Anvisningar: Migrera från Azure Access Control ServiceHow to: Migrate from the Azure Access Control Service

Microsoft Azure Access Control Service (ACS), en tjänst i Azure Active Directory (Azure AD), tas ur bruk 7 November 2018.Microsoft Azure Access Control Service (ACS), a service of Azure Active Directory (Azure AD), will be retired on November 7, 2018. Program och tjänster som använder åtkomstkontroll måste fullständigt flyttas till en annan autentiseringsmekanism innan dess.Applications and services that currently use Access Control must be fully migrated to a different authentication mechanism by then. Den här artikeln beskriver rekommendationer för befintliga kunder som du planerar att inaktualisera din användning av Access Control.This article describes recommendations for current customers, as you plan to deprecate your use of Access Control. Om du inte använder åtkomstkontroll, behöver du inte vidta några åtgärder.If you don't currently use Access Control, you don't need to take any action.

ÖversiktOverview

Access Control är en molntjänst för autentisering som erbjuder ett enkelt sätt att autentisera och auktorisera användare för åtkomst till dina webbprogram och tjänster.Access Control is a cloud authentication service that offers an easy way to authenticate and authorize users for access to your web applications and services. Det gör att många funktioner för autentisering och auktorisering för räknas in från din kod.It allows many features of authentication and authorization to be factored out of your code. Åtkomstkontroll används främst av utvecklare och arkitekter från Microsoft .NET-klienter, ASP.NET-webbprogram och webbtjänster för Windows Communication Foundation (WCF).Access Control is primarily used by developers and architects of Microsoft .NET clients, ASP.NET web applications, and Windows Communication Foundation (WCF) web services.

Användningsområden för åtkomstkontroll kan delas upp i tre huvudkategorier:Use cases for Access Control can be broken down into three main categories:

  • Autentisering till vissa Microsoft-molntjänster, inklusive Azure Service Bus och Dynamics CRM.Authenticating to certain Microsoft cloud services, including Azure Service Bus and Dynamics CRM. Klientprogram hämta token från Access Control för att autentisera till dessa tjänster för att utföra olika åtgärder.Client applications obtain tokens from Access Control to authenticate to these services to perform various actions.
  • Att lägga till autentisering för webbprogram, både anpassade och förpaketerade (till exempel SharePoint).Adding authentication to web applications, both custom and prepackaged (like SharePoint). Med hjälp av Access Control ”passiv” autentisering webbprogram har stöd för inloggning med ett Microsoft-konto (tidigare Live ID) och konton från Google, Facebook, Yahoo, Azure AD, och Active Directory Federation Services (AD FS).By using Access Control "passive" authentication, web applications can support sign-in with a Microsoft account (formerly Live ID), and with accounts from Google, Facebook, Yahoo, Azure AD, and Active Directory Federation Services (AD FS).
  • Skydda anpassade webb-tjänster med token som utfärdas av Access Control.Securing custom web services with tokens issued by Access Control. Med hjälp av ”aktiv” autentisering, webbtjänster se till att de tillåter endast åtkomst till kända klienter som har autentiserats med åtkomstkontroll.By using "active" authentication, web services can ensure that they allow access only to known clients that have authenticated with Access Control.

Var och en av dessa använda fall och rekommenderade migreringen strategier beskrivs i följande avsnitt.Each of these use cases and their recommended migration strategies are discussed in the following sections.

Varning

I de flesta fall är betydande kodändringar krävs för att migrera befintliga appar och tjänster till nyare teknik.In most cases, significant code changes are required to migrate existing apps and services to newer technologies. Vi rekommenderar att du omedelbart börja planera och kör din migrering för att undvika eventuella potentiella avbrott eller driftstopp.We recommend that you immediately begin planning and executing your migration to avoid any potential outages or downtime.

Access Control har följande komponenter:Access Control has the following components:

  • En säker token-tjänsten (STS) som tar emot begäranden om autentisering och utfärdar säkerhetstoken i utbyte.A secure token service (STS), which receives authentication requests and issues security tokens in return.
  • Den klassiska Azure-portalen där du skapar, ta bort, och aktivera och inaktivera Access Control-namnområden.The Azure classic portal, where you create, delete, and enable and disable Access Control namespaces.
  • En separat Access Control-hanteringsportalen, där du kan anpassa och konfigurera åtkomstkontroll namnområden.A separate Access Control management portal, where you customize and configure Access Control namespaces.
  • En management-tjänst som du kan använda för att automatisera funktionerna portalerna.A management service, which you can use to automate the functions of the portals.
  • En token omvandling innehållsleveransmotor, som du kan använda för att definiera avancerad logik för att ändra formatet för utdata i de token som utfärdar Access Control.A token transformation rule engine, which you can use to define complex logic to manipulate the output format of tokens that Access Control issues.

Om du vill använda dessa komponenter måste du skapa ett eller flera Access Control-namnområden.To use these components, you must create one or more Access Control namespaces. En namnområde är en dedikerad instans av åtkomstkontroll som dina program och tjänster som kommunicerar med.A namespace is a dedicated instance of Access Control that your applications and services communicate with. Ett namnområde är isolerad från alla andra Access Control-kunder.A namespace is isolated from all other Access Control customers. Andra Access Control-kunder använda sina egna namnrymder.Other Access Control customers use their own namespaces. Ett namnområde i Access Control har en dedikerad URL som ser ut så här:A namespace in Access Control has a dedicated URL that looks like this:

https://<mynamespace>.accesscontrol.windows.net

All kommunikation med STS och hanteringsåtgärder är klar på denna URL.All communication with the STS and management operations are done at this URL. Du kan använda olika sökvägar för olika syften.You use different paths for different purposes. För att avgöra om dina program eller tjänster använder Access Control, övervaka för all trafik till https://<namnområde>. accesscontrol.windows.net.To determine whether your applications or services use Access Control, monitor for any traffic to https://<namespace>.accesscontrol.windows.net. All trafik till denna URL hanteras av Access Control och måste avbrytas.Any traffic to this URL is handled by Access Control, and needs to be discontinued.

