使用 AD FS 应用程序迁移将 AD FS 应用移动到 Microsoft Entra ID
本文介绍如何使用 AD FS 应用程序迁移将 Active Directory 联合身份验证服务 (AD FS) 应用程序迁移到 Microsoft Entra ID。
AD FS 应用程序迁移提供 IT 管理员引导式体验,将 AD FS 信赖方应用从 AD FS 迁移到 Microsoft Entra ID。 该向导提供统一的体验来发现、评估和配置新的 Microsoft Entra 应用程序。 它为基本 SAML URL、声明映射和用户分配提供一键式配置,以便将应用程序与 Microsoft Entra ID 集成。
AD FS 应用程序迁移工具旨在提供端到端支持,以便将本地 AD FS 应用程序迁移到 Microsoft Entra ID。
使用 AD FS 应用程序迁移,可以执行以下操作:
- 评估 AD FS 信赖方应用登录活动,这有助于识别给定应用程序的使用情况和影响。
- 分析 AD FS 到 Microsoft Entra 迁移的可行性,这有助于确定将应用程序迁移到 Microsoft Entra 平台的迁移妨碍因素或所需的操作。
- 使用一键式应用程序迁移过程配置新的 Microsoft Entra 应用程序,从而自动为给定的 AD FS 应用程序配置新的 Microsoft Entra 应用程序。
先决条件
要使用 AD FS 应用程序迁移,请执行以下操作:
- 贵组织当前必须使用 AD FS 来访问应用程序。
- 具有 Microsoft Entra ID P1 或 P2 许可。
- 应分配以下角色之一:
- 云应用程序管理员
- 应用程序管理员
- 全局读取者(只读访问权限)
- 报表读取者(只读访问权限)
- Microsoft Entra Connect 应与 Microsoft Entra Connect Health AD FS 运行状况代理一起安装在本地环境中。
在为 AD FS 安装 Microsoft Entra Connect Health 代理后,有几个原因会导致看不到预期的所有应用程序:
- AD FS 应用程序迁移仪表板仅显示在过去 30 天内有用户登录的 AD FS 应用程序。
- 仪表板上不显示 Microsoft 相关的 AD FS 信赖方应用。
在 Microsoft Entra ID 中查看 AD FS 应用程序迁移仪表板
AD FS 应用程序迁移仪表板可在 Microsoft Entra 管理中心的“使用情况和见解”报告下找到。 向导有两个入口点:
从“企业应用程序”部分:
- 至少以云应用程序管理员身份登录到 Microsoft Entra 管理中心。
- 浏览到“标识”>“应用程序”>“企业应用程序”。
- 在“使用情况和见解”下,选择“AD FS 应用程序迁移”来访问 AD FS 应用程序迁移仪表板。
从“监视和运行状况”部分:
- 至少以云应用程序管理员身份登录到 Microsoft Entra 管理中心。
- 浏览到“标识”>“监视和运行状况”>“企业应用程序”。
- 在“管理”下,选择“使用情况和见解”,然后选择“AD FS 应用程序迁移”来访问 AD FS 应用程序迁移仪表板。
AD FS 应用程序迁移仪表板显示过去 30 天内主动有登录流量的所有 AD FS 信赖方应用的列表。
仪表板具有日期范围筛选器。 该筛选器允许根据所选时间范围,选择所有活动的 AD FS 信赖方应用。 该筛选器支持过去 1 天、7 天和 30 天。
有三个选项卡提供应用程序的完整列表、可配置的应用程序和以前配置的应用程序。 在此仪表板中,可看到迁移工作的总体进度概述。
仪表板上的三个选项卡分别是:
- 所有应用 – 显示从本地环境发现的所有应用程序的列表。
- 已准备好迁移 – 显示迁移状态为“就绪”或“需要评审”的所有应用程序的列表。
- 已准备好配置 – 显示以前使用 AD FS 应用程序迁移向导迁移的所有 Microsoft Entra 应用程序的列表。
应用程序迁移状态
适用于 AD FS 的 Microsoft Entra Connect 和 Microsoft Entra Connect Health 代理读取 AD FS 信赖方应用配置和登录审核日志。 分析每个 AD FS 应用程序的此数据,确定应用程序是否可以按原样迁移,还是需要其他评审。 根据此分析的结果,给定应用程序的迁移状态指示为以下状态之一:
