфигурация вспомогательных пользователей и групп поддерживает следующие конфигурации из локальной среды AD FS:

  • Разрешение всем пользователям из клиента.
  • Разрешение определенных групп.

Снимок экрана: область параметров пользователей и групп AD FS.

Это пользователи и группы, которые можно просмотреть в мастере настройки. Это представление только для чтения, вы не можете вносить изменения в этот раздел.

Вкладка конфигураций SAML

На этой вкладке показаны основные свойства SAML, используемые для параметров единого входа приложения Microsoft Entra. В настоящее время сопоставляются только обязательные свойства, которые являются только идентификатором и URL-адресом ответа.

Эти параметры реализуются непосредственно из приложения проверяющей стороны AD FS и не могут быть изменены на этой вкладке. Однако после настройки приложения их можно изменить на панели единого входа Центра администрирования Microsoft Entra корпоративного приложения.

Снимок экрана: область конфигураций SAML AD FS.

Снимок экрана: вкладка конфигураций SAML для миграции приложений AD FS.

Вкладка "Утверждения"

Все утверждения AD FS не переводятся так же, как и в утверждения Microsoft Entra. Мастер миграции поддерживает только определенные утверждения. Если отсутствуют утверждения, их можно настроить в перенесенном корпоративном приложении в Центре администрирования Microsoft Entra.

В случае, если приложение проверяющей стороны AD FS настроено nameidentifier , которое поддерживается в идентификаторе Microsoft Entra, то оно настроено как nameidentifier. user.userprincipalname В противном случае используется в качестве утверждения nameidentifier по умолчанию.

Снимок экрана: панель конфигураций утверждений AD FS.

Это представление только для чтения, вы не можете внести какие-либо изменения здесь.

Снимок экрана: вкладка конфигураций утверждений миграции приложений AD FS.

Вкладка "Дальнейшие действия"

Эта вкладка содержит сведения о следующих шагах или отзывах, ожидаемых от стороны пользователя. В следующем примере показан список конфигураций для этого приложения проверяющей стороны AD FS, который не поддерживается в идентификаторе Microsoft Entra.

На этой вкладке вы можете получить доступ к соответствующей документации для изучения и понимания проблем.

Снимок экрана: вкладка

Просмотр и создание вкладки

На этой вкладке показана сводка всех конфигураций, которые вы видели на предыдущих вкладках. Вы можете еще раз просмотреть его. Если вы довольны всеми конфигурациями и хотите продолжить миграцию приложений, нажмите кнопку "Создать ", чтобы начать процесс миграции. Это переносит новое приложение в клиент Microsoft Entra.

Миграция приложений в настоящее время представляет собой девять этапов, которые можно отслеживать с помощью уведомлений. Рабочий процесс выполняет следующие действия:

  • Создает регистрацию приложения
  • Создание субъекта-службы
  • Настройка параметров SAML
  • Назначение пользователям и группам приложению
  • Настройка утверждений

После завершения процесса миграции появится уведомление, которое считывает миграцию приложений успешно.

Снимок экрана: сообщение об успешной миграции приложения.

При завершении миграции приложений вы перейдете на вкладку "Готово" для настройки всех ранее перенесенных приложений, включая последние, которые вы настроили.

Проверка и настройка корпоративного приложения

  1. На вкладке "Готово к настройке" можно использовать ссылку "Настройка приложения" в Microsoft Entra, чтобы перейти к только что настроенному приложению в разделе "Корпоративные приложения". По умолчанию он переходит на страницу входа на основе SAML приложения.

    Снимок экрана: панель входа на основе SAML.

  2. На панели входа на основе SAML все параметры приложения проверяющей стороны AD FS уже применяются к недавно перенесенному приложению Microsoft Entra. Свойства идентификатора и URL-адреса ответа из базовой конфигурации SAML и списка утверждений на вкладках "Атрибуты и утверждения" мастера миграции приложений AD FS совпадают с свойствами в корпоративном приложении.

  3. В области свойств приложения логотип шаблона приложения подразумевает, что приложение связано с выбранным шаблоном приложения. На странице "Владельцы" текущий администратор добавляется в качестве одного из владельцев приложения.

  4. На панели "Пользователи и группы" все необходимые группы уже назначены приложению.

После просмотра перенесенного корпоративного приложения вы можете обновить приложение в соответствии с потребностями бизнеса. Вы можете добавлять или обновлять утверждения, назначать больше пользователей и групп или настраивать политики условного доступа, чтобы обеспечить поддержку многофакторной проверки подлинности или других функций условной авторизации.

Откат

Конфигурация мастера миграции приложений AD FS с одним щелчком перемещает новое приложение в клиент Microsoft Entra. Однако перенесенное приложение остается неактивным, пока не перенаправляете в него трафик входа. До тех пор, если вы хотите откатить, вы можете удалить только что перенесенное приложение Microsoft Entra из вашего клиента.

Мастер не предоставляет автоматической очистки. Если вы не хотите продолжать настройку перенесенного приложения, необходимо вручную удалить приложение из вашего клиента. Инструкции по удалению регистрации приложения и соответствующего корпоративного приложения см. в следующих URL-адресах:

Советы по устранению неполадок

Не удается просмотреть все мои приложения AD FS в отчете

Если вы установили агенты Microsoft Entra Connect Health для AD FS, но вы по-прежнему видите запрос на установку или не видите все приложения AD FS в отчете, это может быть то, что у вас нет активных приложений AD FS, или ваши приложения AD FS являются приложением Майкрософт.

Заметка

Миграция приложений AD FS перечисляет все приложения AD FS в вашей организации с активными пользователями только за последние 30 дней. В отчете не отображаются связанные с Майкрософт проверяющие стороны в AD FS, такие как Office 365. Например, проверяющие стороны с именемurn:federation:MicrosoftOnline, microsoftonlinemicrosoft:winhello:cert:prov:server не отображаются в списке.

Почему отображается ошибка проверки "приложение с тем же идентификатором уже существует"?

У каждого приложения в клиенте должен быть уникальный идентификатор приложения. Если вы видите это сообщение об ошибке, это означает, что у вас уже есть другое приложение с тем же идентификатором в клиенте Microsoft Entra. В этом случае необходимо обновить существующий идентификатор приложения или обновить идентификатор приложения AD FS проверяющей стороны и дождаться 24 часов, чтобы получить отражаемые обновления.

Дальнейшие действия