Undantaget till detta är all trafik till https://accounts.accesscontrol.windows.net.The exception to this is any traffic to https://accounts.accesscontrol.windows.net. Trafik till denna URL hanteras redan av en annan tjänst och är inte påverkas av Access Control-utfasning.Traffic to this URL is already handled by a different service and is not affected by the Access Control deprecation.

Mer information om åtkomstkontroll finns i Access Control Service 2.0 (arkiverade).For more information about Access Control, see Access Control Service 2.0 (archived).

Ta reda på vilka av dina appar kommer att påverkasFind out which of your apps will be impacted

Följ stegen i det här avsnittet för att ta reda på vilka av dina appar kommer att påverkas av ACS dras tillbaka.Follow the steps in this section to find out which of your apps will be impacted by ACS retirement.

Ladda ned och installera ACS-PowerShellDownload and install ACS PowerShell

  1. Gå till PowerShell-galleriet och hämta Acs.Namespaces.Go to the PowerShell Gallery and download Acs.Namespaces.

  2. Installera modulen genom att köraInstall the module by running

    Install-Module -Name Acs.Namespaces
    
  3. Hämta en lista över alla möjliga kommandon genom att köraGet a list of all possible commands by running

    Get-Command -Module Acs.Namespaces
    

    Om du behöver hjälp med ett visst kommando kör du:To get help on a specific command, run:

     Get-Help [Command-Name] -Full
    

    där [Command-Name] är namnet på ACS-kommandot.where [Command-Name] is the name of the ACS command.

Lista över ACS-namnområdenList your ACS namespaces

  1. Anslut till ACS med hjälp av den Connect AcsAccount cmdlet.Connect to ACS using the Connect-AcsAccount cmdlet.

    Du kan behöva köra Set-ExecutionPolicy -ExecutionPolicy Bypass innan du kan köra kommandon och vara administratör för dessa prenumerationer för att köra kommandona.You may need to run Set-ExecutionPolicy -ExecutionPolicy Bypass before you can execute commands and be the admin of those subscriptions in order to execute the commands.

  2. Lista över dina tillgängliga Azure-prenumerationer med hjälp av den Get-AcsSubscription cmdlet.List your available Azure subscriptions using the Get-AcsSubscription cmdlet.

  3. Lista din ACS namnområden med hjälp av den Get-AcsNamespace cmdlet.List your ACS namespaces using the Get-AcsNamespace cmdlet.

Kontrollera vilka program som påverkasCheck which applications will be impacted

  1. Användning av namnområdet från föregående steg och gå till https://<namespace>.accesscontrol.windows.netUse the namespace from the previous step and go to https://<namespace>.accesscontrol.windows.net

    Till exempel om en av namnrymder är contoso-test, gå till https://contoso-test.accesscontrol.windows.netFor example, if one of the namespaces is contoso-test, go to https://contoso-test.accesscontrol.windows.net

  2. Under förtroenderelationerväljer förlitande partsprogram vill se en lista över appar som påverkas av ACS dras tillbaka.Under Trust relationships, select Relying party applications to see the list of apps that will be impacted by ACS retirement.

  3. Upprepa steg 1 – 2 för alla andra ACS-namespace(s) som du har.Repeat steps 1-2 for any other ACS namespace(s) that you have.

Tillbakadragning schemaRetirement schedule

Från och med November 2017 är alla komponenter i Access Control fullständigt stöds och operativa.As of November 2017, all Access Control components are fully supported and operational. Den enda begränsningen är att du kan inte skapa nya Access Control-namnområden via den klassiska Azure-portalen.The only restriction is that you can't create new Access Control namespaces via the Azure classic portal.

Här är schemat för avvecklar Access Control-komponenter:Here's the schedule for deprecating Access Control components:

  • November 2017: Azure AD-administratören användarupplevelsen i den klassiska Azure-portalen har dragits tillbaka.November 2017: The Azure AD admin experience in the Azure classic portal is retired. Nu hantering av namnområdet för åtkomstkontroll är tillgängligt på en ny, dedikerad URL: https://manage.windowsazure.com?restoreClassic=true.At this point, namespace management for Access Control is available at a new, dedicated URL: https://manage.windowsazure.com?restoreClassic=true. Använd denna URl att visa dina befintliga namnområden, aktivera och inaktivera namnområden och ta bort namnområden, om du vill.Use this URl to view your existing namespaces, enable and disable namespaces, and to delete namespaces, if you choose to.
  • Den 2 april 2018: Den klassiska Azure-portalen helt dras tillbaka, vilket innebär att hantering av åtkomstkontroll namnområden är inte längre tillgänglig via alla URL: er.April 2, 2018: The Azure classic portal is completely retired, meaning Access Control namespace management is no longer available via any URL. Du kan nu inaktivera eller aktivera, ta bort eller räkna upp dina Access Control-namnområden.At this point, you can't disable or enable, delete, or enumerate your Access Control namespaces. Access Control-hanteringsportalen kommer dock att helt funktionella och finns på https://\<namespace\>.accesscontrol.windows.net.However, the Access Control management portal will be fully functional and located at https://\<namespace\>.accesscontrol.windows.net. Alla andra komponenter i Access Control fortsätta att fungera normalt.All other components of Access Control continue to operate normally.
  • 7 november 2018: Alla komponenter i Access Control är permanent stänga av.November 7, 2018: All Access Control components are permanently shut down. Detta inkluderar Access Control-hanteringsportalen, management-tjänsten, STS och token omvandling regeln motorn.This includes the Access Control management portal, the management service, STS, and the token transformation rule engine. Nu kan alla förfrågningar som skickas till Access Control (finns på <namnområde>. accesscontrol.windows.net) misslyckas.At this point, any requests sent to Access Control (located at <namespace>.accesscontrol.windows.net) fail. Du bör har migrerat alla befintliga appar och tjänster till andra tekniker bra före denna tidpunkt.You should have migrated all existing apps and services to other technologies well before this time.

