Alkalmazáshitelesítés áthelyezése Azure Active Directory

Azure Active Directory (Azure AD) egy univerzális identitásplatformot kínál, amely egyetlen identitást biztosít a felhasználók, partnerek és ügyfelek számára az alkalmazások eléréséhez és az együttműködéshez bármilyen platformról és eszközről. Az Azure AD teljes körű identitáskezelési képességekkel rendelkezik. Ezeket az előnyöket az alkalmazás hitelesítésének és az Azure AD-beli engedélyezésnek a szabványosítása biztosítja.

Tipp

Ez a cikk fejlesztői közönség számára íródott. Project alkalmazás Azure AD-be való áthelyezését tervező cégvezetőknek és rendszergazdáknak érdemes megfontolni az Alkalmazáshitelesítés áttelepítése az Azure AD-be.

Az Azure AD előnyei

Ha olyan helyszíni címtára van, amely felhasználói fiókokat tartalmaz, valószínűleg számos olyan alkalmazása van, amelyhez a felhasználók hitelesítik magukat. Ezek az alkalmazások úgy vannak konfigurálva, hogy a felhasználók az identitásuk használatával férnek hozzá.

A felhasználók közvetlenül is hitelesíthetnek a helyi Active Directory. Active Directory összevonási szolgáltatások (AD FS) (AD FS) egy szabványalapú helyszíni identitásszolgáltatás. Kibővíti az egyszeri bejelentkezés (SSO) funkció használatát a megbízható üzleti partnerek között, így a felhasználóknak nem kell külön bejelentkezniük az egyes alkalmazásokba. Ezt összevont identitásnak nevezik.

Számos szervezet a szolgáltatott szoftverekkel (SaaS) vagy az egyéni üzletági alkalmazásokkal közvetlenül az AD FS-hoz van összecsatolva, Microsoft 365 Azure AD-alapú alkalmazások mellett.

Közvetlenül a helyszínen csatlakoztatott alkalmazások

Fontos

Az alkalmazásbiztonság növelése érdekében a cél az, hogy egyetlen hozzáférés-vezérlési és szabályzatkészlet legyen elérhető a helyszíni és a felhőalapú környezetekben.

Az Azure AD-ről csatlakoztatott alkalmazások

Az átemelni szükséges alkalmazások típusai

Az összes alkalmazáshitelesítés Azure AD-be való áttelepítése optimális, mivel egyetlen vezérlősíkot biztosít az identitás- és hozzáférés-kezeléshez.

Az alkalmazások modern vagy régi protokollokat használhatnak a hitelesítéshez. Amikor az Azure AD-be való migrálást tervezi, fontolja meg a modern hitelesítési protokollokat (például SAML és Open ID Csatlakozás) felhasználó alkalmazások migrálását. Ezek az alkalmazások újrakonfigurálhatóak az Azure AD-val való hitelesítésre az Azure App Gallery beépített összekötőivel vagy az alkalmazás Azure AD-ben való regisztrálásával. A régebbi protokollokat használó alkalmazások integrálhatók a alkalmazásproxy.

További információkért lásd:

A migrálási folyamat

Az alkalmazáshitelesítés Azure AD-be való áthelyezésének folyamata során tesztelje az alkalmazásokat és a konfigurációt. Javasoljuk, hogy az éles környezetbe való áttéréskor továbbra is használja a meglévő tesztkörnyezeteket a migrálási teszteléshez. Ha a tesztkörnyezet jelenleg nem érhető el, az alkalmazás architektúrája Azure App Service azure Virtual Machineshasználatával állíthat be egyet.

Dönthet úgy, hogy külön Teszt Azure AD-bérlőt hoz létre az alkalmazáskonfigurációk fejlesztéséhez.

A migrálási folyamat a következő lehet:

1. fázis – Aktuális állapot: Az éles alkalmazás hitelesíti magát a AD FS

1. migrálási fázis

2. fázis – (nem kötelező) Az alkalmazás tesztpéldányának mutatás a teszt Azure AD-bérlőre

Frissítse a konfigurációt úgy, hogy az alkalmazás tesztpéldányát egy teszt Azure AD-bérlőre mutasson, és el is készítse a szükséges módosításokat. Az alkalmazás tesztelheti a teszt Azure AD-bérlő felhasználóival. A fejlesztési folyamat során olyan eszközökkel hasonlíthatja össze és ellenőrizheti a kéréseket és válaszokat, mint a Fiddler.

Ha nem lehetséges külön tesztbérlőt beállítani, hagyja ki ezt a szakaszt, és mutasson az alkalmazás tesztpéldányára az éles Azure AD-bérlőre az alábbi 3. szakaszban leírtak szerint.

2. migrálási szakasz

3. fázis – Az alkalmazás tesztpéldányának mutatás az éles Azure AD-bérlőre

Frissítse a konfigurációt úgy, hogy az alkalmazás tesztpéldányát az éles Azure AD-bérlőre mutasson. Most már tesztelhet az éles bérlő felhasználóival. Ha szükséges, tekintse át a cikk a felhasználók áttűnését ismertető szakaszát.

3. migrálási fázis

4. fázis – Az éles alkalmazás az éles Azure AD-bérlőre mutat

Frissítse az éles alkalmazás konfigurációját úgy, hogy az éles Azure AD-bérlőre mutasson.

