Grundlegendes zu den Phasen der Migration der Anwendungsauthentifizierung von AD FS zu Microsoft Entra ID
Microsoft Entra ID bietet eine universelle Identitätsplattform, die Ihren Mitarbeitern, Partnern und Kunden eine einzige Identität für den Zugriff auf Anwendungen und die Zusammenarbeit auf beliebigen Plattformen und Geräten bereitstellt. Microsoft Entra ID umfasst eine vollständige Suite von Funktionen zur Identitätsverwaltung. Durch die Standardisierung Ihrer Anwendungsauthentifizierung und -autorisierung bei Microsoft Entra ID erhalten Sie folgende Vorteile.
Typen der zu migrierenden Apps
Ihre Anwendungen verwenden möglicherweise moderne oder ältere Protokolle für die Authentifizierung. Wenn Sie die Migration zu Microsoft Entra ID planen, empfiehlt es sich, zunächst die Apps zu migrieren, die moderne Authentifizierungsprotokolle (SAML und OpenID Connect) verwenden.
Diese Apps können für die Authentifizierung mit Microsoft Entra ID entweder über einen integrierten Connector aus dem Azure App-Katalog oder durch Registrieren der benutzerdefinierten Anwendung in Microsoft Entra ID neu konfiguriert werden.
Apps, die ältere Protokolle verwenden, können mithilfe des Anwendungsproxys oder eines unserer SHA-Partner (Secure Hybrid Access) integriert werden.
Weitere Informationen finden Sie unter:
- Verwenden von Microsoft Entra-Anwendungsproxys zum Veröffentlichen lokaler Apps für Remotebenutzer.
- Worum handelt es sich bei der Anwendungsverwaltung?
- Verwenden des AD FS-Anwendungsaktivitätsberichts, um Anwendungen zu Microsoft Entra ID zu migrieren.
- Überwachen von AD FS mit Microsoft Entra Connect Health.
Migrationsvorgang
Wenn Sie Ihre App-Authentifizierung in Microsoft Entra ID verschieben, sollten Sie Ihre Apps und die Konfiguration testen. Wir empfehlen, weiterhin vorhandene Testumgebungen zum Testen der Migration zu verwenden, bevor sie für die Produktionsumgebung bereitgestellt wird. Wenn eine Testumgebung zurzeit nicht verfügbar ist, können Sie diese je nach Architektur der Anwendung mithilfe von Azure App Service oder Azure Virtual Machines einrichten.
Sie könnten einen separaten Microsoft Entra-Testmandanten einrichten, mit dem Ihre App-Konfigurationen entwickelt werden sollen.
Der Migrationsvorgang könnte wie folgt aussehen:
Phase 1 (aktueller Status): Authentifizierung der Produktions-App mit AD FS
Phase 2 (optional): Verweisen auf eine Testinstanz der App auf den Microsoft Entra-Testmandanten
Aktualisieren Sie die Konfiguration, um mit der Testinstanz der App auf einen Microsoft Entra-Testmandanten zu verweisen. Nehmen Sie dabei alle erforderlichen Änderungen vor. Die App kann mit Benutzern im Microsoft Entra-Testmandanten getestet werden. Während des Entwicklungsprozesses können Sie Tools wie Fiddler verwenden, um Anforderungen und Antworten zu vergleichen und zu überprüfen.
Wenn es nicht möglich ist, einen separaten Testmandanten einzurichten, überspringen Sie diesen Schritt, und verweisen Sie, wie unten in Phase 3 beschrieben, mit einer Testinstanz der App auf Ihren Microsoft Entra-Produktionsmandanten.
Phase 3: Verweisen einer Testinstanz der App auf den Microsoft Entra-Produktionsmandanten
Aktualisieren Sie die Konfiguration, um mit der Testinstanz der App auf Ihren Microsoft Entra-Produktionsmandanten zu verweisen. Sie können dies jetzt mit Benutzern in Ihrem Produktionsmandanten testen. Lesen Sie sich ggf. noch mal den Abschnitt dieses Artikels über das Migrieren durch.
Phase 4: Verweisen der Produktions-App auf den Microsoft Entra-Produktionsmandanten
Aktualisieren Sie die Konfiguration Ihrer Produktions-App so, dass sie auf Ihren Microsoft Entra-Produktionsmandanten verweist.
Apps, die sich mit AD FS authentifizieren, können Active Directory-Gruppen für Berechtigungen verwenden. Verwenden Sie die Microsoft Entra Connect-Synchronisierung, um Identitätsdaten zwischen Ihrer lokalen Umgebung und Microsoft Entra ID vor der Migration zu synchronisieren. Überprüfen Sie diese Gruppen und Mitgliedschaften vor der Migration, damit Sie denselben Benutzern Zugriff gewähren können, wenn die Anwendung migriert wird.
LOB-Apps (branchenspezifische Apps)
Ihre branchenspezifischen Apps sind Apps, die Ihre Organisation entwickelt hat, oder Apps, bei denen es sich um ein Standardpaketprodukt handelt.
Branchenspezifische Apps, für die OAuth 2.0, OpenID Connect oder der WS-Verbund verwendet werden, können als App-Registrierungen mit Microsoft Entra ID integriert werden. Integrieren Sie benutzerdefinierte Apps, die SAML 2.0 oder den WS-Verbund verwenden, im Microsoft Entra Admin Center auf der Unternehmensanwendungsseite als Nicht-Katalog-Anwendungen.