- “已准备好迁移”意味着 Microsoft Entra ID 完全支持 AD FS 应用程序配置,并且可以按原样迁移。
- “需要评审”意味着某些应用程序的设置可以迁移到 Microsoft Entra ID,但需要评审无法按原样迁移的设置。 但是,这些不是迁移的妨碍因素。
- “需要额外步骤”意味着 Microsoft Entra ID 不支持某些应用程序设置,因此无法在其当前状态下迁移应用程序。
让我们更详细地查看 AD FS 应用程序迁移仪表板上的每个选项卡。
“所有应用”选项卡
“所有应用”选项卡显示所选日期范围内所有活动的 AD FS 信赖方应用。 用户可以使用聚合登录数据分析每个应用程序的影响。 他们还可以使用“迁移状态”链接导航到详细信息窗格。
要查看每个验证规则的详细信息,请参阅 AD FS 应用程序迁移验证规则。
选择消息来打开其他迁移规则详细信息。 有关测试的属性的完整列表,请参阅以下配置测试表。
查看声明规则测试的结果
如果在 AD FS 中为应用程序配置了声明规则,体验将对所有声明规则进行精细分析。 将看到可以移动到 Microsoft Entra ID 的声明规则,以及哪些声明规则需要进一步评审。
- 从“所有应用”选项卡中的应用列表中选择一个应用,然后选择“迁移状态”列中的状态来查看迁移详细信息。 将看到已通过的配置测试摘要,以及任何潜在的迁移问题。
- 在“迁移规则详细信息”页面上,展开结果来显示有关潜在迁移问题的详细信息,并获取其他指导。 有关测试的所有声明规则的详细列表,请参阅本文中的声明规则测试部分。
以下示例显示了 IssuanceTransform 规则的迁移规则详细信息。 此示例列出了能够将应用程序迁移到 Microsoft Entra ID 之前需要评审和解决声明的具体部分。
声明规则测试
下表列出了对 AD FS 应用程序执行的所有声明规则测试。
| 属性 | 说明 |
|---|---|
| UNSUPPORTED_CONDITION_PARAMETER | 条件语句使用正则表达式来计算声明是否与特定模式匹配。 如果要在 Microsoft Entra ID 中实现类似的功能,可以使用预定义的转换,如 IfEmpty()、StartWith()、Contains() 等等。 有关详细信息,请参阅为企业应用程序自定义 SAML 令牌中颁发的声明。 |
| UNSUPPORTED_CONDITION_CLASS | 条件语句包含多个需要在运行颁发语句之前计算的条件。 Microsoft Entra ID 可以通过声明的转换函数(可在其中计算多个声明值)支持此功能。 有关详细信息,请参阅为企业应用程序自定义 SAML 令牌中颁发的声明。 |
| UNSUPPORTED_RULE_TYPE | 无法识别声明规则。 有关如何在 Microsoft Entra ID 中配置声明的详细信息,请参阅为企业应用程序自定义 SAML 令牌中颁发的声明。 |
| CONDITION_MATCHES_UNSUPPORTED_ISSUER | 条件语句使用 Microsoft Entra ID 不支持的证书颁发者。 目前,Microsoft Entra 不能从 Active Directory 或 Microsoft Entra ID 以外的存储中获取声明。 如果这个问题导致无法迁移到 Microsoft Entra ID,请告知我们。 |
| UNSUPPORTED_CONDITION_FUNCTION | 条件语句使用聚合函数发出或添加单个声明,无论匹配项的数目如何。 在 Microsoft Entra ID 中,可以使用 IfEmpty()、StartWith()、Contains() 等函数来计算用户的属性,从而确定要用于声明的值。 有关详细信息,请参阅为企业应用程序自定义 SAML 令牌中颁发的声明。 |
| RESTRICTED_CLAIM_ISSUED | 条件语句使用 Microsoft Entra ID 中限制的声明。 可以颁发受限声明,但不能修改其源,也不能应用任何转换。 有关详细信息,请参阅自定义令牌中为 Microsoft Entra ID 特定应用发出的声明。 |
| EXTERNAL_ATTRIBUTE_STORE | 颁发语句使用 Active Directory 以外的属性存储。 目前,Microsoft Entra 不能从 Active Directory 或 Microsoft Entra ID 以外的存储中获取声明。 如果此结果导致无法将应用程序迁移到 Microsoft Entra ID,请告知我们。 |