4. migrálási fázis

A hitelesítést AD FS alkalmazások Active Directory csoportokat használhatnak az engedélyekhez. Az Azure AD Csatlakozás szinkronizálásával szinkronizálhatja az identitásadatokat a helyszíni környezet és az Azure AD között a migrálás megkezdése előtt. A migrálás előtt ellenőrizze ezeket a csoportokat és tagságot, hogy hozzáférést biztosítson ugyanazoknak a felhasználóknak az alkalmazás áttelepítésekor.

Üzletági alkalmazások

Üzletági alkalmazásai azok, amelyek a szervezet által kifejlesztettek, vagy amelyek szabványos csomagolt termékek. Ilyenek például az Identity Foundationre Windows alkalmazások és SharePoint (nem az SharePoint Online).

Az OAuth 2.0-t, OpenID Csatlakozás-t vagy WS-Federation-t használó üzletági alkalmazások alkalmazásregisztrációként integrálhatók az Azure AD-be. Az SAML 2.0-t vagy WS-Federation alkalmazásokat nem katalógusbeli alkalmazásként használva integrálhatja a vállalati alkalmazások lapját a Azure Portal.

SAML-alapú egyszeri bejelentkezés

Az SAML 2.0-s hitelesítést használni képes alkalmazások SAML-alapú egyszeri bejelentkezéshez (SSO) konfigurálhatóak. Az SAML-alapú SSO-val a felhasználókat az SAML-jogcímekben meghatározott szabályok alapján adott alkalmazás-szerepkörökhöz lehet leképezni.

SaaS-alkalmazás SAML-alapú egyszeri bejelentkezéshez való konfigurálásához lásd: Rövid útmutató: SAML-alapúegyszeri bejelentkezés beállítása.

Az SSO SAML felhasználói képernyőképei

Számos SaaS-alkalmazás alkalmazásspecifikus oktatóanyagot is kínál, amely végigveszi Az SAML-alapú SSO konfigurációjának lépései.

alkalmazás oktatóanyaga

Egyes alkalmazások migrálása egyszerű. Az összetettebb követelményekkel (például egyéni jogcímekkel) kapcsolatos alkalmazásokhoz további konfigurációra lehet szükség az Azure AD-ban és/vagy az Azure AD-Csatlakozás. A támogatott jogcím-leképezésekkel kapcsolatos információkért lásd: How to: Customize claimsmitted in tokens for a specific app in a tenant (Preview) (Abérlő egy adott alkalmazásához kibocsátott jogcímek testreszabása (előzetes verzió) ).

Az attribútumok leképezésekor tartsa szem előtt az alábbi korlátozásokat:

  • Az Azure AD-AD FS nem minden kibocsátható attribútum az SAML-jogkivonatok számára kibocsátott attribútumként, még akkor sem, ha ezek az attribútumok szinkronizálva vannak. Az attribútum szerkesztésekor az Érték legördülő lista megjeleníti az Azure AD-ban elérhető különböző attribútumokat. Ellenőrizze az Azure AD Csatlakozás-szinkronizálási témakörök konfigurációját, és győződjön meg arról, hogy a szükséges attribútum (például samAccountName) szinkronizálva van-e az Azure AD-be. A bővítményattribútumokkal olyan jogcímeket bocsáthat ki, amelyek nem részei az Azure AD szabványos felhasználói sémának.
  • A leggyakoribb forgatókönyvekben csak a NameID jogcím és egyéb általános felhasználóazonosító jogcímek szükségesek az alkalmazáshoz. Annak megállapításához, hogy szükség van-e további jogcímre, vizsgálja meg, milyen jogcímeket ad ki a AD FS.
  • Nem minden jogcímet lehet kiállítani, mert egyes jogcímek az Azure AD-ban vannak védve.
  • A titkosított SAML-jogkivonatok használatának lehetősége jelenleg előzetes verzióban érhető el. Lásd: How to: customize claims issued in the SAML token for enterprise applications (Az SAML-jogkivonatban kibocsátott jogcímek testreszabása vállalati alkalmazásokhoz).

Szolgáltatott szoftver (SaaS) alkalmazások

Ha a felhasználók SaaS-alkalmazásokba (például Salesforce, ServiceNow vagy Workday) jelentkeznek be, és integrálva vannak az AD FS-val, összevont bejelentkezést használ SaaS-alkalmazásokhoz.

A legtöbb SaaS-alkalmazás konfigurálható az Azure AD-ban. A Microsoft számos előre konfigurált kapcsolatot biztosít az SaaS-alkalmazásokhoz az Azure ADalkalmazáskatatárban, ami megkönnyíti az áttérést. Az SAML 2.0-alkalmazások az Azure AD alkalmazásgyűjteményen keresztül vagy nem katalógusbeli alkalmazásként integrálhatók az Azure AD-be.

Az OAuth 2.0-t vagy OpenID-t Csatlakozás alkalmazások alkalmazásregisztrációként hasonló módon integrálhatók az Azure AD-be. Az örökölt protokollokat használó alkalmazások az Azure AD-alkalmazásproxy az Azure AD-val való hitelesítéshez.

Az SaaS-alkalmazások felvételekor bármilyen probléma esetén forduljon az SaaS-alkalmazásintegráció támogatási aliasához.

