Procedimientos: Migración desde Azure Access Control ServiceHow to: Migrate from the Azure Access Control Service

Importante

La Plataforma de identidad de Microsoft (versión 2.0) es una evolución de la plataforma para desarrolladores de Azure Active Directory (Azure AD) (versión 1.0).Microsoft identity platform (v2.0) is an evolution of the Azure Active Directory (Azure AD) developer platform (v1.0). Permite a los desarrolladores compilar aplicaciones que inicien sesión en todas las identidades de Microsoft, obtener tokens para llamar a las API de Microsoft como Microsoft Graph, o a otras API que los desarrolladores hayan creado.It allows developers to build applications that sign in all Microsoft identities and get tokens to call Microsoft APIs such as Microsoft Graph or APIs that developers have built. Este contenido es el punto de conexión anterior de Azure AD v1.0.This content is for the older, Azure AD v1.0 endpoint. Se recomienda usar el punto de conexión v2.0 para los proyectos nuevos.We recommend that you use the v2.0 endpoint for new projects. Para más información, consulte Motivos para actualizar a la Plataforma de identidad de Microsoft (v2.0)For more info, read Why update to Microsoft identity platform (v2.0)? así como las limitaciones de la Plataforma de identidad de Microsoft.as well as Microsoft identity platform limitations.

Microsoft Azure Access Control Service (ACS), un servicio de Azure Active Directory (Azure AD), se retirará el 7 de noviembre de 2018.Microsoft Azure Access Control Service (ACS), a service of Azure Active Directory (Azure AD), will be retired on November 7, 2018. Para entonces, las aplicaciones y servicios que utilizan Access Control deben migrarse completamente a un mecanismo de autenticación diferente.Applications and services that currently use Access Control must be fully migrated to a different authentication mechanism by then. En este artículo se describen las recomendaciones para los clientes actuales que pretenden dejar de usar Access Control.This article describes recommendations for current customers, as you plan to deprecate your use of Access Control. Si actualmente no utiliza Access Control, no es necesario realizar ninguna acción.If you don't currently use Access Control, you don't need to take any action.

Información generalOverview

Access Control es un servicio de autenticación en la nube que ofrece una manera sencilla de autenticar y autorizar a los usuarios que quieran obtener acceso a los servicios y aplicaciones web.Access Control is a cloud authentication service that offers an easy way to authenticate and authorize users for access to your web applications and services. Permite que muchas características de autenticación y autorización se factoricen a partir del código.It allows many features of authentication and authorization to be factored out of your code. Los programadores y arquitectos de Microsoft .NET, las aplicaciones web ASP.NET y los servicios web de Windows Communication Foundation (WCF) usan principalmente Access Control.Access Control is primarily used by developers and architects of Microsoft .NET clients, ASP.NET web applications, and Windows Communication Foundation (WCF) web services.

Los casos de uso de Access Control pueden dividirse en tres categorías principales:Use cases for Access Control can be broken down into three main categories:

  • Autenticar determinados servicios en la nube de Microsoft, incluidos Azure Service Bus y Dynamics CRM.Authenticating to certain Microsoft cloud services, including Azure Service Bus and Dynamics CRM. Las aplicaciones cliente que pueden obtener tokens de Access Control que pueden usarse a fin de autenticar estos servicios para realizar diversas acciones.Client applications obtain tokens from Access Control to authenticate to these services to perform various actions.
  • Agregar el proceso de autenticación a aplicaciones web personalizadas y preestablecidas (como SharePoint).Adding authentication to web applications, both custom and prepackaged (like SharePoint). Mediante la autenticación "pasiva" de Access Control, las aplicaciones web pueden permitir que se inicie sesión con una cuenta de Microsoft (anteriormente Live ID), con cuentas de Google, Facebook, Yahoo, Azure AD y los Servicios de federación de Active Directory (AD FS).By using Access Control "passive" authentication, web applications can support sign-in with a Microsoft account (formerly Live ID), and with accounts from Google, Facebook, Yahoo, Azure AD, and Active Directory Federation Services (AD FS).
  • Proteger los servicios web integrados personalizados con tokens que haya emitido Access Control.Securing custom web services with tokens issued by Access Control. Mediante la autenticación "activa", los servicios web pueden garantizar que solo se permite el acceso de clientes conocidos que se hayan autenticado con Access Control.By using "active" authentication, web services can ensure that they allow access only to known clients that have authenticated with Access Control.

Cada uno de estos casos de uso y sus estrategias recomendadas de migración se describen en las secciones siguientes.Each of these use cases and their recommended migration strategies are discussed in the following sections.

Advertencia

En la mayoría de los casos, se requieren cambios de código significativos para migrar los servicios y las aplicaciones existentes a las tecnologías más recientes.In most cases, significant code changes are required to migrate existing apps and services to newer technologies. Le recomendamos que comience la planificación y la ejecución de la migración inmediatamente para evitar la posibilidad de que se produzcan interrupciones o tiempos de inactividad.We recommend that you immediately begin planning and executing your migration to avoid any potential outages or downtime.

Access Control tiene los siguientes componentes:Access Control has the following components:

  • Un servicio de token seguro (STS) que recibe las solicitudes de autenticación y emite de vuelta tokens de seguridad.A secure token service (STS), which receives authentication requests and issues security tokens in return.
  • El Portal de Azure clásico, donde se crean, eliminan, habilitan y deshabilitan los espacios de nombres de Access Control.The Azure classic portal, where you create, delete, and enable and disable Access Control namespaces.
  • Un portal de administración de Access Control donde puede personalizar y configurar los espacios de nombres de Access Control.A separate Access Control management portal, where you customize and configure Access Control namespaces.
  • Un servicio de administración que se puede usar para automatizar las funciones de los portales.A management service, which you can use to automate the functions of the portals.
  • Un motor de reglas de transformación de tokens que se puede usar para definir una lógica compleja a fin de manipular el formato de salida de los tokens emitidos por Access Control.A token transformation rule engine, which you can use to define complex logic to manipulate the output format of tokens that Access Control issues.

