使用 AD FS 应用程序迁移(预览版)将 AD FS 应用移动到 Microsoft Entra ID
本文介绍如何使用 AD FS 应用程序迁移将 Active Directory 联合身份验证服务 (AD FS) 应用程序迁移到 Microsoft Entra ID。
AD FS 应用程序迁移提供 IT 管理员引导式体验,将 AD FS 信赖方应用从 AD FS 迁移到 Microsoft Entra ID。 该向导提供统一的体验来发现、评估和配置新的 Microsoft Entra 应用程序。 它为基本 SAML URL、声明映射和用户分配提供一键式配置,以便将应用程序与 Microsoft Entra ID 集成。
AD FS 应用程序迁移工具旨在提供端到端支持,以便将本地 AD FS 应用程序迁移到 Microsoft Entra ID。
使用 AD FS 应用程序迁移,可以:
- 评估 AD FS 信赖方应用登录活动,这有助于识别给定应用程序的使用情况和影响。
- 分析 AD FS 到 Microsoft Entra 迁移可行性,帮助确定将应用程序迁移到 Microsoft Entra 平台所需的迁移阻止程序或操作。
- 使用一键式应用程序迁移过程配置新的 Microsoft Entra 应用程序,从而自动为给定的 AD FS 应用程序配置新的 Microsoft Entra 应用程序。
先决条件
若要使用 AD FS 应用程序迁移,请执行以下操作:
- 你的组织当前必须使用 AD FS 来访问应用程序。
- 你有 Microsoft Entra ID P1 或 P2 许可证。
- 应分配以下角色之一:
- 云应用管理员
- 应用程序管理员
- 全局读取者(只读访问权限)
- 报表读取者(只读访问权限)
- Microsoft Entra Connect 应与 Microsoft Entra Connect Health AD FS 运行状况代理一起安装在本地环境中。
在为 AD FS 安装 Microsoft Entra Connect Health 代理后,有几个原因会导致你看不到预期的所有应用程序:
- AD FS 应用程序迁移仪表板仅显示在过去 30 天内具有用户登录的 AD FS 应用程序。
- 仪表板上不提供 Microsoft 相关的 AD FS 信赖方应用。
在 Microsoft Entra ID 中查看 AD FS 应用程序迁移仪表板
AD FS 应用程序迁移仪表板在 Microsoft Entra 管理中心的“使用情况和见解”报告下提供。 向导有两个入口点:
从“企业应用程序”部分:
- 至少以云应用程序管理员身份登录到 Microsoft Entra 管理中心。
- 浏览到“标识”>“应用程序”>“企业应用程序”。
- 在“使用情况和见解”下,选择“AD FS 应用程序迁移”来访问 AD FS 应用程序迁移仪表板。
从“监视运行状况”部分:
- 至少以云应用程序管理员身份登录到 Microsoft Entra 管理中心。
- 浏览到“标识”>“监视和运行状况”>“企业应用程序”。
- 在“管理”下,选择“使用情况和见解”,然后选择“AD FS 应用程序迁移”来访问 AD FS 应用程序迁移仪表板。
AD FS 应用程序迁移仪表板显示过去 30 天内主动具有登录流量的所有 AD FS 信赖方应用的列表。
仪表板具有日期范围筛选器。 该筛选器允许根据所选时间范围选择所有活动的 AD FS 信赖方应用。 该筛选器支持过去 1 天、7 天和 30 天。
有三个选项卡提供应用程序的完整列表、可配置的应用程序和以前配置的应用程序。 在此仪表板中,你将看到迁移工作的总体进度概述。
仪表板上的三个选项卡是:
- 所有应用 - 显示从本地环境发现的所有应用程序的列表。
- 已准备好迁移 - 显示迁移状态为“就绪”或“需要评审”的所有应用程序的列表。
- 已准备好配置 - 显示以前使用 AD FS 应用程序迁移向导迁移的所有 Microsoft Entra 应用程序的列表。
应用程序迁移状态
适用于 AD FS 的 Microsoft Entra Connect 和 Microsoft Entra Connect Health 代理读取 AD FS 信赖方应用配置和登录审核日志。 分析每个 AD FS 应用程序的此数据,以确定应用程序可以按原样迁移,还是需要其他评审。 根据此分析的结果,给定应用程序的迁移状态指示为以下状态之一:
- “已准备好迁移”意味着 Microsoft Entra ID 完全支持 AD FS 应用程序配置,并且可以按原样迁移。
