Anvisningar: Migrera från Azure Access Control ServiceHow to: Migrate from the Azure Access Control Service

Microsoft Azure Access Control Service (ACS), en tjänst Azure Active Directory (Azure AD) tas ur bruk den 7 november 2018.Microsoft Azure Access Control Service (ACS), a service of Azure Active Directory (Azure AD), will be retired on November 7, 2018. Program och tjänster som för närvarande använder Access Control måste migreras fullständigt till en annan autentiseringsmekanism av.Applications and services that currently use Access Control must be fully migrated to a different authentication mechanism by then. Den här artikeln beskriver rekommendationer för aktuella kunder, när du planerar att använda Access Control.This article describes recommendations for current customers, as you plan to deprecate your use of Access Control. Om du inte använder Access Control för närvarande behöver du inte vidta några åtgärder.If you don't currently use Access Control, you don't need to take any action.

ÖversiktOverview

Access Control är en molnbaserad autentiseringstjänst som ger ett enkelt sätt att autentisera och auktorisera användare för åtkomst till dina webb program och-tjänster.Access Control is a cloud authentication service that offers an easy way to authenticate and authorize users for access to your web applications and services. Det gör att många funktioner för autentisering och auktorisering kan delas ut från din kod.It allows many features of authentication and authorization to be factored out of your code. Access Control används främst av utvecklare och arkitekter av Microsoft .NET-klienter, ASP.NET webb program och Windows Communication Foundation (WCF)-webb tjänster.Access Control is primarily used by developers and architects of Microsoft .NET clients, ASP.NET web applications, and Windows Communication Foundation (WCF) web services.

Användnings fall för Access Control kan delas upp i tre huvud kategorier:Use cases for Access Control can be broken down into three main categories:

  • Autentisering till vissa Microsofts moln tjänster, inklusive Azure Service Bus och Dynamics CRM.Authenticating to certain Microsoft cloud services, including Azure Service Bus and Dynamics CRM. Klient program hämtar tokens från Access Control för att autentisera till dessa tjänster för att utföra olika åtgärder.Client applications obtain tokens from Access Control to authenticate to these services to perform various actions.
  • Lägga till autentisering till webb program, både anpassade och förpaketerade (som SharePoint).Adding authentication to web applications, both custom and prepackaged (like SharePoint). Genom att använda Access Control "passiv" autentisering kan webb program stödja inloggning med en Microsoft-konto (tidigare Live ID) och med konton från Google, Facebook, Yahoo, Azure AD och Active Directory Federation Services (AD FS) (AD FS).By using Access Control "passive" authentication, web applications can support sign-in with a Microsoft account (formerly Live ID), and with accounts from Google, Facebook, Yahoo, Azure AD, and Active Directory Federation Services (AD FS).
  • Skydda anpassade webb tjänster med token som utfärdats av Access Control.Securing custom web services with tokens issued by Access Control. Genom att använda "aktiv"-autentisering kan webb tjänster säkerställa att de endast tillåter åtkomst till kända klienter som har autentiserats med Access Control.By using "active" authentication, web services can ensure that they allow access only to known clients that have authenticated with Access Control.

Var och en av dessa användnings områden och deras rekommenderade migrations strategier beskrivs i följande avsnitt.Each of these use cases and their recommended migration strategies are discussed in the following sections.

Varning

I de flesta fall krävs betydande kod ändringar för att migrera befintliga appar och tjänster till nyare tekniker.In most cases, significant code changes are required to migrate existing apps and services to newer technologies. Vi rekommenderar att du omedelbart börjar planera och utföra migreringen för att undvika eventuella avbrott eller avbrott.We recommend that you immediately begin planning and executing your migration to avoid any potential outages or downtime.