SAML-aláíró tanúsítványok SSO-hez

Az aláíró tanúsítványok minden SSO-telepítés fontos részét képezi. Az Azure AD létrehozza az aláíró tanúsítványokat, hogy SAML-alapú összevont SSO-t hozzon létre az SaaS-alkalmazások számára. Miután hozzáadta a katalógusban vagy a nem katalógusban található alkalmazásokat, az összevont SSO beállítással konfigurálhatja a hozzáadott alkalmazást. Lásd: Összevont egyszeri bejelentkezés tanúsítványainak kezelése az Azure Active Directoryban.

SAML-jogkivonat titkosítása

A AD FS és az Azure AD is jogkivonat-titkosítást biztosít – az alkalmazásokhoz használt SAML biztonsági helyességi feltétel titkosításának képessége. A helyességi feltételt egy nyilvános kulccsal titkosítja, és a fogadó alkalmazás visszafejti a megfelelő titkos kulccsal. A jogkivonatok titkosításának konfigurálásakor X.509-tanúsítványfájlokat tölt fel a nyilvános kulcsokhoz.

Az Azure AD SAML-jogkivonatok titkosításának és konfigurálásának további információiért lásd: How to: Configure Azure AD SAML token encryption (Az Azure AD SAML-jogkivonattitkosításának konfigurálása).

Megjegyzés

A jogkivonat-titkosítás egy Azure Active Directory (Azure AD) prémium szintű szolgáltatás. További információ az Azure AD kiadásairól, funkcióiról és díjszabásról: Az Azure AD díjszabása.

Ma áthelyezható alkalmazások és konfigurációk

Az egyszerűen áthelyezhető alkalmazások közé tartozik az SAML 2.0-alkalmazások is, amelyek a konfigurációs elemek és jogcímek szabványos készletét használják. Ezek a standard elemek a következőek:

  • Felhasználó egyszerű neve
  • E-mail-cím
  • Utónév
  • vezetéknév;
  • Az SAML NameID-ként használt alternatív attribútum, például az Azure AD Mail attribútum, a Mail előtag, az alkalmazott azonosítója, az 1-15 bővítményattribútumok vagy a helyszíni SamAccountName. További információkat itt talál: A NameIdentifier jogcím szerkesztése.
  • Egyéni jogcímek.

A következők további konfigurációs lépéseket igényelnek az Azure AD-be való áttelepítéshez:

  • Egyéni hitelesítési vagy többtényezős hitelesítési (MFA-) szabályok AD FS. Ezeket az Azure AD feltételes hozzáférés funkcióval konfigurálhatja.
  • Több válasz URL-végponttal rendelkező alkalmazások. Ezeket az Azure AD-ban a PowerShell vagy a Azure Portal használatával konfigurálhatja.
  • A WS-Federationt használó alkalmazások, például a SharePoint-alkalmazások, amelyek SAML 1.1-es verziójú jogkivonatot igényelnek. Ezeket manuálisan konfigurálhatja a PowerShell használatával. A katalógusban előre integrált általános sablont is SharePoint SAML 1.1-alkalmazásokhoz. Az SAML 2.0 protokollt támogatjuk.
  • Az összetett jogcímek kiállítása átalakítja a szabályokat. A támogatott jogcím-leképezésekkel kapcsolatos információkért lásd:

Az Azure AD-ben jelenleg nem támogatott alkalmazások és konfigurációk

Bizonyos képességeket igénylő alkalmazások jelenleg nem migrálhatóak.

Protokollképességek

Az alábbi protokollképességeket igénylő alkalmazások jelenleg nem migrálhatóak:

  • A WS-Trust ActAs minta támogatása

  • Az SAML-összetevő felbontása

  • Aláírt SAML-kérelmek aláírás-ellenőrzése

    Megjegyzés

    A rendszer elfogadja az aláírt kéréseket, de az aláírás nincs ellenőrizve.

    Mivel az Azure AD csak az alkalmazásban előre konfigurált végpontokra adja vissza a jogkivonatot, az aláírás-ellenőrzésre a legtöbb esetben valószínűleg nincs szükség.

Jogcímek a jogkivonat képességeiben

Az alábbi jogkivonat-képességeket igénylő alkalmazások jelenleg nem migrálhatóak.

  • Az attribútum jogcímeit nem az Azure AD-címtár tárolja, kivéve, ha az adatok szinkronizálva vannak az Azure AD-be. További információ: Az Azure AD synchronization API áttekintése.
  • Többértékes címtárattribútumok kiállítása. Jelenleg például nem lehet többértékű jogcímet kivinni a proxycímek számára.

Alkalmazásbeállítások leképezés AD FS Azure AD-be

A migráláshoz fel kell értékelni az alkalmazás helyszíni konfigurálási módszerét, majd ezt a konfigurációt az Azure AD-hez kell leképezni. Az AD FS és az Azure AD hasonlóan működik, így a megbízhatóság konfigurálásával, a bejelentkezési és kijelentkezési URL-címekkel és az azonosítókkal kapcsolatos fogalmak mindkettőre vonatkoznak. Dokumentálja AD FS alkalmazás konfigurációs beállításait, hogy könnyedén konfigurálni tudja őket az Azure AD-ban.

Alkalmazáskonfigurációs beállítások leképezés

Az alábbi táblázat a függő AD FS megbízhatósága és az Azure AD Enterprise Application közötti beállítások leggyakoribb leképezését ismerteti:

  • AD FS – Az alkalmazás függő AD FS megbízhatóságának beállítását. Kattintson a jobb gombbal a függő félre, és válassza a Tulajdonságok lehetőséget.
  • Azure AD – A beállítás az egyes Azure Portal SSO-tulajdonságaiban található beállításokon belül van konfigurálva.
Konfigurációs beállítás AD FS Konfigurálás az Azure AD-ban SAML-jogkivonat
Alkalmazás bejelentkezési URL-címe

Annak az URL-címnek az URL-címe, amely alapján a felhasználó bejelentkezik az alkalmazásba egy szolgáltató által kezdeményezett SAML-folyamatba.