Para utilizar estos componentes, debe crear uno o varios espacios de nombres de Access Control.To use these components, you must create one or more Access Control namespaces. Un espacio de nombres es una instancia dedicada de Access Control con el que se comunican los servicios y las aplicaciones.A namespace is a dedicated instance of Access Control that your applications and services communicate with. Asimismo, está aislado del resto de los clientes de Access Control.A namespace is isolated from all other Access Control customers. Otros clientes de Access Control usan sus propios espacios de nombres.Other Access Control customers use their own namespaces. Un espacio de nombres en Access Control tiene una dirección URL dedicada con el siguiente aspecto:A namespace in Access Control has a dedicated URL that looks like this:

https://<mynamespace>.accesscontrol.windows.net

Toda comunicación con las operaciones de administración y STS se realiza en esta dirección URL.All communication with the STS and management operations are done at this URL. Use rutas de acceso diferentes para distintos fines.You use different paths for different purposes. Para determinar si sus aplicaciones o servicios utilizan Access Control, supervise todo el tráfico a https://<espacio de nombres>.accesscontrol.windows.net.To determine whether your applications or services use Access Control, monitor for any traffic to https://<namespace>.accesscontrol.windows.net. Access Control maneja todo el tráfico dirigido a esta dirección URL y debe interrumpirse.Any traffic to this URL is handled by Access Control, and needs to be discontinued.

La excepción a esto es todo el tráfico a https://accounts.accesscontrol.windows.net.The exception to this is any traffic to https://accounts.accesscontrol.windows.net. El tráfico a esta dirección URL ya se controla mediante un servicio diferente y no se ve afectado debido al desuso de Access Control.Traffic to this URL is already handled by a different service and is not affected by the Access Control deprecation.

Para obtener más información sobre Access Control, consulte Access Control Service 2.0 (archivado).For more information about Access Control, see Access Control Service 2.0 (archived).

Averigüe qué aplicaciones se verán afectadasFind out which of your apps will be impacted

Siga los pasos descritos en esta sección para averiguar qué aplicaciones se verán afectadas por la retirada de ACS.Follow the steps in this section to find out which of your apps will be impacted by ACS retirement.

Descargue e instale ACS PowerShellDownload and install ACS PowerShell

  1. Vaya a la Galería de PowerShell y descargue Acs.Namespaces.Go to the PowerShell Gallery and download Acs.Namespaces.

  2. Ejecute lo siguiente para instalar el módulo:Install the module by running

    Install-Module -Name Acs.Namespaces
    
  3. Ejecute lo siguiente para obtener una lista de todos los comandos posibles:Get a list of all possible commands by running

    Get-Command -Module Acs.Namespaces
    

    Para obtener ayuda sobre un comando específico, ejecute:To get help on a specific command, run:

     Get-Help [Command-Name] -Full
    

    donde [Command-Name] es el nombre del comando de ACS.where [Command-Name] is the name of the ACS command.

Enumeración del espacio de nombres de ACSList your ACS namespaces

  1. Conéctese a ACS con el cmdlet Connect AcsAccount.Connect to ACS using the Connect-AcsAccount cmdlet.

    Puede que tenga que ejecutar Set-ExecutionPolicy -ExecutionPolicy Bypass antes de poder ejecutar los comandos y que tenga que ser el administrador de esas suscripciones para poder ejecutar los comandos.You may need to run Set-ExecutionPolicy -ExecutionPolicy Bypass before you can execute commands and be the admin of those subscriptions in order to execute the commands.

  2. Enumere las suscripciones de Azure disponibles con el cmdlet Get AcsSubscription.List your available Azure subscriptions using the Get-AcsSubscription cmdlet.

  3. Enumere los espacios de nombres de ACS con el cmdlet Get AcsNamespace.List your ACS namespaces using the Get-AcsNamespace cmdlet.

Compruebe qué aplicaciones que se verán afectadasCheck which applications will be impacted

  1. Use el espacio de nombres del paso anterior y vaya a https://<namespace>.accesscontrol.windows.netUse the namespace from the previous step and go to https://<namespace>.accesscontrol.windows.net

    Por ejemplo, si uno de los espacios de nombres es contoso-test, vaya a https://contoso-test.accesscontrol.windows.netFor example, if one of the namespaces is contoso-test, go to https://contoso-test.accesscontrol.windows.net

  2. En Relaciones de confianza, seleccione Aplicaciones de usuario de confianza para ver la lista de aplicaciones que se verán afectadas por la retirada de ACS.Under Trust relationships, select Relying party applications to see the list of apps that will be impacted by ACS retirement.

  3. Repita los pasos 1 y 2 para otros espacios de nombres de ACS que tenga.Repeat steps 1-2 for any other ACS namespace(s) that you have.

Calendario de retiradasRetirement schedule

A partir de noviembre de 2017, todos los componentes de Access Control son totalmente compatibles y están operativos.As of November 2017, all Access Control components are fully supported and operational. La única restricción es que no se pueden crear nuevos espacios de nombres de Access Control a través del Portal de Azure clásico.The only restriction is that you can't create new Access Control namespaces via the Azure classic portal.

Aquí está el calendario que indica el desuso de los componentes de Access Control:Here's the schedule for deprecating Access Control components:

  • Noviembre de 2017: la experiencia de administración de Azure AD en el Portal de Azure clásico se retira.November 2017: The Azure AD admin experience in the Azure classic portal is retired. En este momento, la administración del espacio de nombres de Access Control estará disponible en esta nueva dirección URL dedicada: https://manage.windowsazure.com?restoreClassic=true.At this point, namespace management for Access Control is available at a new, dedicated URL: https://manage.windowsazure.com?restoreClassic=true. Use esta URl para ver los espacios de nombres existentes y habilitar, deshabilitar y eliminar diversos espacios de nombres si así lo desea.Use this URl to view your existing namespaces, enable and disable namespaces, and to delete namespaces, if you choose to.
  • 2 de abril de 2018: el Portal de Azure clásico se ha retirado por completo, lo que significa que la administración del espacio de nombres de Access Control ya no está disponible a través de ninguna dirección URL.April 2, 2018: The Azure classic portal is completely retired, meaning Access Control namespace management is no longer available via any URL. No podrá deshabilitar o habilitar, eliminar o enumerar los espacios de nombres de Access Control.At this point, you can't disable or enable, delete, or enumerate your Access Control namespaces. Sin embargo, el portal de administración de Access Control será totalmente funcional y se ubicará en https://\<namespace\>.accesscontrol.windows.net.However, the Access Control management portal will be fully functional and located at https://\<namespace\>.accesscontrol.windows.net. Todos los demás componentes de Access Control también seguirán funcionando con normalidad.All other components of Access Control continue to operate normally.
  • 7 de noviembre de 2018: todos los componentes de Access Control se cierran permanentemente.November 7, 2018: All Access Control components are permanently shut down. Esto incluye el portal de administración de Access Control, el servicio de administración, STS y el motor de reglas de transformación de tokens.This includes the Access Control management portal, the management service, STS, and the token transformation rule engine. En este momento, las solicitudes enviadas a Access Control (ubicado en <namespace>.accesscontrol.windows.net) producirán un error.At this point, any requests sent to Access Control (located at <namespace>.accesscontrol.windows.net) fail. Debe haber migrado todos los servicios y aplicaciones existentes a otras tecnologías bastante antes de esta fecha.You should have migrated all existing apps and services to other technologies well before this time.

