共用方式為


了解將應用程式驗證從 AD FS 移轉至 Microsoft Entra ID 的階段

Microsoft Entra ID 提供通用身分識別平台,可讓您的員工、合作夥伴和客戶取得單一身分識別來存取應用程式,並且可以從任何平台和裝置共同作業。 Microsoft Entra ID 有一套完整的身分識別管理功能。 將您的應用程式驗證與授權標準化至 Microsoft Entra ID,可提供這些優點。

移轉的應用程式類型

您的應用程式可使用新式或舊版通訊協定進行驗證。 規劃移轉至 Microsoft Entra ID 時,不妨先移轉使用新式驗證通訊協定 (例如,SAML 和 OpenID Connect) 的應用程式。

重新設定這些應用程式,以透過 Azure App Gallery 的內建連接器,或藉由在 Microsoft Entra ID 中註冊自訂應用程式,使用 Microsoft Entra ID 進行驗證。

使用舊版通訊協定的應用程式可以使用應用程式 Proxy 或任何安全混合式存取 (SHA) 合作夥伴進行整合。

如需詳細資訊,請參閱

NPS 移轉流程

在將您的應用程式驗證移至 Microsoft Entra ID 的過程中,測試您的應用程式和設定。 移至實際執行環境之前,建議您繼續使用現有的測試環境進行移轉測試。 如果目前無法使用測試環境,您可以根據應用程式的架構,使用 Azure App ServiceAzure 虛擬機器設定一個。

您可以選擇設定個別的測試Microsoft Entra 租用戶,以開發應用程式設定。

您的移轉流程可能如下所示:

階段 1–目前狀態:生產環境應用程式會使用 AD FS 進行驗證

顯示移轉階段 1 的圖表。

階段 2 – (選擇性) 將應用程式的測試執行個體指向測試 Microsoft Entra 租用戶

更新設定,以將應用程式的測試執行個體指向測試 Microsoft Entra 租用戶,並進行任何必要的變更。 您可以使用測試 Microsoft Entra 租用戶中的使用者來測試應用程式。 在開發過程中,您可以使用 Fiddler 之類的工具來比較並驗證要求和回應。

若無法設定個別的測試租用戶,請略過此階段,並將應用程式的測試執行個體指向您的實際執行 Microsoft Entra 租用戶,如下面的階段 3 所述。

顯示移轉階段 2 的圖表。

階段 3 – 將應用程式的測試執行個體指向實際執行 Microsoft Entra 租用戶

更新設定,以將應用程式的測試執行個體指向實際執行 Microsoft Entra 租用戶。 您現在可以使用生產環境租用戶中的使用者進行測試。 如有必要,請參閱本文中有關轉換使用者的章節。

顯示移轉階段 3 的圖表。

階段 4 – 將實際執行應用程式指向實際執行 Microsoft Entra 租用戶

更新實際執行應用程式的設定,以指向您的實際執行 Microsoft Entra 租用戶。

顯示移轉階段 4 的圖表。

使用 AD FS 進行驗證的應用程式可以使用 Active Directory 群組來取得權限。 開始移轉之前,請使用 Microsoft Entra Connect Sync 來同步內部部署環境和 Microsoft Entra ID 之間的身分識別資料。 在遷移之前,請務必先驗證這些群組和成員資格,讓您可以在應用程式遷移時授與相同使用者的存取權。

企業營運應用程式

您的企業營運應用程式是貴組織所開發的應用程式,或是標準封裝產品的應用程式。

使用 OAuth 2.0、OpenID Connect 或 WS-同盟的企業營運應用程式,可與 Microsoft Entra ID 整合為應用程式註冊。 在 Microsoft Entra 系統管理中心的 [企業應用程式] 頁面上,將使用 SAML 2.0 或 WS-同盟的自訂應用程式整合為非資源庫應用程式

下一步