N/A Alapszintű SAML-konfiguráció megnyitása SAML-alapú bejelentkezésből N/A
Alkalmazás válasz URL-címe

Az alkalmazás URL-címe az identitásszolgáltató (IdP) szempontjából. Az internetszolgáltató ide küldi a felhasználót és a jogkivonatot, miután a felhasználó bejelentkezett az internetszolgáltatóba. Ez más néven SAML helyességi feltétel fogyasztói végpontja.

Válassza a Végpontok lapot Alapszintű SAML-konfiguráció megnyitása SAML-alapú bejelentkezésből Az SAML-jogkivonat céleleme. Példaérték: https://contoso.my.salesforce.com
Alkalmazás kijelentkezési URL-címe

Ez az AZ URL-cím, amelyre a rendszer kijelentkezés-tisztítási kéréseket küld, amikor egy felhasználó kijelentkezik egy alkalmazásból. Az internetszolgáltató elküldi a felhasználót az összes többi alkalmazásból is kijelentkeztető kérést.

Válassza a Végpontok lapot Alapszintű SAML-konfiguráció megnyitása SAML-alapú bejelentkezésből N/A
Alkalmazásazonosító

Ez az alkalmazásazonosító az internetszolgáltató szemszögéből. Gyakran (de nem mindig) a bejelentkezési URL-cím az azonosító. Néha az alkalmazás ezt "entitásazonosítónak" nevezi.

Válassza az Azonosítók lapot Alapszintű SAML-konfiguráció megnyitása SAML-alapú bejelentkezésből Térképek SAML-jogkivonat Célközönség elemét.
Alkalmazás összevonási metaadatai

Ez az alkalmazás összevonási metaadatainak helye. Az identitásszolgáltató használja egyes konfigurációs beállítások, például a végpontok vagy a titkosítási tanúsítványok automatikus frissítéséhez.

Válassza a Figyelés lapot N/A. Az Azure AD nem támogatja az alkalmazás-összevonási metaadatok közvetlen alkalmazását. Az összevonási metaadatokat manuálisan is importálhatja. N/A
Felhasználói azonosító/névazonosító

A felhasználó identitását az Azure AD-ből vagy az AD FS-ből az alkalmazás felé egyértelműen azonosító attribútum. Ez az attribútum általában a felhasználó UPN-jét vagy e-mail-címét tartalmaz.

Jogcímszabályok. A legtöbb esetben a jogcímszabály olyan jogcímet ad ki, amely a NameIdentifier típusra végződik. Az azonosítót a Felhasználói attribútumok és jogcímek fejléc alatt találja. Alapértelmezés szerint a rendszer az UPN-t használja Térképek SAML-jogkivonat NameID elemét.
Egyéb jogcímek

Az internetszolgáltató által az alkalmazásnak gyakran küldött jogcíminformációk közé tartozik például a vezetéknév, a vezetéknév, az e-mail-cím és a csoporttagság.

Az AD FS-ben ez a függő entitásra vonatkozó egyéb jogcímszabályokként található meg. Az azonosítót a User Attributes (Felhasználói attribútumok) fejléc alatt, a Claims (Jogcímek) & találja. Válassza ki az Egyéb felhasználói attribútumok megtekintése és szerkesztése elemet. N/A

Identitásszolgáltató (IdP) beállításainak leképezása

Konfigurálja úgy az alkalmazásokat, hogy az Azure AD-AD FS az SSO-hoz. Itt az SAML protokollt használó SaaS-alkalmazásokra koncentrálunk. Ez a fogalom azonban az egyéni üzletági alkalmazásokra is kiterjed.

Megjegyzés

Az Azure AD konfigurációs értékei azt a mintát követik, amelyben az Azure-bérlő azonosítója lecseréli a {bérlőazonosító} azonosítót, az alkalmazásazonosító pedig az {alkalmazásazonosító} helyére. Ezt az információt a Tulajdonságok Azure Portal Azure Active Directory > találja:

  • A bérlőazonosítót a Címtár-azonosító kiválasztásával láthatja.
  • Az alkalmazásazonosítót az Alkalmazásazonosító kiválasztásával láthatja.

Magas szinten leképezi a következő kulcsfontosságú SaaS-alkalmazások konfigurációs elemeit az Azure AD-be.

Elem Konfigurációs érték
Identitásszolgáltató kibocsátója https: / /sts.windows.net/{bérlőazonosító}/
Identitásszolgáltató bejelentkezési URL-címe https://login.microsoftonline.com/{tenant-id}/saml2
Identitásszolgáltató kijelentkezésÉNEK URL-címe https://login.microsoftonline.com/{tenant-id}/saml2
Összevonási metaadatok helye https://login.windows.net/{tenant-id}/federationmetadata/2007-06/federationmetadata.xml?appid={application-id}

SaaS-alkalmazások SSO-beállításainak leképezés

Az SaaS-alkalmazásoknak szükségük van arra, hogy tudják, hová küldjék a hitelesítési kérelmeket, és hogyan érvényesítik a fogadott jogkivonatokat. Az alábbi táblázat ismerteti az alkalmazás SSO-beállításainak konfigurálásához szükséges elemeket, valamint azok értékeit és helyét a AD FS Azure AD-n belül

Konfigurációs beállítás AD FS Konfigurálás az Azure AD-ban
Az internetszolgáltató bejelentkezési URL-címe

Az internetszolgáltató bejelentkezési URL-címe az alkalmazás szemszögéből (ahol a rendszer átirányítja a felhasználót a bejelentkezéshez).