Nota

Una directiva deshabilita los espacios de nombres que no han solicitado un token durante un período de tiempo.A policy disables namespaces that have not requested a token for a period of time. A partir de principios de septiembre de 2018, este período de tiempo es actualmente de 14 días de inactividad, pero se reducirá a 7 días de inactividad en las próximas semanas.As of early September 2018, this period of time is currently at 14 days of inactivity, but this will be shortened to 7 days of inactivity in the coming weeks. Si tiene espacios de nombres de Access Control que actualmente están deshabilitados, puede descargar e instalar PowerShell ACS para volver a habilitarlos.If you have Access Control namespaces that are currently disabled, you can download and install ACS PowerShell to re-enable the namespace(s).

Estrategias de migraciónMigration strategies

En las secciones siguientes se describen recomendaciones detalladas para la migración de Access Control a otras tecnologías de Microsoft.The following sections describe high-level recommendations for migrating from Access Control to other Microsoft technologies.

Clientes de los Servicios en la nube de MicrosoftClients of Microsoft cloud services

Cada uno de los Servicios en la nube de Microsoft que aceptan tokens que haya emitido Access Control ahora admite al menos una forma alternativa de autenticación.Each Microsoft cloud service that accepts tokens that are issued by Access Control now supports at least one alternate form of authentication. El mecanismo de autenticación correcto varía para cada servicio.The correct authentication mechanism varies for each service. Le recomendamos que consulte la documentación específica de cada servicio para obtener una guía oficial.We recommend that you refer to the specific documentation for each service for official guidance. Para mayor comodidad, cada conjunto de documentación se proporciona aquí:For convenience, each set of documentation is provided here:

ServicioService GuíaGuidance
Azure Service BusAzure Service Bus Migración a firmas de acceso compartidoMigrate to shared access signatures
Azure Service Bus RelayAzure Service Bus Relay Migración a firmas de acceso compartidoMigrate to shared access signatures
Azure Managed CacheAzure Managed Cache Migración a Azure Cache for RedisMigrate to Azure Cache for Redis
Azure DataMarketAzure DataMarket Migración a Cognitive Services APIsMigrate to the Cognitive Services APIs
BizTalk ServicesBizTalk Services Migración a la característica Logic Apps de Azure App ServiceMigrate to the Logic Apps feature of Azure App Service
Azure Media ServicesAzure Media Services Migración a la autenticación de Azure ADMigrate to Azure AD authentication
Azure BackupAzure Backup Actualización del agente de Azure BackupUpgrade the Azure Backup agent

Clientes de SharePointSharePoint customers

Los clientes de SharePoint 2013, 2016 y SharePoint Online han usado durante mucho tiempo ACS para fines de autenticación en escenarios en la nube, locales e híbridos.SharePoint 2013, 2016, and SharePoint Online customers have long used ACS for authentication purposes in cloud, on premises, and hybrid scenarios. Algunas características de y casos de uso de SharePoint resultarán afectados por la retirada de ACS, pero otros no.Some SharePoint features and use cases will be affected by ACS retirement, while others will not. En la tabla siguiente se resume la guía de migración para algunas de las características más populares de SharePoint que hacen uso de ACS:The below table summarizes migration guidance for some of the most popular SharePoint feature that leverage ACS:

CaracterísticaFeature GuíaGuidance
Autenticación de usuarios desde Azure ADAuthenticating users from Azure AD Anteriormente, Azure AD no admitía los tokens de SAML 1.1 que necesitaba SharePoint para la autenticación, y ACS se usaba como intermediario que permitía la compatibilidad de SharePoint con formatos de token de Azure AD.Previously, Azure AD did not support SAML 1.1 tokens required by SharePoint for authentication, and ACS was used as an intermediary that made SharePoint compatible with Azure AD token formats. Ahora, puede conectar SharePoint directamente a Azure AD con la aplicación SharePoint local de la galería de aplicaciones de Azure AD.Now, you can connect SharePoint directly to Azure AD using Azure AD App Gallery SharePoint on premises app.
Autenticación de aplicaciones y autenticación de servidor a servidor en SharePoint localApp authentication & server-to-server authentication in SharePoint on premises No resulta afectado por la retirada de ACS; no se requieren cambios.Not affected by ACS retirement; no changes necessary.
Autorización de confianza baja para complementos de SharePoint (proveedor hospedado y SharePoint hospedado)Low trust authorization for SharePoint add-ins (provider hosted and SharePoint hosted) No resulta afectado por la retirada de ACS; no se requieren cambios.Not affected by ACS retirement; no changes necessary.
Búsqueda de SharePoint en la nube híbridaSharePoint cloud hybrid search No resulta afectado por la retirada de ACS; no se requieren cambios.Not affected by ACS retirement; no changes necessary.

Aplicaciones web que usan autenticación pasivaWeb applications that use passive authentication

Access Control proporciona a arquitectos y desarrolladores de aplicaciones web que utilizan Access Control para autenticar usuarios, las siguientes características y capacidades :For web applications that use Access Control for user authentication, Access Control provides the following features and capabilities to web application developers and architects:

