Doporučení Microsoft Entra: Migrace z knihovny ověřování Azure Active Directory do knihoven Microsoft Authentication Library

Článek
10/25/2023

Doporučení Microsoft Entra je funkce, která poskytuje přizpůsobené přehledy a užitečné pokyny pro sladění tenanta s doporučenými osvědčenými postupy.

Tento článek popisuje doporučení k migraci z knihovny ověřování Azure Active Directory (ADAL) do knihoven Microsoft Authentication Library. Toto doporučení se volá AdalToMsalMigration v rozhraní API pro doporučení v Microsoft Graphu.

Popis

Knihovna ADAL se aktuálně plánuje na ukončení podpory 30. června 2023. Doporučujeme, aby zákazníci migrovali do knihovny MICROSOFT Authentication Library (MSAL), která nahrazuje knihovnu ADAL.

Toto doporučení se zobrazí, pokud váš tenant obsahuje aplikace, které stále používají ADAL. Služba označí jakoukoli aplikaci ve vašem tenantovi, která vytvoří požadavek na token z knihovny ADAL jako aplikaci ADAL. Aplikace, které používají ADAL i MSAL, jsou označené jako aplikace ADAL.

Když se aplikace identifikuje jako aplikace ADAL, doporučení se každý den vrátí 30 dní pro všechny nové žádosti ADAL z aplikací v rámci tenanta. Pokud doporučení ADAL po dobu 30 dnů neodesílá žádné nové žádosti ADAL, doporučení se označí jako dokončené. Po dokončení všech aplikací se stav doporučení změní na dokončení. Pokud se pro dokončenou aplikaci zjistí nový požadavek ADAL, stav se změní zpět na aktivní.

Hodnota

Knihovna MSAL je navržená tak, aby umožňovala zabezpečené řešení, aniž by se vývojáři museli starat o podrobnosti implementace. Knihovna MSAL zjednodušuje získávání, správu, ukládání do mezipaměti a aktualizaci tokenů. MSAL také používá osvědčené postupy pro odolnost. Další informace o migraci na knihovnu MSAL naleznete v tématu Migrace aplikací do knihovny MSAL.

Stávající aplikace, které používají ADAL, budou i nadále fungovat po datu ukončení podpory.

Akční plán:

Prvním krokem k migraci aplikací z knihovny ADAL do KNIHOVNY MSAL je identifikace všech aplikací ve vašem tenantovi, které aktuálně používají knihovnu ADAL. Aplikace můžete identifikovat programově pomocí rozhraní Microsoft Graph API nebo sady Microsoft Graph PowerShell SDK. Kroky pro sadu Microsoft Graph PowerShell SDK najdete v podrobnostech doporučení v Centru pro správu Microsoft Entra.

Microsoft Graph API
Microsoft Graph PowerShell SDK

Pomocí Microsoft Graphu můžete identifikovat aplikace, které je potřeba migrovat do KNIHOVNY MSAL. Pokud chcete začít, přečtěte si, jak používat Microsoft Graph s doporučeními Microsoft Entra.

Přihlaste se k Graph Exploreru.
V rozevíracím seznamu vyberte metodu GET jako metodu HTTP.
Nastavte verzi rozhraní API na beta.
V Microsoft Graphu spusťte následující dotaz a nahraďte <TENANT_ID> zástupný symbol ID tenanta. Tento dotaz vrátí seznam ovlivněných prostředků ve vašem tenantovi.
- https://graph.microsoft.com/beta/directory/recommendations/<TENANT_ID>_Microsoft.Identity.IAM.Insights.AdalToMsalMigration/impactedResources

Následující odpověď obsahuje podrobnosti ovlivněných prostředků pomocí knihovny ADAL:

{
    "id": "<APPLICATION_ID>",
    "subjectId": "<APPLICATION_ID>",
    "recommendationId": "TENANT_ID_Microsoft.Identity.IAM.Insights.AdalToMsalMigration",
    "resourceType": "app",
    "addedDateTime": "2023-03-29T09:29:01.1708723Z",
    "postponeUntilDateTime": null,
    "lastModifiedDateTime": "0001-01-01T00:00:00Z",
    "lastModifiedBy": "System",
    "displayName": "sample-adal-app",
    "owner": null,
    "rank": 1,
    "portalUrl": "
df.onecloud.azure-test.net/#view/Microsoft_AAD_RegisteredApps/ApplicationMenuBlade/~/Branding/appId/{0}"
    "apiUrl": null,
    "status": "completedBySystem",
    "additionalDetails": [
        {
            "key": "Library",
            "value": "ADAL.Net"
        }
    ]
}

Ve Windows PowerShellu můžete spustit následující sadu příkazů. Tyto příkazy používají sadu Microsoft Graph PowerShell SDK k získání seznamu všech aplikací ve vašem tenantovi, které používají ADAL.

Spusťte Windows PowerShell jako správce.
Připojení do Microsoft Graphu:
- Connect-MgGraph-Tenant <YOUR_TENANT_ID>
Vyberte svůj profil:
- Select-MgProfile beta
Získejte seznam doporučení:
- Get-MgDirectoryRecommendation | Format-List
Aktualizujte kód aplikací podle pokynů v tématu Jak migrovat na knihovnu MSAL.

Nejčastější dotazy

Projděte si následující běžné otázky při práci s doporučeními knihovny ADAL k knihovně MSAL.

Proč může trvat 30 dní, než se stav změní na dokončený?

Aby se snížil počet falešně pozitivních výsledků, služba pro požadavky ADAL používá 30denní interval. Tímto způsobem může služba přejít několik dní bez požadavku ADAL a nemusí být falešně označena jako dokončená.

Jak byly aplikace ADAL identifikovány před vydáním doporučení?

Sešit přihlašování Microsoft Entra byl alternativní metodou identifikace těchto aplikací. Sešit je stále k dispozici, ale použití sešitu vyžaduje nejprve protokoly přihlášení streamování do služby Azure Monitor. Doporučení knihovny ADAL pro KNIHOVNu MSAL funguje mimo toto políčko. Sešit přihlášení navíc nezachytává přihlášení instančního objektu, ale doporučení.

Proč se počet aplikací ADAL liší v sešitu a doporučení?

Vzhledem k tomu, že doporučení zaznamenává přihlášení instančního objektu a sešit ne, může se v doporučení zobrazit více aplikací ADAL.

Návody identifikovat vlastníka aplikace v mém tenantovi?

Vlastníka můžete vyhledat v podrobnostech o doporučení. Vyberte prostředek, který vás přenese na podrobnosti o aplikaci. V navigační nabídce vyberte Vlastníky .

Může se stav změnit z dokončeného na aktivní?

Ano. Pokud byla aplikace označena jako dokončená , takže během 30denního intervalu nebyly provedeny žádné požadavky ADAL – aplikace by byla označena jako dokončená. Pokud služba zjistí nový požadavek ADAL, stav se změní zpět na aktivní.