Anteckning

En princip inaktiverar namnområden som inte har begärt en token för en viss tidsperiod.A policy disables namespaces that have not requested a token for a period of time. Från och med tidig September 2018 denna tidsperiod är för närvarande på 14 dagar av inaktivitet, men detta kommer att förkortas till 7 dagars inaktivitet under de kommande veckorna.As of early September 2018, this period of time is currently at 14 days of inactivity, but this will be shortened to 7 days of inactivity in the coming weeks. Om du har Access Control-namnområden som för tillfället är inaktiverade, kan du ladda ned och installera ACS PowerShell återaktivera namespace(s).If you have Access Control namespaces that are currently disabled, you can download and install ACS PowerShell to re-enable the namespace(s).

MigreringsstrategierMigration strategies

I följande avsnitt beskrivs på hög nivå rekommendationer för att migrera från åtkomstkontroll till andra Microsoft-tekniker.The following sections describe high-level recommendations for migrating from Access Control to other Microsoft technologies.

Klienter i Microsoft-molntjänsterClients of Microsoft cloud services

Varje Microsoft-molntjänst som accepterar token som utfärdas av Access Control nu stöder minst en alternativ form av autentisering.Each Microsoft cloud service that accepts tokens that are issued by Access Control now supports at least one alternate form of authentication. Rätt autentiseringsmekanismen varierar för varje tjänst.The correct authentication mechanism varies for each service. Vi rekommenderar att du refererar till den specifika dokumentationen för respektive tjänst officiella vägledning.We recommend that you refer to the specific documentation for each service for official guidance. För att underlätta för finns varje uppsättning dokumentation här:For convenience, each set of documentation is provided here:

TjänstService VägledningGuidance
Azure Service BusAzure Service Bus Migrera till signaturer för delad åtkomstMigrate to shared access signatures
Azure Service Bus RelayAzure Service Bus Relay Migrera till signaturer för delad åtkomstMigrate to shared access signatures
Azure Managed CacheAzure Managed Cache Migrera till Azure Cache för RedisMigrate to Azure Cache for Redis
Azure DataMarketAzure DataMarket Migrera till API: er för Cognitive ServicesMigrate to the Cognitive Services APIs
BizTalk ServicesBizTalk Services Migrera till Logic Apps-funktionen i Azure App ServiceMigrate to the Logic Apps feature of Azure App Service
Azure Media ServicesAzure Media Services Migrera till Azure AD-autentiseringMigrate to Azure AD authentication
Azure BackupAzure Backup Uppgradera Azure Backup-agentenUpgrade the Azure Backup agent

SharePoint-kunderSharePoint customers

SharePoint 2013, 2016 och SharePoint Online-kunder har länge använt ACS för autentisering i molnet, lokalt och hybridscenarier.SharePoint 2013, 2016, and SharePoint Online customers have long used ACS for authentication purposes in cloud, on premises, and hybrid scenarios. Vissa funktioner i SharePoint och användningsfall kommer att påverkas av ACS dras tillbaka medan inte.Some SharePoint features and use cases will be affected by ACS retirement, while others will not. I tabellen nedan sammanfattas riktlinjer för några av de mest populära SharePoint funktion som utnyttjar ACS:The below table summarizes migration guidance for some of the most popular SharePoint feature that leverage ACS:

FunktionFeature VägledningGuidance
Autentisera användare från Azure ADAuthenticating users from Azure AD Tidigare Azure AD har stöd inte för SAML 1.1-tokens som krävs för SharePoint för autentisering och ACS användes som en mellanhand som gjorts SharePoint kompatibelt med Azure AD-token format.Previously, Azure AD did not support SAML 1.1 tokens required by SharePoint for authentication, and ACS was used as an intermediary that made SharePoint compatible with Azure AD token formats. Nu kan du ansluta SharePoint direkt till Azure AD med Azure AD-Appgalleriet SharePoint på plats app.Now, you can connect SharePoint directly to Azure AD using Azure AD App Gallery SharePoint on premises app.
Appautentisering & server-till-server-autentisering i SharePoint lokaltApp authentication & server-to-server authentication in SharePoint on premises Inte påverkas av ACS tillbakadragande; Inga ändringar som behövs.Not affected by ACS retirement; no changes necessary.
Låg förtroende auktorisering för SharePoint-tillägg (värd-providern och SharePoint som värd)Low trust authorization for SharePoint add-ins (provider hosted and SharePoint hosted) Inte påverkas av ACS tillbakadragande; Inga ändringar som behövs.Not affected by ACS retirement; no changes necessary.
SharePoint cloud hybrid searchSharePoint cloud hybrid search Inte påverkas av ACS tillbakadragande; Inga ändringar som behövs.Not affected by ACS retirement; no changes necessary.

Webbprogram som använder passiv autentiseringWeb applications that use passive authentication

För webbprogram som använder åtkomstkontroll för autentisering av användare, innehåller Access Control följande funktioner och egenskaper för web application utvecklare och arkitekter:For web applications that use Access Control for user authentication, Access Control provides the following features and capabilities to web application developers and architects:

  • Djupgående integrering med Windows Identity Foundation (WIF).Deep integration with Windows Identity Foundation (WIF).
  • Federation med Google, Facebook, Yahoo, Azure Active Directory och AD FS-konton och Microsoft-konton.Federation with Google, Facebook, Yahoo, Azure Active Directory, and AD FS accounts, and Microsoft accounts.
  • Stöd för följande autentiseringsprotokoll: OAuth 2.0-utkast 13, WS-Trust och Web Services Federation (WS-Federation).Support for the following authentication protocols: OAuth 2.0 Draft 13, WS-Trust, and Web Services Federation (WS-Federation).
  • Stöd för följande token format: JSON-Webbtoken (JWT), SAML 1.1, SAML 2.0 och Simple Web Token (SWT).Support for the following token formats: JSON Web Token (JWT), SAML 1.1, SAML 2.0, and Simple Web Token (SWT).
  • En startsfär affärsanalyser, integrerade i WIF, som tillåter användare att välja den typ av konto som de använder för att logga in.A home realm discovery experience, integrated into WIF, that allows users to pick the type of account they use to sign in. Den här upplevelsen är värd för webbprogrammet och är helt anpassningsbar.This experience is hosted by the web application and is fully customizable.
  • Token omvandling som tillåter omfattande anpassning av anspråk som tas emot av webbprogrammet från Access Control, inklusive:Token transformation that allows rich customization of the claims received by the web application from Access Control, including:
    • Passera anspråk från identitetsleverantörer.Pass through claims from identity providers.
    • Lägger till ytterligare anpassade anspråk.Adding additional custom claims.
    • Enkel if-then-logik för att utfärda anspråk på vissa villkor.Simple if-then logic to issue claims under certain conditions.