  • Integración profunda con Windows Identity Foundation (WIF).Deep integration with Windows Identity Foundation (WIF).
  • Federación con Google, Facebook, Yahoo, Azure Active Directory y cuentas de AD FS y Microsoft.Federation with Google, Facebook, Yahoo, Azure Active Directory, and AD FS accounts, and Microsoft accounts.
  • Compatibilidad con los siguientes protocolos de autenticación: OAuth 2.0 Draft 13, WS-Trust y Web Services Federation (WS-Federation).Support for the following authentication protocols: OAuth 2.0 Draft 13, WS-Trust, and Web Services Federation (WS-Federation).
  • Compatibilidad con los siguientes formatos de token: JSON Web Token (JWT), SAML 1.1, SAML 2.0 y Simple Web Token (SWT).Support for the following token formats: JSON Web Token (JWT), SAML 1.1, SAML 2.0, and Simple Web Token (SWT).
  • Una experiencia de detección de dominio de inicio, integrada en WIF, que permite a los usuarios seleccionar el tipo de cuenta que usan para iniciar sesión.A home realm discovery experience, integrated into WIF, that allows users to pick the type of account they use to sign in. Esta experiencia es totalmente personalizable y la proporciona la aplicación web.This experience is hosted by the web application and is fully customizable.
  • La transformación de token que permite la variada personalización de las notificaciones que recibe la aplicación web de ACS, incluyendo:Token transformation that allows rich customization of the claims received by the web application from Access Control, including:
    • El paso de las notificaciones desde los proveedores de identidad.Pass through claims from identity providers.
    • La incorporación de notificaciones personalizadas adicionales.Adding additional custom claims.
    • La lógica de if-then simple para emitir notificaciones bajo ciertas condiciones.Simple if-then logic to issue claims under certain conditions.

Por desgracia, no hay un servicio que ofrezca todas estas funcionalidades equivalentes.Unfortunately, there isn't one service that offers all of these equivalent capabilities. Debe evaluar qué funcionalidades de Access Control necesita y, a continuación, elegir entre usar Azure Active Directory, Azure Active Directory B2C (Azure AD B2C) u otro servicio de autenticación en la nube.You should evaluate which capabilities of Access Control you need, and then choose between using Azure Active Directory, Azure Active Directory B2C (Azure AD B2C), or another cloud authentication service.

Migración a Azure Active DirectoryMigrate to Azure Active Directory

Una forma de migración sería integrar las aplicaciones y servicios directamente con Azure AD.A path to consider is integrating your apps and services directly with Azure AD. Azure AD es el proveedor de identidades basado en la nube de cuentas profesionales o educativas de Microsoft.Azure AD is the cloud-based identity provider for Microsoft work or school accounts. Azure AD es el proveedor de identidades para Office 365, Azure y muchos servicios más.Azure AD is the identity provider for Office 365, Azure, and much more. Proporciona funcionalidades de autenticación federada similares a Access Control, pero no admite todas sus características.It provides similar federated authentication capabilities to Access Control, but doesn't support all Access Control features.

El ejemplo principal es la federación con proveedores de identidades sociales, como Facebook, Google y Yahoo.The primary example is federation with social identity providers, such as Facebook, Google, and Yahoo. Si sus usuarios inician sesión con estos tipos de credenciales, Azure AD no es la mejor opción.If your users sign in with these types of credentials, Azure AD is not the solution for you.

Asimismo, Azure AD no admite necesariamente los mismos protocolos de autenticación que Access Control.Azure AD also doesn't necessarily support the exact same authentication protocols as Access Control. Por ejemplo, aunque tanto Access Control como Azure AD admiten OAuth, existen diferencias sutiles entre cada implementación.For example, although both Access Control and Azure AD support OAuth, there are subtle differences between each implementation. Las diferentes implementaciones requieren que modifique el código como parte de una migración.Different implementations require you to modify code as part of a migration.

Sin embargo, Azure AD proporciona varias ventajas potenciales a los clientes de Access Control.However, Azure AD does provide several potential advantages to Access Control customers. De forma nativa, es compatible con las cuentas educativas o profesionales de Microsoft hospedadas en la nube y que normalmente usan clientes de Access Control.It natively supports Microsoft work or school accounts hosted in the cloud, which are commonly used by Access Control customers.

Igualmente, un inquilino de Azure AD también se puede federar en una o más instancias de una cuenta local de Active Directory mediante AD FS.An Azure AD tenant can also be federated to one or more instances of on-premises Active Directory via AD FS. De esta manera, la aplicación puede autenticar a usuarios basados en la nube y usuarios que estén hospedados de manera local.This way, your app can authenticate cloud-based users and users that are hosted on-premises. También admite el protocolo WS-Federation, con el que la integración con una aplicación web mediante WIF resulta bastante sencilla.It also supports the WS-Federation protocol, which makes it relatively straightforward to integrate with a web application by using WIF.

En la siguiente tablase comparan las características de Access Control pertinentes a las aplicaciones web, con aquellas que están disponibles en Azure AD.The following table compares the features of Access Control that are relevant to web applications with those features that are available in Azure AD.

En líneas generales, Azure Active Directory probablemente no sea la opción adecuada para la migración, si solo permite a los usuarios iniciar sesión con sus cuentas educativas o profesionales de Microsoft.At a high level, Azure Active Directory is probably the best choice for your migration if you let users sign in only with their Microsoft work or school accounts.