A AD FS URL-cím az összevonási AD FS neve, amelyet az "/adfs/ls/" követ.

Például: https://fs.contoso.com/adfs/ls/

Cserélje le a {tenant-id} helyére a bérlőazonosítóját.

SAML-P protokollt használó alkalmazások esetén: https://login.microsoftonline.com/{tenant-id}/saml2

A protokollt WS-Federation alkalmazások esetében: https://login.microsoftonline.com/{tenant-id}/wsfed

Az internetszolgáltató kijelentkező URL-címe

Az alkalmazás szempontjából az internetszolgáltató kijelentkező URL-címe (ahová a rendszer átirányítja a felhasználót, amikor kijelentkezik az alkalmazásból).

A kijelentkezés URL-címe vagy ugyanaz, mint a bejelentkezési URL-cím, vagy ugyanaz az URL-cím, a "wa=wsignout1.0" hozzáfűzve. Például: https://fs.contoso.com/adfs/ls/?wa=wsignout1.0 Cserélje le a {tenant-id} helyére a bérlőazonosítóját.

AZ SAML-P protokollt használva:

https://login.microsoftonline.com/{tenant-id}/saml2

A protokollt WS-Federation alkalmazások esetében: https://login.microsoftonline.com/common/wsfederation?wa=wsignout1.0

Jogkivonat-aláíró tanúsítvány

Az azonosító a tanúsítvány titkos kulcsát használja a kiállított jogkivonatok aláíráshoz. Igazolja, hogy a jogkivonat attól az identitásszolgáltatótól származik, amellyel az alkalmazás megbízhatósági kapcsolata konfigurálva van.

Az AD FS jogkivonat-aláíró tanúsítványa az AD FS-kezelőben a Tanúsítványok területen található. A következő fejlécben Azure Portal az alkalmazás egyszeri bejelentkezési tulajdonságai között, az SAML aláíró tanúsítvány fejléc alatt. Innen letöltheti a tanúsítványt, hogy feltöltse az alkalmazásba.

Ha az alkalmazás egynél több tanúsítvánnyal rendelkezik, az összes tanúsítványt megtalálja az összevonási metaadatok XML-fájljában.

Azonosító/ "kiállító"

Az idP azonosítója az alkalmazás szemszögéből (más néven kiállítóazonosító).

Az SAML-jogkivonatban az érték Kiállító elemként jelenik meg.

A szolgáltatás AD FS általában az összevonási szolgáltatás azonosítója az AD FS Management szolgáltatásban a Szolgáltatás > Szerkesztési összevonási szolgáltatás tulajdonságok alatt. Például: http://fs.contoso.com/adfs/services/trust Cserélje le a {tenant-id} helyére a bérlőazonosítóját.

https: / /sts.windows.net/{bérlőazonosító}/

Az internetszolgáltató összevonási metaadatai

Az azonosítószolgáltató nyilvánosan elérhető összevonási metaadatainak helye. (Az összevonási metaadatokat egyes alkalmazások alternatív megoldásként használják, hogy a rendszergazdának ne kelljen egyenként konfigurálnia az URL-címeket, azonosítókat és jogkivonat-aláíró tanúsítványokat.)

Keresse meg AD FS összevonási metaadatok URL-címét az AD FS Managementben a Szolgáltatásvégpont > metaadatok > metaadatok > típusa: Összevonási metaadatok alatt. Például: https://fs.contoso.com/FederationMetadata/2007-06/FederationMetadata.xml Az Azure AD megfelelő értéke a következő mintát https://login.microsoftonline.com/{TenantDomainName}/FederationMetadata/2007-06/FederationMetadata.xml követi: . Cserélje le a {TenantDomainName} helyére a bérlő nevét a következő formátumban: "contoso.onmicrosoft.com."

További információkat itt talál: Összevonási metaadatok.

A AD FS szabályzatok ábrázolása az Azure AD-ban

Az alkalmazáshitelesítés Azure AD-be való áthelyezéséhez hozzon létre leképezéseket a meglévő biztonsági szabályzatok alapján az Azure AD-ban elérhető egyenértékű vagy alternatív változatokra. Ha gondoskodik arról, hogy ezek a leképezések az alkalmazás tulajdonosai által előírt biztonsági szabványoknak megfelelően is lekértek, azzal jelentősen megkönnyíti az alkalmazás migrálásának többi részét.

Minden szabály példához megmutatjuk, hogyan néz ki a szabály AD FS, a AD FS nyelvnek megfelelő kód, és hogy ez hogyan lesz leképezve az Azure AD-be.

Engedélyezési szabályok leképezése

Az alábbiakban példákat talál az engedélyezési szabályok különböző típusaira a AD FS, és azok Azure AD-be való leképezése.

1. példa: Hozzáférés engedélye az összes felhasználó számára

Hozzáférés engedélye minden felhasználónak a AD FS:

A Set up Single Sign-On with SAML (Egyetlen alkalmazás beállítása SAML-sel) párbeszédpanel képernyőképe.

