瞭解將應用程式驗證從AD FS移轉至 Microsoft Entra 識別碼的階段
Microsoft Entra ID 提供通用身分識別平臺,提供您的人員、合作夥伴和客戶單一身分識別,以存取應用程式和從任何平臺和裝置共同作業。 Microsoft Entra ID 有一套完整的身分識別管理功能。 將您的應用程式驗證與授權標準化至 Microsoft Entra ID,可提供這些優點。
移轉的應用程式類型
您的應用程式可使用新式或舊版通訊協定進行驗證。 當您規劃移轉至 Microsoft Entra ID 時,請考慮先移轉使用新式驗證通訊協定的應用程式(例如 SAML 和 OpenID 連線)。
這些應用程式可以重新設定為透過 Azure App Gallery 的內建連接器,或在 Microsoft Entra ID 中註冊自定義應用程式,向 Microsoft Entra 識別符進行驗證。
使用舊版通訊協定的應用程式可以使用 應用程式 Proxy 或任何我們的安全混合式存取 (SHA) 合作夥伴進行整合。
如需詳細資訊,請參閱
- 使用 Microsoft Entra 應用程式 Proxy 發佈遠端使用者的內部部署應用程式。
- 什麼是應用程式管理?
- AD FS 應用程式活動報告,可將應用程式遷移至 Microsoft Entra ID。
- 使用 Microsoft Entra 連線 Health 監視 AD FS。
移轉程式
在將應用程式驗證移至 Microsoft Entra ID 的程式期間,測試您的應用程式和設定。 建議您在移至生產環境之前,繼續使用現有的測試環境進行移轉測試。 如果目前無法使用測試環境,您可以根據應用程式的架構,使用 Azure App 服務 或 Azure 虛擬機器 來設定一個。
您可以選擇設定個別的測試 Microsoft Entra 租使用者,以開發您的應用程式組態。
您的移轉程式可能如下所示:
階段 1 – 目前狀態:生產應用程式會向 AD FS 進行驗證
階段 2 – (選擇性) 將應用程式的測試實例指向測試 Microsoft Entra 租使用者
更新組態,將您的應用程式測試實例指向測試 Microsoft Entra 租使用者,並進行任何必要的變更。 應用程式可以在測試 Microsoft Entra 租用戶中測試使用者。 在開發程序期間,您可以使用 Fiddler 之類的工具來比較和驗證要求和回應。
如果無法設定個別的測試租使用者,請略過此階段,並將應用程式的測試實例指向您的生產 Microsoft Entra 租使用者,如下第 3 階段所述。
階段 3 – 將應用程式的測試實例指向生產環境 Microsoft Entra 租使用者
更新組態,將您的應用程式測試實例指向生產環境 Microsoft Entra 租使用者。 您現在可以在生產租用戶中測試使用者。 如有必要,請檢閱本文關於轉換使用者的區段。
階段 4 – 將生產應用程式指向生產環境 Microsoft Entra 租使用者
更新生產應用程式的設定,以指向您的生產 Microsoft Entra 租使用者。
使用AD FS進行驗證的應用程式可以使用 Active Directory 群組來取得許可權。 在開始移轉之前,使用 Microsoft Entra 連線 Sync 同步處理內部部署環境與 Microsoft Entra 識別碼之間的身分識別數據。 在移轉之前,請先確認這些群組和成員資格,以便在移轉應用程式時授與相同使用者的存取權。
企業營運應用程式
您的企業營運應用程式是您組織開發的應用程式,或是標準封裝產品的應用程式。
使用 OAuth 2.0、OpenID 連線 或 WS-Federation 的企業營運應用程式可以整合為應用程式註冊的 Microsoft Entra ID。 在 Microsoft Entra 系統管理中心的企業應用程式頁面上,整合使用 SAML 2.0 或 WS-Federation 作為非資源庫應用程式的自定義應用程式。