CapacidadCapability Soporte técnico de Access ControlAccess Control support Soporte técnico de Azure ADAzure AD support
Tipos de cuentasTypes of accounts
Cuentas educativas o profesionales de MicrosoftMicrosoft work or school accounts CompatibleSupported CompatibleSupported
Cuentas de Windows Server Active Directory y AD FSAccounts from Windows Server Active Directory and AD FS - Compatible a través de la federación con un inquilino de Azure AD.- Supported via federation with an Azure AD tenant
- Compatible a través de la federación directa con AD FS.- Supported via direct federation with AD FS
Solo es compatible a través de la federación con un inquilino de Azure ADOnly supported via federation with an Azure AD tenant
Cuentas desde otros sistemas de administración de identidades empresarialesAccounts from other enterprise identity management systems - Es posible a través de la federación con un inquilino de Azure AD.- Possible via federation with an Azure AD tenant
- Compatible a través de la federación directa.- Supported via direct federation
Es posible a través de la federación con un inquilino de Azure ADPossible via federation with an Azure AD tenant
Cuentas de Microsoft para uso personalMicrosoft accounts for personal use CompatibleSupported Compatible a través del protocolo v2.0 OAuth de Azure AD, pero no a través de ningún otro protocolo.Supported via the Azure AD v2.0 OAuth protocol, but not over any other protocols
Cuentas de Facebook, Google, YahooFacebook, Google, Yahoo accounts CompatibleSupported No se admite ningún tipo.Not supported whatsoever
Compatibilidad con el SDK y protocolosProtocols and SDK compatibility
WIFWIF CompatibleSupported Compatible, pero con instrucciones limitadas disponibles.Supported, but limited instructions are available
El certificado del proveedor de identidades de WS-FederationWS-Federation CompatibleSupported CompatibleSupported
OAuth 2.0OAuth 2.0 Soporte para Draft 13Support for Draft 13 Compatibilidad con RFC 6749, la especificación más moderna.Support for RFC 6749, the most modern specification
WS-TrustWS-Trust CompatibleSupported No compatibleNot supported
Formatos de tokensToken formats
JWTJWT Compatible en versión betaSupported In Beta CompatibleSupported
SAML 1.1SAML 1.1 CompatibleSupported Versión preliminarPreview
SAML 2.0SAML 2.0 CompatibleSupported CompatibleSupported
SWTSWT CompatibleSupported No compatibleNot supported
PersonalizacionesCustomizations
UI de selección de cuenta o detección de dominio de inicio personalizableCustomizable home realm discovery/account-picking UI Código descargable que se puede incorporar en las aplicacionesDownloadable code that can be incorporated into apps No compatibleNot supported
Carga de certificados de firma de tokens personalizadosUpload custom token-signing certificates CompatibleSupported CompatibleSupported
Personalización de notificaciones en tokensCustomize claims in tokens - Paso a través de notificaciones de entrada desde proveedores de identidad- Pass through input claims from identity providers
- Obtención de token de acceso del proveedor de identidades como una notificación- Get access token from identity provider as a claim
- Emisión de notificaciones de salida basadas en valores de las notificaciones de entrada- Issue output claims based on values of input claims
- Emisión de notificaciones de salida con valores constantes- Issue output claims with constant values
- No se puede pasar a través notificaciones desde proveedores de identidades federados.- Cannot pass through claims from federated identity providers
- No se puede obtener el token de acceso del proveedor de identidades como una notificación- Cannot get access token from identity provider as a claim
- No se pueden emitir notificaciones de salida basadas en valores de notificaciones de entrada.- Cannot issue output claims based on values of input claims
- Se pueden emitir notificaciones de salida con valores constantes.- Can issue output claims with constant values
- Se pueden emitir notificaciones de salida en función de las propiedades de los usuarios que se sincronizan con Azure AD.- Can issue output claims based on properties of users synced to Azure AD
AutomationAutomation
Automatización de las tareas de configuración y administraciónAutomate configuration and management tasks Compatible a través del servicio de administración de Access ControlSupported via Access Control Management Service Compatible mediante Microsoft Graph APISupported using the Microsoft Graph API

Si decide que Azure AD es la forma adecuada para migrar sus aplicaciones y servicios, debe tener en cuenta dos maneras de integrar con ella su aplicación.If you decide that Azure AD is the best migration path for your applications and services, you should be aware of two ways to integrate your app with Azure AD.

Para utilizar WS-Federation o WIF para realizar integraciones con Azure AD, le recomendamos que siga las indicaciones descritas Configuración del inicio de sesión único federado para una aplicación ajena a la galería.To use WS-Federation or WIF to integrate with Azure AD, we recommend following the approach described in Configure federated single sign-on for a non-gallery application. En este artículo se detalla la configuración de Azure AD para el inicio de sesión único basado en SAML, pero funciona también para configurar WS-Federation.The article refers to configuring Azure AD for SAML-based single sign-on, but also works for configuring WS-Federation. Para poder continuar con este enfoque necesita una licencia Premium de Azure AD.Following this approach requires an Azure AD Premium license. Este enfoque tiene dos ventajas:This approach has two advantages:

  • Obtiene toda la flexibilidad de la personalización de tokens de Azure AD.You get the full flexibility of Azure AD token customization. Puede personalizar las notificaciones que emite Azure AD para que coincidan con las que emite Access Control.You can customize the claims that are issued by Azure AD to match the claims that are issued by Access Control. Esta opción incluye especialmente la notificación del id. de usuario o del identificador de nombre.This especially includes the user ID or Name Identifier claim. Para continuar recibiendo identificadores de usuario consistentes de todos sus usuarios una vez haya cambiado de tecnología, debe asegurarse de que los id. de usuario que emita Azure AD coincidan con los que emita Access Control.To continue to receive consistent user IDentifiers for your users after you change technologies, ensure that the user IDs issued by Azure AD match those issued by Access Control.
  • Puede configurar un certificado de firma de tokens específico para su aplicación y cuya vigencia controle.You can configure a token-signing certificate that is specific to your application, and with a lifetime that you control.

Nota

Para poder continuar con este enfoque necesita una licencia Premium de Azure AD.This approach requires an Azure AD Premium license. Si es un cliente de Access Control y necesita una licencia Premium para configurar el inicio de sesión único de una aplicación, póngase en contacto con nosotros.If you are an Access Control customer and you require a premium license for setting up single-sign on for an application, contact us. Estaremos encantados de proporcionarle licencias de desarrollador.We'll be happy to provide developer licenses for you to use.

Una solución alternativa es seguir este código de ejemplo que ofrece instrucciones ligeramente diferentes acerca de cómo configurar WS-Federation.An alternative approach is to follow this code sample, which gives slightly different instructions for setting up WS-Federation. Este ejemplo de código no usa WIF, sino el middleware OWIN de ASP.NET 4.5.This code sample does not use WIF, but rather, the ASP.NET 4.5 OWIN middleware. Sin embargo, las instrucciones para el registro de la aplicación son válidas para las aplicaciones que usan WIF y no requieren una licencia Premium de Azure AD.However, the instructions for app registration are valid for apps using WIF, and don't require an Azure AD Premium license.

Si elige esta solución, debe entender la sustitución de claves de firma de Azure AD.If you choose this approach, you need to understand signing key rollover in Azure AD. Esta solución usa la clave de firma global de Azure AD para emitir tokens.This approach uses the Azure AD global signing key to issue tokens. De forma predeterminada, WIF no actualiza automáticamente las claves de firma.By default, WIF does not automatically refresh signing keys. Cuando Azure AD rota sus claves de firma globales, la implementación de WIF debe estar preparada para aceptar los cambios.When Azure AD rotates its global signing keys, your WIF implementation needs to be prepared to accept the changes. Para más información, consulte Sustitución de claves de firma de Azure Active Directory.For more information, see Important information about signing key rollover in Azure AD.

Si puede realizar la integración con Azure AD a través de los protocolos de OpenID Connect u OAuth, se recomienda hacerlo.If you can integrate with Azure AD via the OpenID Connect or OAuth protocols, we recommend doing so. Tenemos una extensa documentación y guías sobre cómo integrar Azure AD en una aplicación web; están disponibles en nuestra Guía del desarrollador de Azure AD.We have extensive documentation and guidance about how to integrate Azure AD into your web application available in our Azure AD developer guide.