- “需要评审”意味着某些应用程序的设置可以迁移到 Microsoft Entra ID,但需要评审无法按原样迁移的设置。 但是,这些不是迁移的阻止程序。
- “需要额外步骤”意味着 Microsoft Entra ID 不支持某些应用程序设置,因此无法在其当前状态下迁移应用程序。
让我们更详细地查看 AD FS 应用程序迁移仪表板上的每个选项卡。
“所有应用”选项卡
“所有应用”选项卡显示所选日期范围内所有活动的 AD FS 信赖方应用。 用户可以使用聚合登录数据分析每个应用程序的影响。 他们还可以使用“迁移状态”链接导航到详细信息窗格。
若要查看每个验证规则的详细信息,请参阅 AD FS 应用程序迁移验证规则。
选择消息以打开其他迁移规则详细信息。 有关测试的属性的完整列表,请参阅以下配置测试表。
检查声明规则测试的结果
如果在 AD FS 中为应用程序配置了声明规则,体验将提供对所有声明规则的精细分析。 你将看到可以移动到 Microsoft Entra ID 的声明规则,以及哪些声明规则需要进一步审查。
- 从“所有应用”选项卡中的应用列表中选择一个应用,然后选择“迁移状态”列中的状态以查看迁移详细信息。 你会看到已通过的配置测试的摘要,以及任何潜在的迁移问题。
- 在“迁移规则详细信息”页上,展开结果以显示有关潜在迁移问题的详细信息,并获取其他指导。 有关测试的所有声明规则的详细列表,请参阅本文中的声明规则测试部分。
下面的示例显示了 IssuanceTransform 规则的迁移规则详细信息。 这个示例列出了在能够将应用程序迁移到 Microsoft Entra ID 之前需要审阅和解决声明的哪些具体部分。
声明规则测试
下表列出了对 AD FS 应用程序执行的所有声明规则测试。
| 属性 | 说明 |
|---|---|
| UNSUPPORTED_CONDITION_PARAMETER | 条件语句使用正则表达式来计算声明是否与特定模式匹配。 若要在 Microsoft Entra ID 中实现类似的功能,可以使用预定义的转换,如 IfEmpty()、StartWith()、Contains() 等等。 有关详细信息,请参阅为企业应用程序自定义 SAML 令牌中颁发的声明。 |
| UNSUPPORTED_CONDITION_CLASS | 条件语句包含多个需要在运行颁发语句之前计算的条件。 Microsoft Entra ID 可以通过声明的转换函数(可在其中计算多个声明值)支持此功能。 有关详细信息,请参阅为企业应用程序自定义 SAML 令牌中颁发的声明。 |
| UNSUPPORTED_RULE_TYPE | 无法识别声明规则。 有关如何在 Microsoft Entra ID 中配置链的详细信息,请参阅为业应用程序自定义 SAML 令牌中颁发的声明。 |
| CONDITION_MATCHES_UNSUPPORTED_ISSUER | 条件语句使用 Microsoft Entra ID 不支持的证书颁发者。 目前,Microsoft Entra 不能从 Active Directory 或 Microsoft Entra ID 以外的存储中获取声明。 如果这个问题导致你无法迁移到 Microsoft Entra ID,请告知我们。 |
| UNSUPPORTED_CONDITION_FUNCTION | 条件语句使用聚合函数发出或添加单个声明,无论匹配项的数目如何。 在 Microsoft Entra ID 中,你可以使用 IfEmpty()、StartWith()、Contains() 等函数来计算用户的属性,以确定要用于声明的值。 有关详细信息,请参阅为企业应用程序自定义 SAML 令牌中颁发的声明。 |
| RESTRICTED_CLAIM_ISSUED | 条件语句使用 Microsoft Entra ID 中限制的声明。 你可以颁发受限声明,但不能修改其源,也不能应用任何转换。 有关详细信息,请参阅自定义令牌中为 Microsoft Entra ID 特定应用发出的声明。 |
| EXTERNAL_ATTRIBUTE_STORE | 颁发语句使用不同于 Active Directory 的属性存储。 目前,Microsoft Entra 不能从 Active Directory 或 Microsoft Entra ID 以外的存储中获取声明。 如果此结果导致你无法迁移到 Microsoft Entra ID,请告知我们。 |