Det finns tyvärr inte en tjänst som erbjuder alla dessa motsvarande funktioner.Unfortunately, there isn't one service that offers all of these equivalent capabilities. Du ska utvärdera vilka funktioner i Access Control du behöver och välj sedan mellan att använda Azure Active Directory, Azure Active Directory B2C (Azure AD B2C) eller en annan molnautentisering tjänsten.You should evaluate which capabilities of Access Control you need, and then choose between using Azure Active Directory, Azure Active Directory B2C (Azure AD B2C), or another cloud authentication service.

Migrera till Azure Active DirectoryMigrate to Azure Active Directory

En sökväg till Överväg integrerar dina appar och tjänster direkt med Azure AD.A path to consider is integrating your apps and services directly with Azure AD. Azure AD är molnbaserad identitetsleverantör för Microsoft arbets- eller skolkonton.Azure AD is the cloud-based identity provider for Microsoft work or school accounts. Azure AD är identitetsleverantören för Office 365, Azure och mycket mer.Azure AD is the identity provider for Office 365, Azure, and much more. Det ger liknande federerad autentiseringsfunktioner för åtkomstkontroll, men stöder inte alla funktioner för åtkomstkontroll.It provides similar federated authentication capabilities to Access Control, but doesn't support all Access Control features.

Det primära exemplet är federation med sociala identitetsleverantörer, till exempel Facebook, Google och Yahoo.The primary example is federation with social identity providers, such as Facebook, Google, and Yahoo. Om användarna måste logga in med de här typerna av autentiseringsuppgifter, Azure AD är inte lösningen för dig.If your users sign in with these types of credentials, Azure AD is not the solution for you.

Azure AD stöder inte heller nödvändigtvis exakt samma autentiseringsprotokoll som Access Control.Azure AD also doesn't necessarily support the exact same authentication protocols as Access Control. Till exempel både åtkomstkontroll och Azure AD stöder OAuth, men det finns vissa skillnader mellan varje implementering.For example, although both Access Control and Azure AD support OAuth, there are subtle differences between each implementation. Olika implementeringar måste du ändra koden som en del av en migrering.Different implementations require you to modify code as part of a migration.

Dock tillhandahåller Azure AD flera potentiella fördelar för Access Control-kunder.However, Azure AD does provide several potential advantages to Access Control customers. Den internt stöder Microsoft arbets- eller skolkonton som ligger i molnet, och som ofta används av kunder för åtkomstkontroll.It natively supports Microsoft work or school accounts hosted in the cloud, which are commonly used by Access Control customers.

Också kan vara externa Azure AD-klient till en eller flera instanser av den lokala Active Directory via AD FS.An Azure AD tenant can also be federated to one or more instances of on-premises Active Directory via AD FS. På så sätt kan din app kan autentisera molnbaserade användare och användare som finns lokalt.This way, your app can authenticate cloud-based users and users that are hosted on-premises. Det stöder även WS-Federation-protokollet, vilket gör det relativt enkelt att integrera med ett webbprogram med hjälp av WIF.It also supports the WS-Federation protocol, which makes it relatively straightforward to integrate with a web application by using WIF.

I följande tabell jämförs de funktioner för åtkomstkontroll som är relevanta för webbprogram med de funktioner som är tillgängliga i Azure AD.The following table compares the features of Access Control that are relevant to web applications with those features that are available in Azure AD.

På en hög nivå Azure Active Directory är antagligen det bästa valet för migreringen om du låter användare registrera i endast med sina Microsoft arbets- eller skolkonton.At a high level, Azure Active Directory is probably the best choice for your migration if you let users sign in only with their Microsoft work or school accounts.

FunktionCapability Stöd för kontroll av åtkomstAccess Control support Stöd för Azure ADAzure AD support
Typer av kontonTypes of accounts
Arbets- eller skolkonto för MicrosoftMicrosoft work or school accounts StödsSupported StödsSupported
Konton från Windows Server Active Directory och AD FSAccounts from Windows Server Active Directory and AD FS -Stöds via federation med en Azure AD-klient- Supported via federation with an Azure AD tenant
-Stöds via direct federation med AD FS- Supported via direct federation with AD FS
Stöds endast via federation med en Azure AD-klientOnly supported via federation with an Azure AD tenant
Konton från andra företagssystem identity managementAccounts from other enterprise identity management systems -Möjlig via federation med en Azure AD-klient- Possible via federation with an Azure AD tenant
-Stöds via direct federation- Supported via direct federation
Möjligt via federation med en Azure AD-klientPossible via federation with an Azure AD tenant
Microsoft-konton för personligt brukMicrosoft accounts for personal use StödsSupported Stöds via Azure AD v2.0 OAuth-protokollet, men inte över några andra protokollSupported via the Azure AD v2.0 OAuth protocol, but not over any other protocols
Facebook, Google, Yahoo kontonFacebook, Google, Yahoo accounts StödsSupported Stöds inte helstNot supported whatsoever
Protokoll och SDK-kompatibilitetProtocols and SDK compatibility
WIFWIF StödsSupported Stöds men begränsade instruktioner finnsSupported, but limited instructions are available
WS-FederationWS-Federation StödsSupported StödsSupported
OAuth 2.0OAuth 2.0 Stöd för utkast 13Support for Draft 13 Stöd för RFC 6749, i de flesta moderna specifikationenSupport for RFC 6749, the most modern specification
WS-TrustWS-Trust StödsSupported Stöds ejNot supported
Token-formatToken formats
JWTJWT Stöds i BetaSupported In Beta StödsSupported
SAML 1.1SAML 1.1 StödsSupported FörhandsgranskaPreview
SAML 2.0SAML 2.0 StödsSupported StödsSupported
SWTSWT StödsSupported Stöds ejNot supported
AnpassningarCustomizations
Anpassningsbara startsfär identifiering/konto-välja UICustomizable home realm discovery/account-picking UI Nedladdningsbara kod som kan införlivas i apparDownloadable code that can be incorporated into apps Stöds ejNot supported
Ladda upp anpassade certifikat för tokensigneringUpload custom token-signing certificates StödsSupported StödsSupported
Anpassa anspråk i tokenCustomize claims in tokens -Passera inkommande anspråk från identitetsleverantörer- Pass through input claims from identity providers
-Hämta åtkomsttoken från identitetsprovider som ett anspråk- Get access token from identity provider as a claim
-Utfärda utgående anspråk baserat på värdena för inkommande anspråk- Issue output claims based on values of input claims
-Utfärda utgående anspråk med fasta värden- Issue output claims with constant values
-Det går inte att passera anspråk från federerad identitetsleverantörer- Cannot pass through claims from federated identity providers
-Det går inte att hämta åtkomsttoken från identitetsprovider som ett anspråk- Cannot get access token from identity provider as a claim
-Det går inte att utfärda utgående anspråk baserat på värdena för inkommande anspråk- Cannot issue output claims based on values of input claims
-Kan utfärda utgående anspråk med fasta värden- Can issue output claims with constant values
-Kan utfärda utgående anspråk baserat på egenskaperna för användare som synkroniseras till Azure AD- Can issue output claims based on properties of users synced to Azure AD
AutomationAutomation
Automatisera konfiguration och hantering av uppgifterAutomate configuration and management tasks Stöds via Access Control Management ServiceSupported via Access Control Management Service Stöds via Microsoft Graph och Azure AD Graph APISupported via Microsoft Graph and Azure AD Graph API