| UNSUPPORTED_ISSUANCE_CLASS | 颁发语句使用 ADD 向传入声明集添加声明。 在 Microsoft Entra ID 中,这可以配置为多个声明转换。 有关详细信息,请参阅为企业应用程序自定义 SAML 令牌中颁发的声明。 |
| UNSUPPORTED_ISSUANCE_TRANSFORMATION | 此颁发语句使用正则表达式来转换要发出的声明的值。 要在 Microsoft Entra ID 中实现类似的功能,可以使用预定义的转换,例如 Extract()、Trim() 和 ToLower()。 有关详细信息,请参阅为企业应用程序自定义 SAML 令牌中颁发的声明。 |
“已准备好迁移”选项卡
“已准备好迁移”选项卡显示迁移状态为“就绪”或“需要评审”的所有应用程序。
可以使用登录数据来确定每个应用程序的影响,并选择适当的应用程序进行迁移。 选择“开始迁移”链接,启动辅助的一键式应用程序迁移过程。
“已准备好配置”选项卡
此选项卡显示以前使用 AD FS 应用程序迁移向导迁移的所有 Microsoft Entra 应用程序。
“应用程序名称”是新的 Microsoft Entra 应用程序的名称。 “应用程序标识符”与 AD FS 信赖方应用标识符相同,可用于将应用程序与 AD FS 环境关联起来。 “在 Microsoft Entra 中配置应用程序”链接可在“企业应用程序”部分中导航到新配置的 Microsoft Entra 应用程序。
使用 AD FS 应用程序迁移向导将应用从 AD FS 迁移到 Microsoft Entra ID
- 要启动应用程序迁移,请从“已准备好迁移”选项卡中选择要迁移的应用程序的“开始迁移”链接。
- 此链接将重定向到 AD FS 应用程序迁移向导的辅助一键式应用程序迁移部分。 向导中的所有配置都从本地 AD FS 环境导入。
在浏览向导中各个选项卡的详细信息之前,请务必了解支持的和不支持的配置。
支持的配置
辅助 AD FS 应用程序迁移支持以下配置:
- 仅支持 SAML 应用程序配置。
- 自定义新的 Microsoft Entra 应用程序名称的选项。
- 允许用户从应用程序模板库中选择任何应用程序模板。
- 配置基本 SAML 应用程序配置,即标识符和回复 URL。
- 配置 Microsoft Entra 应用程序来允许租户中的所有用户。
- 将组自动分配给 Microsoft Entra 应用程序。
- 从 AD FS 信赖方声明配置中提取的 Microsoft Entra 兼容声明配置。
不支持的配置:
AD FS 应用程序迁移不支持以下配置:
- 不支持 OIDC (OpenID Connect)、OAuth 和 WS-Fed 配置。
- 不支持自动配置条件访问策略,但在将新应用程序配置到租户后,用户可以配置相同内容。
- 签名证书不会从 AD FS 信赖方应用迁移。 AD FS 应用程序迁移向导中存在以下选项卡:
让我们看看 AD FS 应用程序迁移向导的辅助一键式应用程序迁移部分中每个选项卡的详细信息
“基本信息”选项卡
- 应用程序名称,预填充 AD FS 信赖方应用名称。 可以将它用作新 Microsoft Entra 应用程序的名称。 还可以将名称修改为喜欢的任何其他值。
- 应用程序模板。 选择最适合应用程序的任何应用程序模板。 如果不想使用任何模板,则可以跳过此选项。
“用户和组”选项卡
一键式配置会自动将用户和组分配给与本地配置相同的 Microsoft Entra 应用程序。
将从 AD FS 信赖方应用的访问控制策略中提取所有组。 组应使用 Microsoft Entra Connect 代理同步到 Microsoft Entra 租户。 如果组与 AD FS 信赖方应用映射,但未与 Microsoft Entra 租户同步。 则会从配置中跳过这些组。
辅助用户和组配置支持本地 AD FS 环境中的以下配置:
- 允许租户中的每个人。
- 允许特定组。
这些是可以在配置向导上查看的用户和组。 这是只读视图,无法对此部分进行任何更改。
“SAML 配置”选项卡
此选项卡显示用于 Microsoft Entra 应用程序的单一登录设置的基本 SAML 属性。 目前,仅映射必需的属性,即“标识符”和“回复 URL”。