| UNSUPPORTED_ISSUANCE_CLASS | 颁发语句使用 ADD 向传入声明集添加声明。 在 Microsoft Entra ID 中,这可以配置为多个声明转换。 有关详细信息,请参阅为企业应用程序自定义 SAML 令牌中颁发的声明。 |
| UNSUPPORTED_ISSUANCE_TRANSFORMATION | 此颁发语句使用正则表达式来转换要发出的声明的值。 要在 Microsoft Entra ID 中实现类似的功能,可以使用预定义的转换,例如 Extract()、Trim() 和 ToLower()。 有关详细信息,请参阅为企业应用程序自定义 SAML 令牌中颁发的声明。 |
“已准备好迁移”选项卡
“已准备好迁移”选项卡显示迁移状态为“就绪”或“需要评审”的所有应用程序。
可以使用登录数据来确定每个应用程序的影响,并选择适当的应用程序进行迁移。 选择“开始迁移”链接,启动辅助的一键式应用程序迁移过程。
“已准备好配置”选项卡
此选项卡显示以前使用 AD FS 应用程序迁移向导迁移的所有 Microsoft Entra 应用程序。
“应用程序名称”是新的 Microsoft Entra 应用程序的名称。 “应用程序标识符”与 AD FS 信赖方应用标识符相同,可用于将应用程序与 AD FS 环境关联起来。 “在 Microsoft Entra 中配置应用程序”链接使你能够在“企业应用程序”部分中导航到新配置的 Microsoft Entra 应用程序。
使用 AD FS 应用程序迁移向导将应用从 AD FS 迁移到 Microsoft Entra ID
- 若要启动应用程序迁移,请从“已准备好迁移”选项卡中选择要迁移的应用程序的“开始迁移”链接。
- 此链接将重定向到 AD FS 应用程序迁移向导的辅助一键式应用程序迁移部分。 向导中的所有配置都从本地 AD FS 环境导入。
在浏览向导中各个选项卡的详细信息之前,请务必了解受支持的和不支持的配置。
支持的配置
辅助 AD FS 应用程序迁移支持以下配置:
- 仅支持 SAML 应用程序配置。
- 自定义新的 Microsoft Entra 应用程序名称的选项。
- 允许用户从应用程序模板库中选择任何应用程序模板。
- 配置基本 SAML 应用程序配置,即标识符和回复 URL。
- 配置 Microsoft Entra 应用程序以允许租户中的所有用户。
- 将组自动分配给 Microsoft Entra 应用程序。
- 从 AD FS 信赖方声明配置中提取的 Microsoft Entra 兼容的声明配置。
不支持的配置:
AD FS 应用程序迁移不支持以下配置:
- 不支持 OIDC (OpenID Connect)、OAuth 和 WS-Fed 配置。
- 不支持自动配置条件访问策略,但在将新应用程序配置到租户后,用户可以配置相同内容。
- 签名证书不会从 AD FS 信赖方应用迁移。 AD FS 应用程序迁移向导中存在以下选项卡:
让我们看看 AD FS 应用程序迁移向导的辅助一键式应用程序迁移部分中每个选项卡的详细信息
“基本”选项卡
- 应用程序名称,预填充 AD FS 信赖方应用名称。 可以将它用作新 Microsoft Entra 应用程序的名称。 还可以将名称修改为你喜欢的任何其他值。
- 应用程序模板。 选择最适合应用程序的任何应用程序模板。 如果不想使用任何模板,则可以跳过此选项。
“用户和组”选项卡
一键式配置会自动将用户和组分配给与本地配置相同的 Microsoft Entra 应用程序。
将从 AD FS 信赖方应用的访问控制策略中提取所有组。 组应使用 Microsoft Entra Connect 代理同步到 Microsoft Entra 租户。 如果组与 AD FS 信赖方应用映射,但未与 Microsoft Entra 租户同步,则会从配置中跳过这些组。
辅助用户和组配置支持本地 AD FS 环境中的以下配置:
- 允许租户中的每个人。
- 允许特定组。
这些是可以在配置向导上查看的用户和组。 这是只读视图,无法对此部分进行任何更改。
“SAML 配置”选项卡
此选项卡显示用于 Microsoft Entra 应用程序的单一登录设置的基本 SAML 属性。 目前,仅映射必需的属性,即“标识符”和“回复 URL”。
这些设置直接从 AD FS 信赖方应用实现,无法在此选项卡中修改。但是,配置应用程序后,可以从 Microsoft Entra 管理中心中企业应用程序的单一登录窗格修改这些内容。
“声明”选项卡