Migrar a Azure Active Directory B2CMigrate to Azure Active Directory B2C

La otra forma de migración que hay que tener en cuenta es B2C de Azure AD.The other migration path to consider is Azure AD B2C. Azure AD B2C es un servicio de autenticación en la nube que, de modo similar a Access Control, permite a los desarrolladores externalizar la lógica de administración de identidades y la autenticación a un servicio en la nube.Azure AD B2C is a cloud authentication service that, like Access Control, allows developers to outsource their authentication and identity management logic to a cloud service. Es un servicio de pago (con niveles Premium y gratuito) diseñado para aquellas aplicaciones orientadas al cliente que pueden tener hasta millones de usuarios activos.It's a paid service (with free and premium tiers) that is designed for consumer-facing applications that might have up to millions of active users.

Al igual que Access Control, una de las características más atractivas de Azure AD B2C es que admite muchos tipos diferentes de cuentas.Like Access Control, one of the most attractive features of Azure AD B2C is that it supports many different types of accounts. Gracias a Azure AD B2C, los usuarios pueden iniciar sesión mediante una cuenta de Microsoft, Facebook, Google, LinkedIn, GitHub o Yahoo entre otras.With Azure AD B2C, you can sign in users by using their Microsoft account, or Facebook, Google, LinkedIn, GitHub, or Yahoo accounts, and more. Además, Azure AD B2C admite "cuentas locales" o nombres de usuario y contraseñas que los usuarios crean específicamente para la aplicación.Azure AD B2C also supports "local accounts," or username and passwords that users create specifically for your application. Azure AD B2C también proporciona una amplia extensibilidad que puede usar para personalizar los flujos de inicio de sesión.Azure AD B2C also provides rich extensibility that you can use to customize your sign-in flows.

Sin embargo, Azure AD B2C no es compatible con la amplitud de protocolos de autenticación y formatos de token que pueden necesitar los clientes de Access Control.However, Azure AD B2C doesn't support the breadth of authentication protocols and token formats that Access Control customers might require. Tampoco se puede usar Azure AD B2C para obtener tokens y consultar información adicional sobre el usuario del proveedor de identidad, Microsoft o de otro modo.You also can't use Azure AD B2C to get tokens and query for additional information about the user from the identity provider, Microsoft or otherwise.

En la siguiente tabla se comparan las características de Access Control pertinentes a las aplicaciones web, con aquellas que están disponibles en Azure AD B2C.The following table compares the features of Access Control that are relevant to web applications with those that are available in Azure AD B2C. En general, B2C de Azure AD es, probablemente, la elección correcta para la migración si su aplicación está orientada hacia el consumidor, o si admite muchos tipos diferentes de cuentas.At a high level, Azure AD B2C is probably the right choice for your migration if your application is consumer facing, or if it supports many different types of accounts.

CapacidadCapability Soporte técnico de Access ControlAccess Control support Compatibilidad de Azure AD B2CAzure AD B2C support
Tipos de cuentasTypes of accounts
Cuentas educativas o profesionales de MicrosoftMicrosoft work or school accounts CompatibleSupported Compatible a través de directivas personalizadasSupported via custom policies
Cuentas de Windows Server Active Directory y AD FSAccounts from Windows Server Active Directory and AD FS Compatible a través de la federación directa con AD FSSupported via direct federation with AD FS Compatible a través de federación de SAML mediante directivas personalizadasSupported via SAML federation by using custom policies
Cuentas desde otros sistemas de administración de identidades empresarialesAccounts from other enterprise identity management systems Compatible a través de la federación directa mediante WS-FederationSupported via direct federation through WS-Federation Compatible a través de federación de SAML mediante directivas personalizadasSupported via SAML federation by using custom policies
Cuentas de Microsoft para uso personalMicrosoft accounts for personal use CompatibleSupported CompatibleSupported
Cuentas de Facebook, Google, YahooFacebook, Google, Yahoo accounts CompatibleSupported Facebook y Google se admiten de forma nativa, Yahoo se admite a través de la federación de OpenID Connect mediante directivas personalizadas.Facebook and Google supported natively, Yahoo supported via OpenID Connect federation by using custom policies
Compatibilidad con el SDK y protocolosProtocols and SDK compatibility
Windows Identity Foundation (WIF)Windows Identity Foundation (WIF) CompatibleSupported No compatibleNot supported
El certificado del proveedor de identidades de WS-FederationWS-Federation CompatibleSupported No compatibleNot supported
OAuth 2.0OAuth 2.0 Soporte para Draft 13Support for Draft 13 Compatibilidad con RFC 6749, la especificación más moderna.Support for RFC 6749, the most modern specification
WS-TrustWS-Trust CompatibleSupported No compatibleNot supported
Formatos de tokensToken formats
JWTJWT Compatible en versión betaSupported In Beta CompatibleSupported
SAML 1.1SAML 1.1 CompatibleSupported No compatibleNot supported
SAML 2.0SAML 2.0 CompatibleSupported No compatibleNot supported
SWTSWT CompatibleSupported No compatibleNot supported
PersonalizacionesCustomizations
UI de selección de cuenta o detección de dominio de inicio personalizableCustomizable home realm discovery/account-picking UI Código descargable que se puede incorporar en las aplicacionesDownloadable code that can be incorporated into apps Interfaz de usuario totalmente personalizable a través de CSS personalizadasFully customizable UI via custom CSS
Carga de certificados de firma de tokens personalizadosUpload custom token-signing certificates CompatibleSupported Las claves de firma personalizadas, no los certificados, se admiten a través de directivas personalizadasCustom signing keys, not certificates, supported via custom policies
Personalización de notificaciones en tokensCustomize claims in tokens - Paso a través de notificaciones de entrada desde proveedores de identidad- Pass through input claims from identity providers
- Obtención de token de acceso del proveedor de identidades como una notificación- Get access token from identity provider as a claim
- Emisión de notificaciones de salida basadas en valores de las notificaciones de entrada- Issue output claims based on values of input claims
- Emisión de notificaciones de salida con valores constantes- Issue output claims with constant values
- Puede pasar a través de notificaciones de proveedores de identidad; directivas personalizadas necesarias para algunas notificaciones- Can pass through claims from identity providers; custom policies required for some claims
- No se puede obtener el token de acceso del proveedor de identidades como una notificación- Cannot get access token from identity provider as a claim
- No se pueden emitir notificaciones de salida según los valores de las notificaciones de entrada a través de directivas personalizadas- Can issue output claims based on values of input claims via custom policies
- Se pueden emitir notificaciones de salida con valores constantes a través de directivas personalizadas- Can issue output claims with constant values via custom policies
AutomationAutomation
Automatización de las tareas de configuración y administraciónAutomate configuration and management tasks Compatible a través del servicio de administración de Access ControlSupported via Access Control Management Service - Creación de usuarios permitidos mediante Microsoft Graph API- Creation of users allowed using the Microsoft Graph API
- No se pueden crear mediante programación las directivas, las aplicaciones ni los inquilinos de B2C- Cannot create B2C tenants, applications, or policies programmatically