Ez az alábbi módszerek egyikével lesz leképezve az Azure AD-be:

  1. Állítsa a Felhasználó-hozzárendelés szükséges beállítását a Nemre.

    SaaS-alkalmazások hozzáférés-vezérlési szabályzatának szerkesztése

    Megjegyzés

    Ha a Felhasználó-hozzárendelés szükséges beállítást Igen értékre kell berakni, a felhasználóknak hozzá kell rendelniük az alkalmazáshoz a hozzáféréshez. Ha a Nem beállításra van állítva, minden felhasználó rendelkezik hozzáféréssel. Ez a kapcsoló nem azt szabályozhatja, hogy a felhasználók mit látnak a Saját alkalmazások felhasználói élményben.

  2. A Felhasználók és csoportok lapon rendelje hozzá az alkalmazást a Minden felhasználó automatikus csoporthoz. Ahhoz, hogy az alapértelmezett Minden felhasználó csoport elérhető legyen, engedélyeznie kell a dinamikus csoportokat az Azure AD-bérlőben.

    Saját SaaS-alkalmazások az Azure AD-ban

2. példa: Csoport explicit engedélyezése

Explicit csoportengedélyezési a AD FS:

A tartománygazdák jogcímszabályának Szabály szerkesztése párbeszédpanelét bemutató képernyőkép.

A szabály leképezés az Azure AD-be:

  1. A Azure Portal hozzon létre egy felhasználói csoportot, amely megfelel a felhasználók csoportjának a AD FS.

  2. Alkalmazásengedélyek hozzárendelése a csoporthoz:

    Hozzárendelés hozzáadása

3. példa: Adott felhasználó jogosultsága

Explicit felhasználói hitelesítés a AD FS:

Képernyőkép a Szabály szerkesztése párbeszédpanelről, amely az Elsődleges S ID bejövő jogcímtípussal megadott felhasználói jogcímszabály engedélyezése.

A szabály leképezés az Azure AD-be:

  • A Azure Portaladjon hozzá egy felhasználót az alkalmazáshoz az alkalmazás Hozzárendelés hozzáadása lapján az alábbi módon:

    Saját SaaS-alkalmazások az Azure-ban

Többtényezős hitelesítési szabályok leképezés

A Multi-Factor Authentication (MFA) és az AD FS helyszíni telepítése továbbra is működik a migrálás után, mivel a rendszer összevonta a AD FS. Érdemes lehet azonban áttérni az Azure beépített MFA-képességeire, amelyek az Azure AD feltételes hozzáférési munkafolyamataihoz kötődnek.

Az alábbiakban példákat talál az MFA-szabályok típusaira a AD FS, és hogy hogyan lehet leképezni őket az Azure AD-be különböző feltételek alapján.

MFA-szabálybeállítások a AD FS:

Képernyőkép az Azure A D feltételeiről a Azure Portal.

1. példa: MFA kényszerítés felhasználók/csoportok alapján

A felhasználók/csoportok választója egy olyan szabály, amely lehetővé teszi az MFA csoportonkénti (csoport biztonsági azonosító) vagy felhasználónkénti (elsődleges SID) alapján való kényszerítét. A felhasználók/csoportok hozzárendelései mellett az AD FS MFA-konfiguráció felhasználói felületének minden további jelölőnégyzete további szabályként működik, amelyek kiértékelése a felhasználókra/csoportokra vonatkozó szabály kényszerítése után történik.

MFA-szabályok megadása egy felhasználóhoz vagy csoporthoz az Azure AD-ban:

  1. Hozzon létre egy új feltételes hozzáférési szabályzatot.

  2. Válassza a Hozzárendelések lehetőséget. Adja hozzá a felhasználó(k)t vagy csoportokat, amelyekre érvényesíteni szeretné az MFA-t.

  3. Konfigurálja a Hozzáférés-vezérlési beállításokat az alábbiak szerint:

    Képernyőkép a Hozzáférés panelről, ahol hozzáférést adhat.

2. példa: MFA kényszerítve a nem regisztrált eszközökön

MFA-szabályok megadása nem regisztrált eszközökhöz az Azure AD-ban:

  1. Hozzon létre egy új feltételes hozzáférési szabályzatot.

  2. A Hozzárendelések beállításnál adja meg a Minden felhasználó halmazt.

  3. Konfigurálja a Hozzáférés-vezérlési beállításokat az alábbiak szerint:

    Képernyőkép az Engedély panelről, ahol hozzáférést adhat és egyéb korlátozásokat adhat meg.

Ha a Több vezérlőhöz beállítást a Kijelölt vezérlők egyikének megkövetelését választja, az azt jelenti, hogy ha a felhasználó a jelölőnégyzetben megadott feltételek bármelyikének teljesül, a felhasználó hozzáférést kap az alkalmazáshoz.

3. példa: MFA kényszerítés hely alapján

MFA-szabályok megadása a felhasználó helye alapján az Azure AD-ban:

  1. Hozzon létre egy új feltételes hozzáférési szabályzatot.

  2. A Hozzárendelések beállításnál adja meg a Minden felhasználó halmazt.

  3. Elnevezett helyek konfigurálása az Azure AD-ban. Ellenkező esetben a vállalati hálózaton belüli összevonás megbízható.

  4. Konfigurálja a Feltételek szabályait, és adja meg azokat a helyeket, amelyekre érvényesíteni szeretné az MFA-t.

    Képernyőkép a Feltételek szabályainak Helyek paneléről.