所有 AD FS 声明不会按原样转换为 Microsoft Entra 声明。 迁移向导仅支持特定声明。 如果发现任何缺少的声明,则可以在 Microsoft Entra 管理中心的已迁移企业应用程序上配置它们。
例如,AD FS 信赖方应用已配置 nameidentifier(这在 Microsoft Entra ID 中受支持),然后将其配置为 nameidentifier。 否则,user.userprincipalname 用作默认 nameidentifier 声明。
这是只读视图,无法在此处进行任何更改。
后续步骤选项卡
此选项卡提供有关用户端预期后续步骤或评审的信息。 以下示例显示了此 AD FS 信赖方应用的配置列表,Microsoft Entra ID 中不支持这些配置。
在此选项卡中,可以访问相关文档来调查和了解问题。
“查看 + 创建”选项卡
此选项卡显示从前面选项卡看到的所有配置的摘要。 可以再次查看它。 如果对所有配置感到满意,并且想要继续执行应用程序迁移,请选择“创建”按钮以启动迁移过程。 这会将新应用程序迁移到 Microsoft Entra 租户。
应用程序迁移目前是可以使用通知监视的九个步骤。 工作流完成以下操作:
- 创建应用程序注册
- 创建服务主体
- 配置 SAML 设置
- 将用户和组分配到应用程序
- 配置声明
迁移过程完成后,你会看到一条通知消息,显示“应用程序迁移成功”。
完成应用程序迁移后,会重定向到“已准备好配置”选项卡,其中显示了所有以前迁移的应用程序,包括已配置的最新应用程序。
查看和配置企业应用程序
在“已准备好配置”选项卡中,可以使用“在 Microsoft Entra 中配置应用程序”链接链接导航到“企业应用程序”部分下新配置的应用程序。 默认情况下,它会进入应用程序的“基于 SAML 的登录”页。
在“基于 SAML 的登录”窗格中,所有 AD FS 信赖方应用设置都已应用于新迁移的 Microsoft Entra 应用程序。 AD FS 应用程序迁移向导的“基本 SAML 配置”中的“标识符”和“回复 URL”属性以及“属性和声明”选项卡中的声明列表与企业应用程序上的内容相同。
在应用程序的“属性”窗格中,应用程序模板徽标意味着应用程序已链接到所选应用程序模板。 在“所有者”页上,当前管理员用户将添加为应用程序的所有者之一。
从“用户和组”窗格中,所有必需的组都已分配给应用程序。
查看迁移的企业应用程序后,可以根据业务需求更新应用程序。 可以添加或更新声明、分配更多用户和组或配置条件访问策略,以支持多重身份验证或其他条件授权功能。
回退
AD FS 应用程序迁移向导的一键式配置会将新应用程序迁移到 Microsoft Entra 租户。 但是,在将登录流量重定向到该应用程序之前,迁移的应用程序将保持非活动状态。 在此之前,如果要回滚,可以从租户中删除新迁移的 Microsoft Entra 应用程序。
向导不提供任何自动清理。 如果不想继续设置迁移的应用程序,则必须从租户中手动删除该应用程序。 有关如何删除应用程序注册及其相应的企业应用程序的说明,请参阅以下 URL:
故障排除提示
在报表中没有看到我的所有 AD FS 应用程序
如果已安装适用于 AD FS 的 Microsoft Entra Connect Health 代理,但仍看到安装提示,或在报表中无法看到所有 AD FS 应用程序,则可能是你的 AD FS 应用程序未处于活动状态,或者你的 AD FS 应用程序是 Microsoft 应用程序。
注意
AD FS 应用程序迁移仅列出组织中过去 30 天内具有活动用户登录的所有 AD FS 应用程序。
报表不会显示 AD FS 中的与 Microsoft 相关的信赖方,比如 Office 365。 例如,名称为 urn:federation:MicrosoftOnline、microsoftonline、microsoft:winhello:cert:prov:server 的信赖方不会显示在列表中。
为什么看到验证错误“已存在具有相同标识符的应用程序”?
租户中的每个应用程序都应具有唯一的应用程序标识符。 如果看到此错误消息,则表示已在 Microsoft Entra 租户中拥有具有相同标识符的另一个应用程序。 在这种情况下,需要更新现有应用程序标识符或更新 AD FS 信赖方应用标识符,并等待 24 小时才能反映更新。
后续步骤
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