Si decide que Azure AD B2C es la forma adecuada para migrar sus aplicaciones y servicios, debe comenzar con los recursos siguientes:If you decide that Azure AD B2C is the best migration path for your applications and services, begin with the following resources:

Migrar a la identidad de Ping o Auth0Migrate to Ping Identity or Auth0

En algunos casos, es posible que Azure AD y Azure AD B2C no sean suficientes para reemplazar Access Control en las aplicaciones web sin tener que realizar cambios importantes en el código.In some cases, you might find that Azure AD and Azure AD B2C aren't sufficient to replace Access Control in your web applications without making major code changes. Algunos ejemplos comunes pueden incluir:Some common examples might include:

  • Aplicaciones web que usen WIF o WS-Federation para el inicio de sesión con proveedores de identidades sociales como Google o Facebook.Web applications that use WIF or WS-Federation for sign-in with social identity providers such as Google or Facebook.
  • Aplicaciones web que realicen una federación directa a un proveedor de identidades de empresa mediante el protocolo WS-Federation.Web applications that perform direct federation to an enterprise identity provider over the WS-Federation protocol.
  • Aplicaciones web que requieren el token de acceso que emite un proveedor de identidades sociales (como Google o Facebook) como una notificación en los tokens que emite Access Control.Web applications that require the access token issued by a social identity provider (such as Google or Facebook) as a claim in the tokens issued by Access Control.
  • Aplicaciones web con reglas complejas de transformación de tokens que Azure AD o Azure AD B2C no pueden reproducir.Web applications with complex token transformation rules that Azure AD or Azure AD B2C can't reproduce.
  • Aplicaciones web de varios inquilinos que utilizan ACS para administrar de forma centralizada la federación de varios proveedores de identidades.Multi-tenant web applications that use ACS to centrally manage federation to many different identity providers

En estos casos, conviene considerar la posibilidad de migrar la aplicación web a otro servicio de autenticación en la nube.In these cases, you might want to consider migrating your web application to another cloud authentication service. Le recomendamos que tenga en cuenta las opciones siguientes.We recommend exploring the following options. Cada una de ellas ofrece capacidades similares a Access Control:Each of the following options offer capabilities similar to Access Control:

Esta imagen muestra el logotipo de Auth0

Auth0 es un servicio de identidad en la nube flexible que ha creado una guía de migración de alto nivel para los clientes de Access Control y es compatible con casi todas las características de ACS.Auth0 is a flexible cloud identity service that has created high-level migration guidance for customers of Access Control, and supports nearly every feature that ACS does.

Esta imagen muestra el logotipo de Ping Identity

La identidad de Ping le ofrece dos soluciones similares a ACS.Ping Identity offers two solutions similar to ACS. PingOne es un servicio de identidad en la nube que admite muchas de las características de ACS, mientras que PingFederate es un producto de identidad local similar que ofrece más flexibilidad.PingOne is a cloud identity service that supports many of the same features as ACS, and PingFederate is a similar on premises identity product that offers more flexibility. Si quiere obtener más detalles acerca de cómo usar estos productos, consulte Ping's ACS retirement guidance (Guía de retirada de ACS de Ping).Refer to Ping's ACS retirement guidance for more details on using these products.

Nuestro objetivo al trabajar con la identidad de Ping y Auth0 es asegurarnos de que todos los clientes de Access Control tengan una ruta de migración que minimice la cantidad de trabajo necesario para mover las aplicaciones y servicios de Access Control.Our aim in working with Ping Identity and Auth0 is to ensure that all Access Control customers have a migration path for their apps and services that minimizes the amount of work required to move from Access Control.

Servicios web que usan la autenticación activaWeb services that use active authentication

Access Control ofrece las siguientes características y funcionalidades para los servicios web que están protegidos con tokens que el mismo Access Control emitió:For web services that are secured with tokens issued by Access Control, Access Control offers the following features and capabilities:

  • La capacidad de registrar una o varias identidades de servicio en el espacio de nombres de Access Control.Ability to register one or more service identities in your Access Control namespace. Las identidades de servicio se pueden usar para solicitar tokens.Service identities can be used to request tokens.
  • Compatibilidad con los protocolos OAuth WRAP y OAuth 2.0 Draft 13 para solicitar tokens mediante los siguientes tipos de credenciales:Support for the OAuth WRAP and OAuth 2.0 Draft 13 protocols for requesting tokens, by using the following types of credentials:
    • Una contraseña sencilla creada para la identidad del servicio.A simple password that's created for the service identity
    • Un SWT firmado mediante una clave simétrica o un certificado X509.A signed SWT by using a symmetric key or X509 certificate
    • Un token SAML que emitió un proveedor de identidad de confianza (normalmente una instancia de AD FS).A SAML token issued by a trusted identity provider (typically, an AD FS instance)
  • Compatibilidad con los siguientes formatos de token: JWT, SAML 1.1, SAML 2.0 y SWT.Support for the following token formats: JWT, SAML 1.1, SAML 2.0, and SWT.
  • Reglas simples de transformación de token.Simple token transformation rules.

Las identidades de servicio de Access Control se suelen usar para implementar la autenticación de servidor a servidor (S2S).Service identities in Access Control are typically used to implement server-to-server authentication.

Migración a Azure Active DirectoryMigrate to Azure Active Directory

Nuestra recomendación para este tipo de flujo de autenticación es migrar a Azure Active Directory.Our recommendation for this type of authentication flow is to migrate to Azure Active Directory. Azure AD es el proveedor de identidades basado en la nube de cuentas profesionales o educativas de Microsoft.Azure AD is the cloud-based identity provider for Microsoft work or school accounts. Azure AD es el proveedor de identidades para Office 365, Azure y muchos servicios más.Azure AD is the identity provider for Office 365, Azure, and much more.