Access Control innehåller följande komponenter:Access Control has the following components:

  • En säker token service (STS), som tar emot autentiseringsbegäranden och utfärdar säkerhetstoken i retur.A secure token service (STS), which receives authentication requests and issues security tokens in return.
  • Den klassiska Azure-portalen där du skapar, tar bort och aktiverar och inaktiverar Access Control namn områden.The Azure classic portal, where you create, delete, and enable and disable Access Control namespaces.
  • En separat Access Control hanterings portal där du kan anpassa och konfigurera Access Control namnrum.A separate Access Control management portal, where you customize and configure Access Control namespaces.
  • En hanterings tjänst som du kan använda för att automatisera funktionerna i portalerna.A management service, which you can use to automate the functions of the portals.
  • En regel motor för token-omvandling, som du kan använda för att definiera komplex logik för att ändra utdataformatet i tokens som Access Control problem.A token transformation rule engine, which you can use to define complex logic to manipulate the output format of tokens that Access Control issues.

Om du vill använda dessa komponenter måste du skapa en eller flera Access Control namnrum.To use these components, you must create one or more Access Control namespaces. Ett namn område är en dedikerad instans av Access Control som dina program och tjänster kommunicerar med.A namespace is a dedicated instance of Access Control that your applications and services communicate with. Ett namn område är isolerat från alla andra Access Control-kunder.A namespace is isolated from all other Access Control customers. Andra Access Control kunder använder sina egna namn rymder.Other Access Control customers use their own namespaces. Ett namn område i Access Control har en dedikerad URL som ser ut så här:A namespace in Access Control has a dedicated URL that looks like this:

https://<mynamespace>.accesscontrol.windows.net

All kommunikation med STS-och Management-åtgärderna görs på denna URL.All communication with the STS and management operations are done at this URL. Du använder olika sökvägar för olika syfte.You use different paths for different purposes. För att avgöra om dina program eller tjänster använder Access Control övervaka för all trafik till https://<namespace>. AccessControl.Windows.net.To determine whether your applications or services use Access Control, monitor for any traffic to https://<namespace>.accesscontrol.windows.net. All trafik till denna URL hanteras av Access Control och måste avbrytas.Any traffic to this URL is handled by Access Control, and needs to be discontinued.

Undantaget till detta är all trafik till https://accounts.accesscontrol.windows.net.The exception to this is any traffic to https://accounts.accesscontrol.windows.net. Trafik till denna URL hanteras redan av en annan tjänst och påverkas inte av Access Control-utfasningen.Traffic to this URL is already handled by a different service and is not affected by the Access Control deprecation.

Mer information om Access Control finns i Access Control Service 2,0 (arkiverad).For more information about Access Control, see Access Control Service 2.0 (archived).

Ta reda på vilka appar som kommer att påverkasFind out which of your apps will be impacted

Följ stegen i det här avsnittet för att ta reda på vilka av dina appar som kommer att påverkas av ACS-pensionering.Follow the steps in this section to find out which of your apps will be impacted by ACS retirement.

Hämta och installera ACS PowerShellDownload and install ACS PowerShell

  1. Gå till PowerShell-galleriet och hämta ACS. Namespaces.Go to the PowerShell Gallery and download Acs.Namespaces.

  2. Installera modulen genom att köraInstall the module by running

    Install-Module -Name Acs.Namespaces
    
  3. Hämta en lista över alla möjliga kommandon genom att köraGet a list of all possible commands by running

    Get-Command -Module Acs.Namespaces
    

    Om du vill ha hjälp med ett speciellt kommando kör du:To get help on a specific command, run:

     Get-Help [Command-Name] -Full
    

    där [Command-Name] är namnet på ACS-kommandot.where [Command-Name] is the name of the ACS command.

Visa en lista över ACS-namnrymderList your ACS namespaces

  1. Anslut till ACS med cmdleten Connect-AcsAccount .Connect to ACS using the Connect-AcsAccount cmdlet.

    Du kan behöva köra Set-ExecutionPolicy -ExecutionPolicy Bypass innan du kan köra kommandon och vara administratör för dessa prenumerationer för att kunna köra kommandona.You may need to run Set-ExecutionPolicy -ExecutionPolicy Bypass before you can execute commands and be the admin of those subscriptions in order to execute the commands.