Om du väljer att Azure AD är den bästa migreringsvägen för dina program och tjänster, bör du vara medveten om två sätt att integrera din app med Azure AD.If you decide that Azure AD is the best migration path for your applications and services, you should be aware of two ways to integrate your app with Azure AD.

Om du vill använda WS-Federation eller WIF för att integrera med Azure AD, rekommenderar vi följande metoden som beskrivs i konfigurera federerad enkel inloggning för en icke-galleriprogram.To use WS-Federation or WIF to integrate with Azure AD, we recommend following the approach described in Configure federated single sign-on for a non-gallery application. Artikeln refererar till att konfigurera Azure AD för SAML-baserad enkel inloggning, men fungerar även för att konfigurera WS-Federation.The article refers to configuring Azure AD for SAML-based single sign-on, but also works for configuring WS-Federation. Den här metoden kräver en Azure AD Premium-licens.Following this approach requires an Azure AD Premium license. Den här metoden har två fördelar:This approach has two advantages:

  • Du får fullständig flexibilitet för Azure AD-token anpassning.You get the full flexibility of Azure AD token customization. Du kan anpassa de anspråk som utfärdas av Azure AD för att matcha de anspråk som utfärdas av Access Control.You can customize the claims that are issued by Azure AD to match the claims that are issued by Access Control. Detta inkluderar särskilt användar-ID eller namnidentifierare anspråket.This especially includes the user ID or Name Identifier claim. Se till att användar-ID utfärdats av Azure AD matchar de utfärdade av Access Control för att fortsätta att ta emot konsekvent användaridentifierare för dina användare när du har ändrat tekniker.To continue to receive consistent user IDentifiers for your users after you change technologies, ensure that the user IDs issued by Azure AD match those issued by Access Control.
  • Du kan konfigurera ett certifikat för tokensignering som är specifik för ditt program, och med en livslängd som du bestämmer.You can configure a token-signing certificate that is specific to your application, and with a lifetime that you control.

Anteckning

Den här metoden kräver en Azure AD Premium-licens.This approach requires an Azure AD Premium license. Om du är en Access Control-kund och du behöver en premiumlicens för att konfigurera enkel inloggning för ett program, kontakta oss.If you are an Access Control customer and you require a premium license for setting up single-sign on for an application, contact us. Vi gärna att ge utvecklare licenser som du kan använda.We'll be happy to provide developer licenses for you to use.

En annan metod är att följa detta kodexempel, vilket ger något annorlunda instruktioner för att konfigurera WS-Federation.An alternative approach is to follow this code sample, which gives slightly different instructions for setting up WS-Federation. Det här kodexemplet använder inte WIF, men i stället ASP.NET 4.5 OWIN-mellanprogrammet.This code sample does not use WIF, but rather, the ASP.NET 4.5 OWIN middleware. Men instruktionerna för registrering av appen är giltiga för appar som använder WIF och kräver inte en Azure AD Premium-licens.However, the instructions for app registration are valid for apps using WIF, and don't require an Azure AD Premium license.

Om du väljer den här metoden måste du förstå signeringsnyckel i Azure AD.If you choose this approach, you need to understand signing key rollover in Azure AD. Den här metoden använder Azure AD globala signeringsnyckel till problemet token.This approach uses the Azure AD global signing key to issue tokens. Som standard uppdateras WIF inte automatiskt Signeringsnycklar.By default, WIF does not automatically refresh signing keys. När Azure AD roterar dess globala Signeringsnycklar, måste implementeringen WIF förberedas för att godkänna ändringarna.When Azure AD rotates its global signing keys, your WIF implementation needs to be prepared to accept the changes. Mer information finns i viktig information om signeringsnyckel i Azure AD.For more information, see Important information about signing key rollover in Azure AD.

Om du kan integrera med Azure AD via OpenID Connect eller OAuth-protokoll, rekommenderar vi då.If you can integrate with Azure AD via the OpenID Connect or OAuth protocols, we recommend doing so. Vi har en omfattande dokumentation och vägledning om hur du integrerar Azure AD i ditt webbprogram som är tillgängliga i vår utvecklarguide för Azure AD.We have extensive documentation and guidance about how to integrate Azure AD into your web application available in our Azure AD developer guide.