  5. Konfigurálja a Hozzáférés-vezérlési beállításokat az alábbiak szerint:

    Hozzáférés-vezérlési szabályzatok leképezés

Az Emit attribútumok leképezása jogcímszabályként

Attribútumokat bocsáthat ki jogcímszabályként a AD FS:

A Szabály szerkesztése párbeszédpanel képernyőképe az Attribútumok kiállítása jogcímekként beállításhoz.

A szabály Leképezés az Azure AD-be:

  1. A Azure Portalválassza a Vállalati alkalmazások, majd az Egyszeri bejelentkezés lehetőséget az SAML-alapú bejelentkezési konfiguráció megtekintéséhez:

    Képernyőkép a vállalati alkalmazás Egyszeri bejelentkezési oldalával.

  2. Az attribútumok módosításához válassza a Szerkesztés (kiemelt) lehetőséget:

    Ez a felhasználói attribútumok és jogcímek szerkesztésére vonatkozó oldal

Beépített hozzáférés-vezérlési szabályzatok leképezés

Beépített hozzáférés-vezérlési szabályzatok a 2016 AD FS ban:

Az Azure AD beépített hozzáférés-vezérlése

Az Azure AD-ben beépített szabályzatok megvalósításához használjon egy új feltételes hozzáférési szabályzatot, és konfigurálja a hozzáférés-vezérlést, vagy használja az egyéni szabályzattervezőt AD FS 2016-ban a hozzáférés-vezérlési szabályzatok konfigurálása érdekében. A Szabályszerkesztő az Engedélyek és a Kivétel lehetőségek teljes listájával rendelkezik, amelyek segítségével bármilyen permutációt el lehet hozni.

Azure AD hozzáférés-vezérlési szabályzatok

Ebben a táblázatban néhány hasznos Engedélyezési és kivételi lehetőséget soroltunk fel, és hogy ezek hogyan vannak leképezve az Azure AD-be.

Beállítás Az Engedélyek beállítás konfigurálása az Azure AD-ban Az Except beállítás konfigurálása az Azure AD-ban
Adott hálózatról Térképek hely az Azure AD-ban Megbízható helyek kizárása lehetőség használata
Adott csoportokból Felhasználó-/csoport-hozzárendelés beállítása A Felhasználók és csoportok kizárása lehetőség használata
Adott megbízhatósági szintű eszközökről Állítsa be ezt az Eszközállapot vezérlőből a Hozzárendelések -> feltételek alatt Használja a Kizárás lehetőséget az Eszközállapot feltétele és a Minden eszköz be van foglalva alatt
Adott jogcímekkel a kérelemben Ez a beállítás nem migrálható Ez a beállítás nem migrálható

Az alábbi példa bemutatja, hogyan konfigurálhatja a Kizárás beállítást a megbízható helyekhez a Azure Portal:

Képernyőkép a hozzáférés-vezérlési szabályzatok leképezésről

Felhasználók váltása AD FS Azure AD-be

Szinkronizálási AD FS Az Azure AD-ban

Az engedélyezési szabályok leképezésekor a hitelesítést AD FS alkalmazások Active Directory csoportokat használhatnak az engedélyekhez. Ebben az esetben az Azure AD Csatlakozás az alkalmazások áttelepítése előtt szinkronizálja ezeket a csoportokat az Azure AD-val. Az áttelepítés előtt ellenőrizze ezeket a csoportokat és tagságot, hogy hozzáférést biztosítson ugyanazoknak a felhasználóknak az alkalmazás áttelepítésekor.

További információ: Előfeltételek a(z) rendszerből szinkronizált csoportattribútumok Active Directory.

Felhasználók önkiépítésének beállítása

Egyes SaaS-alkalmazások támogatják a felhasználók önkiépítését, amikor először jelentkeznek be az alkalmazásba. Az Azure AD-ban az alkalmazás-kiépítés azt jelenti, hogy a felhasználók számára szükséges felhasználói identitások és szerepkörök automatikusan létrejönnek a felhőben(SaaS)az alkalmazásokban. A migrált felhasználók már rendelkezik fiókkal az SaaS-alkalmazásban. A migrálás után hozzáadott összes új felhasználót ki kellépítenünk. Tesztelje az SaaS-alkalmazás üzembeolását az alkalmazás migrálása után.

Külső felhasználók szinkronizálása az Azure AD-ban

A meglévő külső felhasználókat a következő két módon állíthatja be a AD FS:

  • A szervezeten belüli helyi fiókkal rendelkező külső felhasználók – Ezeket a fiókokat továbbra is ugyanúgy használhatja, mint a belső felhasználói fiókokat. Ezeknek a külső felhasználói fiókoknak a szervezeten belül van egy alapelvneve, bár a fiók e-mail-címe külsőleg is rámutathat. A migrálás során kihasználhatja az Azure AD B2B által nyújtott előnyöket, ha migrálja ezeket a felhasználókat a saját vállalati identitásuk használatára, amikor ilyen identitás elérhetővé válik. Ez leegyszerűsíti a felhasználók bejelentkezését, mivel gyakran saját vállalati bejelentkezéssel jelentkeznek be. A szervezet felügyelete is egyszerűbb, mivel nem kell külső felhasználók fiókjait kezelnie.
  • Összevont külső identitások– Ha jelenleg egy külső szervezettel dolgozik együtt, néhány módszer áll önnél:

Függetlenül attól, hogy a meglévő külső felhasználók hogyan vannak konfigurálva, valószínűleg olyan engedélyekkel is rendelkezik, amelyek a fiókjukhoz vannak társítva, akár csoporttagságban, akár konkrét engedélyekben. Értékelje ki, hogy ezeket az engedélyeket migrálni vagy meg kell-e tisztítani. A szervezeten belüli, külső felhasználót képviselő fiókokat le kell tiltani a felhasználó külső identitásba való migrálása után. A migrálási folyamatot meg kell vitatni az üzleti partnerekkel, mivel az erőforrásokhoz való csatlakozásuk megszakadhat.