这些设置直接从 AD FS 信赖方应用实现,无法在此选项卡中修改。但是,配置应用程序后,可以从 Microsoft Entra 管理中心中企业应用程序的单一登录窗格修改这些内容。
“声明”选项卡
所有 AD FS 声明不会按原样转换为 Microsoft Entra 声明。 迁移向导仅支持特定声明。 如果发现任何缺少的声明,则可以在 Microsoft Entra 管理中心的已迁移企业应用程序上进行配置。
如果 AD FS 信赖方应用已配置 Microsoft Entra ID 支持的 nameidentifier,则将其配置为 nameidentifier。 否则,user.userprincipalname 用作默认 nameidentifier 声明。
这是只读视图,无法在此处进行任何更改。
后续步骤选项卡
此选项卡提供有关用户端预期后续步骤或评审的信息。 以下示例显示了此 AD FS 信赖方应用的配置列表,Microsoft Entra ID 中不支持这些配置。
在此选项卡中,可以访问相关文档来调查和了解问题。
“查看 + 创建”选项卡
此选项卡显示从前面选项卡看到的所有配置的摘要。 可以再次查看此摘要。 如果对所有配置满意,并且想要继续执行应用程序迁移,请选择“创建”按钮来启动迁移过程。 这会将新应用程序迁移到 Microsoft Entra 租户。
应用程序迁移目前是可以使用通知监视的九个步骤。 工作流完成以下操作:
- 创建应用程序注册
- 创建服务主体
- 配置 SAML 设置
- 将用户和组分配到应用程序
- 配置声明
迁移过程完成后,会看到一条通知消息,显示“应用程序迁移成功”。
完成应用程序迁移后,会重定向到“已准备好配置”选项卡,其中显示了所有以前迁移的应用程序,包括已配置的最新应用程序。
查看和配置企业应用程序
在“已准备好配置”选项卡中,可以使用“在 Microsoft Entra 中配置应用程序”链接导航到“企业应用程序”部分下新配置的应用程序。 默认情况下,会进入应用程序的“基于 SAML 的登录”页面。
在“基于 SAML 的登录”窗格中,所有 AD FS 信赖方应用设置都已应用于新迁移的 Microsoft Entra 应用程序。 AD FS 应用程序迁移向导“基本 SAML 配置”中的“标识符”和“回复 URL”属性以及“属性和声明”选项卡中的声明列表与企业应用程序上的内容相同。
在应用程序的“属性”窗格中,应用程序模板徽标意味着应用程序已链接到所选应用程序模板。 在“所有者”页面上,当前管理员用户将添加为应用程序的所有者之一。
从“用户和组”窗格中,所有必需的组都已分配给应用程序。
查看迁移的企业应用程序后,可以根据业务需求更新应用程序。 可以添加或更新声明、分配更多用户和组或配置条件访问策略,以便支持多重身份验证或其他条件授权功能。
回退
AD FS 应用程序迁移向导的一键式配置会将新应用程序迁移到 Microsoft Entra 租户。 但是,在将登录流量重定向到该应用程序之前,迁移的应用程序将保持非活动状态。 在此之前,如果要回退,可以从租户中删除新迁移的 Microsoft Entra 应用程序。
向导不进行任何自动清理。 如果不想继续设置迁移的应用程序,则必须从租户中手动删除该应用程序。 有关如何删除应用程序注册及其相应的企业应用程序的说明,请参阅以下 URL:
故障排除提示
在报表中没有看到我的所有 AD FS 应用程序
如果已安装适用于 AD FS 的 Microsoft Entra Connect Health 代理,但仍看到安装提示,或在报表中无法看到所有 AD FS 应用程序,则可能是 AD FS 应用程序未处于活动状态,或者 AD FS 应用程序是 Microsoft 应用程序。
注意
AD FS 应用程序迁移仅列出组织中过去 30 天内有活动用户登录的所有 AD FS 应用程序。
报表不会显示 AD FS 中的与 Microsoft 相关的信赖方,比如 Office 365。 例如,名称为 urn:federation:MicrosoftOnline、microsoftonline、microsoft:winhello:cert:prov:server 的信赖方不会显示在列表中。
为什么看到验证错误“已存在具有相同标识符的应用程序”?
租户中的每个应用程序都应具有唯一的应用程序标识符。 如果看到此错误消息,则表示已在 Microsoft Entra 租户中拥有具有相同标识符的另一个应用程序。 在这种情况下,需要更新现有应用程序标识符或更新 AD FS 信赖方应用标识符,并等待 24 小时才能反映更新。