Migrera till Azure Active Directory B2CMigrate to Azure Active Directory B2C

Andra migreringssökväg att tänka på är Azure AD B2C.The other migration path to consider is Azure AD B2C. Azure AD B2C är en molntjänst för autentisering som gör att utvecklare kan lägga ut sin autentisering och identitet management logik i en molnbaserad tjänst som Access Control.Azure AD B2C is a cloud authentication service that, like Access Control, allows developers to outsource their authentication and identity management logic to a cloud service. Det är en betaltjänst (med kostnadsfri och premium-nivåer) som är utformad för konsumentorienterade program som kan ha upp till flera miljoner aktiva användare.It's a paid service (with free and premium tiers) that is designed for consumer-facing applications that might have up to millions of active users.

Precis som Access Control är en av de mest attraktiva funktionerna i Azure AD B2C att den stöder många olika typer av konton.Like Access Control, one of the most attractive features of Azure AD B2C is that it supports many different types of accounts. Med Azure AD B2C kan du logga in användare med hjälp av sitt Microsoft-konto eller Facebook, Google, LinkedIn, GitHub eller Yahoo konton och mycket mer.With Azure AD B2C, you can sign in users by using their Microsoft account, or Facebook, Google, LinkedIn, GitHub, or Yahoo accounts, and more. Azure AD-B2C stöder också ”lokala konton” eller användarnamn och lösenord som användare skapar specifikt för ditt program.Azure AD B2C also supports "local accounts," or username and passwords that users create specifically for your application. Azure AD B2C tillhandahåller även omfattande skalbarhet som du kan använda för att anpassa dina flöden för inloggning.Azure AD B2C also provides rich extensibility that you can use to customize your sign-in flows.

Dock har inte stöd för Azure AD B2C-autentiseringsprotokoll bredd och token formaterar åtkomstkontrollen kunder kan kräva.However, Azure AD B2C doesn't support the breadth of authentication protocols and token formats that Access Control customers might require. Du kan också använda Azure AD B2C för att hämta token och fråga för ytterligare information om användaren från identitetsprovidern, Microsoft eller på annat sätt.You also can't use Azure AD B2C to get tokens and query for additional information about the user from the identity provider, Microsoft or otherwise.

I följande tabell jämförs de funktioner för åtkomstkontroll som är relevanta för webbprogram med de som är tillgängliga i Azure AD B2C.The following table compares the features of Access Control that are relevant to web applications with those that are available in Azure AD B2C. På en hög nivå Azure AD B2C förmodligen är det rätta valet för din migrering om programmet kan riktas mot konsumenter, eller om den har stöd för många olika typer av konton.At a high level, Azure AD B2C is probably the right choice for your migration if your application is consumer facing, or if it supports many different types of accounts.

FunktionCapability Stöd för kontroll av åtkomstAccess Control support Support för Azure AD B2CAzure AD B2C support
Typer av kontonTypes of accounts
Arbets- eller skolkonto för MicrosoftMicrosoft work or school accounts StödsSupported Stöds via anpassade principerSupported via custom policies
Konton från Windows Server Active Directory och AD FSAccounts from Windows Server Active Directory and AD FS Stöds via direct federation med AD FSSupported via direct federation with AD FS Stöds via SAML federation med hjälp av anpassade principerSupported via SAML federation by using custom policies
Konton från andra företagssystem identity managementAccounts from other enterprise identity management systems Stöds via direct federation via WS-FederationSupported via direct federation through WS-Federation Stöds via SAML federation med hjälp av anpassade principerSupported via SAML federation by using custom policies
Microsoft-konton för personligt brukMicrosoft accounts for personal use StödsSupported StödsSupported
Facebook, Google, Yahoo kontonFacebook, Google, Yahoo accounts StödsSupported Facebook och Google stöds internt, Yahoo stöds via OpenID Connect federation med hjälp av anpassade principerFacebook and Google supported natively, Yahoo supported via OpenID Connect federation by using custom policies
Protokoll och SDK-kompatibilitetProtocols and SDK compatibility
Windows Identity Foundation (WIF)Windows Identity Foundation (WIF) StödsSupported Stöds ejNot supported
WS-FederationWS-Federation StödsSupported Stöds ejNot supported
OAuth 2.0OAuth 2.0 Stöd för utkast 13Support for Draft 13 Stöd för RFC 6749, i de flesta moderna specifikationenSupport for RFC 6749, the most modern specification
WS-TrustWS-Trust StödsSupported Stöds ejNot supported
Token-formatToken formats
JWTJWT Stöds i BetaSupported In Beta StödsSupported
SAML 1.1SAML 1.1 StödsSupported Stöds ejNot supported
SAML 2.0SAML 2.0 StödsSupported Stöds ejNot supported
SWTSWT StödsSupported Stöds ejNot supported
AnpassningarCustomizations
Anpassningsbara startsfär identifiering/konto-välja UICustomizable home realm discovery/account-picking UI Nedladdningsbara kod som kan införlivas i apparDownloadable code that can be incorporated into apps Helt anpassningsbara Gränssnittet via anpassade CSSFully customizable UI via custom CSS
Ladda upp anpassade certifikat för tokensigneringUpload custom token-signing certificates StödsSupported Anpassade Signeringsnycklar, inte certifikat stöds via anpassade principerCustom signing keys, not certificates, supported via custom policies
Anpassa anspråk i tokenCustomize claims in tokens -Passera inkommande anspråk från identitetsleverantörer- Pass through input claims from identity providers
-Hämta åtkomsttoken från identitetsprovider som ett anspråk- Get access token from identity provider as a claim
-Utfärda utgående anspråk baserat på värdena för inkommande anspråk- Issue output claims based on values of input claims
-Utfärda utgående anspråk med fasta värden- Issue output claims with constant values
-Kan passera anspråk från identitetsleverantörer; anpassade principer som krävs för några anspråk- Can pass through claims from identity providers; custom policies required for some claims
-Det går inte att hämta åtkomsttoken från identitetsprovider som ett anspråk- Cannot get access token from identity provider as a claim
-Kan utfärda utgående anspråk baserat på värdena för inkommande anspråk via anpassade principer- Can issue output claims based on values of input claims via custom policies
-Kan utfärda utgående anspråk med fasta värden via anpassade principer- Can issue output claims with constant values via custom policies
AutomationAutomation
Automatisera konfiguration och hantering av uppgifterAutomate configuration and management tasks Stöds via Access Control Management ServiceSupported via Access Control Management Service -Skapa användare som tillåts via Azure AD Graph API- Creation of users allowed via Azure AD Graph API
-Det går inte att skapa B2C-klienter, program eller principer programmässigt- Cannot create B2C tenants, applications, or policies programmatically

