了解将应用程序身份验证从 AD FS 迁移到 Microsoft Entra ID 的各个阶段
Microsoft Entra ID 提供一个通用标识平台,为你的用户、合作伙伴和客户提供单一标识,用于访问应用程序并从任何平台和设备进行协作。 Microsoft Entra ID 具有一整套标识管理功能。 标准化对 Microsoft Entra ID 的应用程序身份验证和授权可提供这些优势。
要迁移的应用类型
你的应用程序可以使用新式或旧式协议进行身份验证。 计划迁移到 Microsoft Entra ID 时,请考虑首先迁移使用新式身份验证协议(例如 SAML 和 Open ID Connect)的应用。
可通过 Azure 应用库中的内置连接器或通过在 Microsoft Entra ID 中注册自定义应用程序,将这些应用重新配置为向 Microsoft Entra ID 进行身份验证。
可以使用应用程序代理或任何安全混合访问(SHA)合作伙伴集成使用较旧协议的应用。
有关详细信息,请参阅:
- 使用 Microsoft Entra 应用程序代理为远程用户发布本地应用。
- 什么是应用程序管理?
- 使用 AD FS 应用程序活动报表将应用程序迁移到 Microsoft Entra ID。
- 使用 Microsoft Entra Connect Health 监视 AD FS。
迁移过程
在将应用身份验证移动到 Microsoft Entra ID 的过程中,测试你的应用和配置。 建议在移至生产环境前,继续使用现有测试环境进行迁移测试。 如果测试环境当前不可用,可使用 Azure 应用服务或 Azure 虚拟机设置一个测试环境,具体取决于应用程序的体系结构。
可选择设置一个独立的测试 Microsoft Entra 租户,以在开发应用配置时使用。
迁移过程可能如下所示:
阶段 1 - 当前状态:生产应用向 AD FS 进行身份验证
阶段 2 -(可选)将应用的测试实例指向测试 Microsoft Entra 租户
更新配置以将应用的测试实例指向测试 Microsoft Entra 租户,并进行任何所需的更改。 可以使用测试 Microsoft Entra 租户中的用户来测试应用。 在开发过程中,可使用 Fiddler 等工具来比较和验证请求和响应。
如果不能设置单独的测试租户,请跳过此阶段,然后将应用的测试实例指向生产 Microsoft Entra 租户,如下面的阶段 3 所述。
阶段 3 - 将应用的测试实例指向生产 Microsoft Entra 租户
更新配置以将应用的测试实例指向生产 Microsoft Entra 租户。 现在可以使用生产租户中的用户进行测试。 如有必要,请查看本文中有关转换用户的部分。
阶段 4 - 将生产应用指向生产 Microsoft Entra 租户
更新生产应用的配置以指向生产 Microsoft Entra 租户。
向 AD FS 进行身份验证的应用可以使用 Active Directory 组获取权限。 在开始迁移之前,请使用 Microsoft Entra Connect Sync 在本地环境和 Microsoft Entra ID 之间同步标识数据。 在迁移之前验证这些组和成员身份,以便在迁移应用程序时可将访问权限授予相同的用户。
业务线应用
业务线应用可以是组织开发的应用,也可以是作为标准打包产品的应用。
使用 OAuth 2.0、OpenID Connect 或 WS 联合身份验证的业务线应用可作为应用注册与 Microsoft Entra ID 集成。 在 Microsoft Entra 管理中心的企业应用程序页上,将使用 SAML 2.0 或 WS 联合身份验证的自定义应用作为非库应用程序集成。