Asimismo, también puede utilizar Azure AD para realizar la autenticación de un servidor a otro mediante la implementación de Azure AD para la concesión de credenciales de cliente OAuth.You can also use Azure AD for server-to-server authentication by using the Azure AD implementation of the OAuth client credentials grant. En la tabla siguiente se comparan las funcionalidades de Access Control en la autenticación de servidor a servidor, con aquellas que están disponibles en Azure AD.The following table compares the capabilities of Access Control in server-to-server authentication with those that are available in Azure AD.

CapacidadCapability Soporte técnico de Access ControlAccess Control support Soporte técnico de Azure ADAzure AD support
Procedimiento para registrar un servicio webHow to register a web service Crear un usuario de confianza en el portal de administración de Access ControlCreate a relying party in the Access Control management portal Crear una aplicación web de Azure AD en Azure PortalCreate an Azure AD web application in the Azure portal
Procedimiento de registro de un clienteHow to register a client Crear una identidad de servicio en el portal de administración de Access ControlCreate a service identity in Access Control management portal Crear otra aplicación web de Azure AD en Azure PortalCreate another Azure AD web application in the Azure portal
Protocolo usadoProtocol used - Protocolo WRAP de OAuth- OAuth WRAP protocol
- Concesión de credenciales del cliente de OAuth 2.0 Draft 13- OAuth 2.0 Draft 13 client credentials grant
Concesión de credenciales del cliente de OAuth 2.0OAuth 2.0 client credentials grant
Métodos de autenticación del clienteClient authentication methods - Contraseña simple- Simple password
- SWT firmado- Signed SWT
- Token SAML del proveedor de identidades federadas- SAML token from a federated identity provider
- Contraseña simple- Simple password
- SWT firmado- Signed JWT
Formatos de tokensToken formats - JWT- JWT
- SAML 1.1- SAML 1.1
- SAML 2.0- SAML 2.0
- SWT- SWT
Solo JWTJWT only
Transformación de tokenToken transformation - Incorporación de notificaciones personalizadas- Add custom claims
- Lógica de emisión de notificaciones if-then simple- Simple if-then claim issuance logic
Incorporación de notificaciones personalizadasAdd custom claims
Automatización de las tareas de configuración y administraciónAutomate configuration and management tasks Compatible a través del servicio de administración de Access ControlSupported via Access Control Management Service Compatible mediante Microsoft Graph APISupported using the Microsoft Graph API

Para obtener información sobre escenarios de implementación entre servidores, consulte los siguientes recursos:For guidance about implementing server-to-server scenarios, see the following resources:

Migrar a la identidad de Ping o Auth0Migrate to Ping Identity or Auth0

En algunos casos, es posible que las credenciales del cliente de Azure AD y la concesión de implementación de OAuth no sean suficientes para reemplazar Access Control en la arquitectura sin tener que realizar cambios importantes en el código.In some cases, you might find that the Azure AD client credentials and the OAuth grant implementation aren't sufficient to replace Access Control in your architecture without major code changes. Algunos ejemplos comunes pueden incluir:Some common examples might include:

  • Autenticación de servidor a servidor mediante formatos de token distintos de los JWT.Server-to-server authentication using token formats other than JWTs.
  • Autenticación de servidor a servidor mediante un token de entrada que proporciona un proveedor de identidades externo.Server-to-server authentication using an input token provided by an external identity provider.
  • Autenticación de servidor a servidor con las reglas de transformación de tokens que Azure AD no puede reproducir.Server-to-server authentication with token transformation rules that Azure AD cannot reproduce.

En estos casos, conviene considerar la posibilidad de migrar la aplicación web a otro servicio de autenticación en la nube.In these cases, you might consider migrating your web application to another cloud authentication service. Le recomendamos que tenga en cuenta las opciones siguientes.We recommend exploring the following options. Cada una de ellas ofrece capacidades similares a Access Control:Each of the following options offer capabilities similar to Access Control:

Esta imagen muestra el logotipo de Auth0

Auth0 es un servicio de identidad en la nube flexible que ha creado una guía de migración de alto nivel para los clientes de Access Control y es compatible con casi todas las características de ACS.Auth0 is a flexible cloud identity service that has created high-level migration guidance for customers of Access Control, and supports nearly every feature that ACS does.

Esta imagen muestra el logotipo de la identidad de Ping La identidad de Ping ofrece dos soluciones similares a ACS.This image shows the Ping Identity logo Ping Identity offers two solutions similar to ACS. PingOne es un servicio de identidad en la nube que admite muchas de las características de ACS, mientras que PingFederate es un producto de identidad local similar que ofrece más flexibilidad.PingOne is a cloud identity service that supports many of the same features as ACS, and PingFederate is a similar on premises identity product that offers more flexibility. Si quiere obtener más detalles acerca de cómo usar estos productos, consulte Ping's ACS retirement guidance (Guía de retirada de ACS de Ping).Refer to Ping's ACS retirement guidance for more details on using these products.

Nuestro objetivo al trabajar con la identidad de Ping y Auth0 es asegurarnos de que todos los clientes de Access Control tengan una ruta de migración que minimice la cantidad de trabajo necesario para mover las aplicaciones y servicios de Access Control.Our aim in working with Ping Identity and Auth0 is to ensure that all Access Control customers have a migration path for their apps and services that minimizes the amount of work required to move from Access Control.

Autenticación de paso a travésPassthrough authentication

Para la autenticación de paso a través con la transformación de tokens arbitraria, no hay ninguna tecnología de Microsoft equivalente a ACS.For passthrough authentication with arbitrary token transformation, there is no equivalent Microsoft technology to ACS. Si eso es lo que necesitan los clientes, Auth0 puede que sea quien proporciona la solución de aproximación más cercana.If that is what your customers need, Auth0 might be the one who provides the closest approximation solution.

Preguntas, problemas y comentariosQuestions, concerns, and feedback

Somos conscientes de que muchos clientes de Access Control no encontrarán una ruta de acceso de migración clara después de leer este artículo.We understand that many Access Control customers won't find a clear migration path after reading this article. Es posible que necesite un poco más de ayuda para poder determinar el plan correcto que debe seguir.You might need some assistance or guidance in determining the right plan. Si desea analizar los escenarios de migración y otras cuestiones, deje un comentario en esta página.If you would like to discuss your migration scenarios and questions, please leave a comment on this page.