Om du väljer att Azure AD B2C är den bästa migreringsvägen för dina program och tjänster, börjar du med följande resurser:If you decide that Azure AD B2C is the best migration path for your applications and services, begin with the following resources:

Migrera till Ping Identity eller Auth0Migrate to Ping Identity or Auth0

I vissa fall kan det kan hända att Azure AD och Azure AD B2C inte är tillräckligt för att ersätta Access Control i dina webbprogram utan att göra ändringar i större koden.In some cases, you might find that Azure AD and Azure AD B2C aren't sufficient to replace Access Control in your web applications without making major code changes. Några vanliga exempel kan vara:Some common examples might include:

  • Webbprogram som använder WIF eller WS-Federation för inloggning med sociala identitetsleverantörer, till exempel Google eller Facebook.Web applications that use WIF or WS-Federation for sign-in with social identity providers such as Google or Facebook.
  • Webbprogram som utför direkt federation till en enterprise-identitetsprovider över WS-Federation-protokollet.Web applications that perform direct federation to an enterprise identity provider over the WS-Federation protocol.
  • Webbprogram som kräver åtkomst-token som utfärdats av en social identitetsprovider (till exempel Google eller Facebook) som ett anspråk i token som utfärdas av Access Control.Web applications that require the access token issued by a social identity provider (such as Google or Facebook) as a claim in the tokens issued by Access Control.
  • Webbprogram med komplexa token omvandling regler som Azure AD eller Azure AD B2C inte kan återskapa.Web applications with complex token transformation rules that Azure AD or Azure AD B2C can't reproduce.
  • Webbprogram för flera klienter som använder ACS centralt hantera federation till många olika identitetsleverantörerMulti-tenant web applications that use ACS to centrally manage federation to many different identity providers

I dessa fall kan vilja du bör du migrera ditt webbprogram till en annan molntjänst för autentisering.In these cases, you might want to consider migrating your web application to another cloud authentication service. Vi rekommenderar att utforska följande alternativ.We recommend exploring the following options. Var och en av följande alternativ erbjuder funktioner som liknar Access Control:Each of the following options offer capabilities similar to Access Control:

Auth0 Auth0 är en flexibel molnidentitetstjänst som har skapat övergripande riktlinjer för kunder för åtkomstkontroll, och har stöd för nästan alla funktioner som ACS.Auth0 is a flexible cloud identity service that has created high-level migration guidance for customers of Access Control, and supports nearly every feature that ACS does.
Ping Ping Identity erbjuder två lösningar som liknar ACS.Ping Identity offers two solutions similar to ACS. PingOne är en molnbaserad identitetstjänst som har stöd för många av samma funktioner som ACS och PingFederate är liknande på lokala identitet produkt som erbjuder mer flexibilitet.PingOne is a cloud identity service that supports many of the same features as ACS, and PingFederate is a similar on premises identity product that offers more flexibility. Referera till Ping's ACS tillbakadragande vägledning för mer information om hur du använder dessa produkter.Refer to Ping's ACS retirement guidance for more details on using these products.

Vårt syfte i att arbeta med Ping Identity och Auth0 är att säkerställa att alla Access Control-kunder har en migreringsvägen för sina appar och tjänster som minimerar mängden arbete som krävs för att flytta från Access Control.Our aim in working with Ping Identity and Auth0 is to ensure that all Access Control customers have a migration path for their apps and services that minimizes the amount of work required to move from Access Control.

Webbtjänster som använder active-autentiseringWeb services that use active authentication

Access Control erbjuder följande funktioner och egenskaper för webbtjänster som skyddas med token som utfärdas av Access Control:For web services that are secured with tokens issued by Access Control, Access Control offers the following features and capabilities:

  • Möjligheten att registrera en eller flera tjänstidentiteter i Access Control-namnområdet.Ability to register one or more service identities in your Access Control namespace. Tjänstidentiteter kan användas för att begära token.Service identities can be used to request tokens.
  • Stöd för OAuth OMSLUTA och OAuth 2.0 Draft 13 protokoll för att begära token, med hjälp av följande typer av autentiseringsuppgifter:Support for the OAuth WRAP and OAuth 2.0 Draft 13 protocols for requesting tokens, by using the following types of credentials:
    • Enkla lösenord som har skapats för tjänstidentitetA simple password that's created for the service identity
    • En signerad SWT med hjälp av en symmetrisk nyckel eller X509 certifikatA signed SWT by using a symmetric key or X509 certificate
    • En SAML-token som utfärdats av en betrodd identitetsleverantör (vanligtvis en AD FS-instans)A SAML token issued by a trusted identity provider (typically, an AD FS instance)
  • Stöd för följande token format: JWT, SAML 1.1, SAML 2.0, and SWT.Support for the following token formats: JWT, SAML 1.1, SAML 2.0, and SWT.
  • Enkel token omvandling regler.Simple token transformation rules.

-Tjänstidentiteter i Access Control används vanligtvis för att implementera server-till-server-autentisering.Service identities in Access Control are typically used to implement server-to-server authentication.

Migrera till Azure Active DirectoryMigrate to Azure Active Directory

Vår rekommendation för den här typen av autentiseringsflödet är att migrera till Azure Active Directory.Our recommendation for this type of authentication flow is to migrate to Azure Active Directory. Azure AD är molnbaserad identitetsleverantör för Microsoft arbets- eller skolkonton.Azure AD is the cloud-based identity provider for Microsoft work or school accounts. Azure AD är identitetsleverantören för Office 365, Azure och mycket mer.Azure AD is the identity provider for Office 365, Azure, and much more.