Alkalmazások áttelepítése és tesztelése

Kövesse a cikkben részletezett migrálási folyamatot. Ezután a Azure Portal, hogy a migrálás sikeres volt-e.

Kövesse az alábbi utasításokat:

  1. Válassza a Vállalati alkalmazások Minden alkalmazás > lehetőséget, és keresse meg az alkalmazást a listában.
  2. Válassza a Felhasználók és csoportok kezelése lehetőséget, ha legalább egy felhasználót vagy csoportot szeretne > hozzárendelni az alkalmazáshoz.
  3. Válassza a Feltételes hozzáférés kezelése > lehetőséget. Tekintse át a szabályzatok listáját, és győződjön meg arról, hogy nem blokkolja az alkalmazáshoz való hozzáférést egy feltételes hozzáférési szabályzat segítségével.

Az alkalmazás konfigurálásától függően ellenőrizze, hogy az SSO megfelelően működik-e.

Hitelesítéstípus Tesztelés
OAuth/OpenID Csatlakozás Válassza a Vállalati alkalmazások > engedélyek lehetőséget, és győződjön meg arról, hogy az alkalmazás felhasználói beállításaiban hozzájárult az alkalmazáshoz.
SAML-alapú egyszeri bejelentkezés Használja az egyszeri bejelentkezés alatt Gépház SAML-teszt gombot.
Password-Based SSO Töltse le és telepítse a MyApps biztonságos - bejelentkezési bővítményt. Ez a bővítmény segít elindítani a szervezet bármely olyan felhőalkalmazását, amely egy SSO-folyamat használatát igényli.
Alkalmazásproxy Győződjön meg arról, hogy az összekötő fut, és hozzá van rendelve az alkalmazáshoz. További segítségért alkalmazásproxy a hibaelhárítási útmutatóban.

Megjegyzés

A régi környezetben AD FS cookie-k megmaradnak a felhasználói gépeken. Ezek a cookie-k problémákat okozhatnak a migrálás során, mivel a felhasználók a régi bejelentkezési környezetbe AD FS az új Azure AD-bejelentkezéssel szemben. Előfordulhat, hogy manuálisan vagy egy szkript használatával kell eltávolítania a felhasználói böngésző cookie-jait. Használhatja a System Center Configuration Manager hasonló platformot is.

Hibaelhárítás

Ha a migrált alkalmazások tesztelése során hibák lépnek fel, a hibaelhárítás lehet az első lépés, mielőtt visszatér a meglévő függő AD FS függő felekhez. Lásd: SAML-alapú egyszeribejelentkezés hibakeresése alkalmazásokban a Azure Active Directory.

Visszaállítás migrálás

Ha a migrálás sikertelen, javasoljuk, hogy hagyja a meglévő függő AD FS a AD FS kiszolgálókon, és távolítsa el a függő felekhez való hozzáférést. Ez lehetővé teszi a gyors tartalékolást, ha szükséges az üzembe helyezés során.

Alkalmazottak kommunikációja

Bár maga a tervezett szolgáltatáskimaradási időszak is minimális lehet, továbbra is érdemes proaktív módon kommunikálni az időkeretekkel az alkalmazottakkal, miközben átvált az AD FS Azure AD-re. Ellenőrizze, hogy az alkalmazás felhasználói élménye rendelkezik-e visszajelzési gombbal, vagy a problémákra mutató mutatókat az ön súgójára.

Az üzembe helyezés befejezése után tájékoztathatja a felhasználókat a sikeres telepítésről, és emlékeztetőt kaphat a szükséges lépésekről.

  • Kérje meg a felhasználókat, hogy Saját alkalmazások az összes áttelepített alkalmazás eléréséhez.
  • Emlékezteti a felhasználókat, hogy esetleg frissíteniük kell az MFA-beállításokat.
  • Ha Self-Service jelszó-visszaállítás telepítve van, előfordulhat, hogy a felhasználóknak frissíteniük vagy ellenőrizniük kell a hitelesítési módszereiket. Lásd: MFA és SSPR végfelhasználói kommunikációs sablonok.

Külső felhasználói kommunikáció

A problémák általában ez a felhasználói csoportra vannak a legkritikusabb hatással. Ez különösen akkor igaz, ha a biztonsági helyzet más feltételes hozzáférési szabályokat vagy kockázati profilokat szab meg külső partnerek számára. Győződjön meg arról, hogy a külső partnerek tisztában vannak a felhőbe való migrálás ütemezésével, és legyen egy olyan időkeretük, amely alatt arra bátorítjuk őket, hogy vegyenek részt egy próbatelepítésben, amely a külső együttműködésre vonatkozó összes egyedi folyamatot teszteli. Végül győződjön meg arról, hogy van mód a segítsége elérésére, ha probléma merülne fel.

Következő lépések