Du kan också använda Azure AD för autentisering av server-till-server med hjälp av Azure AD-implementeringen av OAuth-klientautentiseringsuppgifter.You can also use Azure AD for server-to-server authentication by using the Azure AD implementation of the OAuth client credentials grant. I följande tabell jämförs funktionerna i Access Control i server-till-server-autentisering med de som är tillgängliga i Azure AD.The following table compares the capabilities of Access Control in server-to-server authentication with those that are available in Azure AD.

FunktionCapability Stöd för kontroll av åtkomstAccess Control support Stöd för Azure ADAzure AD support
Så här registrerar du en webbtjänstHow to register a web service Skapa en förlitande part i Access Control-hanteringsportalenCreate a relying party in the Access Control management portal Skapa en Azure AD-webbapp i Azure portalCreate an Azure AD web application in the Azure portal
Så här registrerar du en klientHow to register a client Skapa en tjänstidentitet i Access Control-hanteringsportalenCreate a service identity in Access Control management portal Skapa en annan Azure AD-webbappen i Azure portalCreate another Azure AD web application in the Azure portal
Protokoll som användsProtocol used -OAuth OMSLUTNING protokoll- OAuth WRAP protocol
-Beviljande av autentiseringsuppgifter för OAuth 2.0 Draft 13-klient- OAuth 2.0 Draft 13 client credentials grant
Beviljande av autentiseringsuppgifter för OAuth 2.0-klientOAuth 2.0 client credentials grant
KlientautentiseringsmetoderClient authentication methods -Enkla lösenord- Simple password
- Signed SWT- Signed SWT
-SAML token från en extern identitetsprovider- SAML token from a federated identity provider
-Enkla lösenord- Simple password
- Signed JWT- Signed JWT
Token-formatToken formats -JWT- JWT
-SAML 1.1- SAML 1.1
-SAML 2.0- SAML 2.0
- SWT- SWT
Endast JWTJWT only
Token-transformeringToken transformation -Lägga till anpassade anspråk- Add custom claims
-Enkel if-then-anspråksutfärdande logik- Simple if-then claim issuance logic
Lägg till anpassade anspråkAdd custom claims
Automatisera konfiguration och hantering av uppgifterAutomate configuration and management tasks Stöds via Access Control Management ServiceSupported via Access Control Management Service Stöds via Microsoft Graph och Azure AD Graph APISupported via Microsoft Graph and Azure AD Graph API

Information om hur du implementerar server-till-server-scenarier finns i följande resurser:For guidance about implementing server-to-server scenarios, see the following resources:

Migrera till Ping Identity eller Auth0Migrate to Ping Identity or Auth0

I vissa fall kanske du upptäcker att autentiseringsuppgifter för Azure AD-klienten och OAuth ger implementering inte är tillräckligt för att ersätta Access Control i din arkitektur utan större kodändringar.In some cases, you might find that the Azure AD client credentials and the OAuth grant implementation aren't sufficient to replace Access Control in your architecture without major code changes. Några vanliga exempel kan vara:Some common examples might include:

  • Server-till-server-autentisering med hjälp av token format än JWTs.Server-to-server authentication using token formats other than JWTs.
  • Server-till-server-autentisering med hjälp av en inkommande token som tillhandahålls av en extern identitetsleverantör.Server-to-server authentication using an input token provided by an external identity provider.
  • Server-till-server-autentisering med token omvandling regler som Azure AD inte kan återskapa.Server-to-server authentication with token transformation rules that Azure AD cannot reproduce.

I dessa fall kan du migrera ditt webbprogram till en annan molntjänst för autentisering.In these cases, you might consider migrating your web application to another cloud authentication service. Vi rekommenderar att utforska följande alternativ.We recommend exploring the following options. Var och en av följande alternativ erbjuder funktioner som liknar Access Control:Each of the following options offer capabilities similar to Access Control:

Auth0 Auth0 är en flexibel molnidentitetstjänst som har skapat övergripande riktlinjer för kunder för åtkomstkontroll, och har stöd för nästan alla funktioner som ACS.Auth0 is a flexible cloud identity service that has created high-level migration guidance for customers of Access Control, and supports nearly every feature that ACS does.
Ping Ping Identity erbjuder två lösningar som liknar ACS.Ping Identity offers two solutions similar to ACS. PingOne är en molnbaserad identitetstjänst som har stöd för många av samma funktioner som ACS och PingFederate är liknande på lokala identitet produkt som erbjuder mer flexibilitet.PingOne is a cloud identity service that supports many of the same features as ACS, and PingFederate is a similar on premises identity product that offers more flexibility. Referera till Ping's ACS tillbakadragande vägledning för mer information om hur du använder dessa produkter.Refer to Ping's ACS retirement guidance for more details on using these products.

Vårt syfte i att arbeta med Ping Identity och Auth0 är att säkerställa att alla Access Control-kunder har en migreringsvägen för sina appar och tjänster som minimerar mängden arbete som krävs för att flytta från Access Control.Our aim in working with Ping Identity and Auth0 is to ensure that all Access Control customers have a migration path for their apps and services that minimizes the amount of work required to move from Access Control.

DirektautentiseringPassthrough authentication

För-autentisering med godtyckliga token omvandling finns det ingen motsvarande Microsoft-teknik till ACS.For passthrough authentication with arbitrary token transformation, there is no equivalent Microsoft technology to ACS. Om det är vad dina kunder behöver vara Auth0 som ger den närmaste uppskattning-lösningen.If that is what your customers need, Auth0 might be the one who provides the closest approximation solution.

Frågor och funderingar feedbackQuestions, concerns, and feedback

Vi förstår att många kunder för åtkomstkontroll inte att hitta en säker migreringssökväg när du har läst den här artikeln.We understand that many Access Control customers won't find a clear migration path after reading this article. Du kanske behöver lite hjälp eller vägledning för att fastställa rätt plan.You might need some assistance or guidance in determining the right plan. Om du vill diskutera dina Migreringsscenarier och frågor kan du lämna en kommentar på den här sidan.If you would like to discuss your migration scenarios and questions, please leave a comment on this page.