  2. Lista dina tillgängliga Azure-prenumerationer med hjälp av cmdleten Get-AcsSubscription .List your available Azure subscriptions using the Get-AcsSubscription cmdlet.

  3. Visa en lista med ACS-namnområden med cmdleten Get-AcsNamespace .List your ACS namespaces using the Get-AcsNamespace cmdlet.

Kontrol lera vilka program som påverkasCheck which applications will be impacted

  1. Använd namn området från föregående steg och gå tillhttps://<namespace>.accesscontrol.windows.netUse the namespace from the previous step and go to https://<namespace>.accesscontrol.windows.net

    Om ett av namn områdena till exempel är contoso-test går du tillhttps://contoso-test.accesscontrol.windows.netFor example, if one of the namespaces is contoso-test, go to https://contoso-test.accesscontrol.windows.net

  2. Under förtroende relationerväljer du förlitande part program om du vill se en lista över appar som kommer att påverkas av ACS-pensionen.Under Trust relationships, select Relying party applications to see the list of apps that will be impacted by ACS retirement.

  3. Upprepa steg 1-2 för alla andra ACS-namnrymder som du har.Repeat steps 1-2 for any other ACS namespace(s) that you have.

Schema för pensioneringRetirement schedule

Från och med november 2017 stöds alla Access Control-komponenter fullständigt och fungerar.As of November 2017, all Access Control components are fully supported and operational. Den enda begränsningen är att du inte kan skapa nya Access Control-namnområden via den klassiska Azure-portalen.The only restriction is that you can't create new Access Control namespaces via the Azure classic portal.

Här är schemat för inaktuella Access Control-komponenter:Here's the schedule for deprecating Access Control components:

  • November 2017: Administratörs upplevelsen för Azure AD i den klassiska Azure-portalen har dragits tillbaka.November 2017: The Azure AD admin experience in the Azure classic portal is retired. Nu finns namn områdes hantering för Access Control på en ny, dedikerad URL: https://manage.windowsazure.com?restoreClassic=true.At this point, namespace management for Access Control is available at a new, dedicated URL: https://manage.windowsazure.com?restoreClassic=true. Använd den här URl: en för att visa befintliga namn områden, aktivera och inaktivera namn områden och ta bort namnrum om du väljer att.Use this URl to view your existing namespaces, enable and disable namespaces, and to delete namespaces, if you choose to.
  • 2 April 2018: Den klassiska Azure-portalen är helt tillbakadragen, vilket innebär att Access Control namn områdes hantering inte längre är tillgängligt via någon URL.April 2, 2018: The Azure classic portal is completely retired, meaning Access Control namespace management is no longer available via any URL. I det här läget kan du inte inaktivera eller aktivera, ta bort eller räkna upp Access Control namnrum.At this point, you can't disable or enable, delete, or enumerate your Access Control namespaces. Access Control hanterings portalen är dock helt funktionell och finns på https://\<namespace\>.accesscontrol.windows.net.However, the Access Control management portal will be fully functional and located at https://\<namespace\>.accesscontrol.windows.net. Alla andra komponenter i Access Control fortsätta att arbeta normalt.All other components of Access Control continue to operate normally.
  • 7 November 2018: Alla Access Controls komponenter stängs av permanent.November 7, 2018: All Access Control components are permanently shut down. Detta inkluderar Access Control hanterings Portal, hanterings tjänst, STS och token för token för omvandling av token.This includes the Access Control management portal, the management service, STS, and the token transformation rule engine. I det här läget går det inte att skicka förfrågningar som skickats <till>Access Control (finns på namespace. AccessControl.Windows.net).At this point, any requests sent to Access Control (located at <namespace>.accesscontrol.windows.net) fail. Du bör ha migrerat alla befintliga appar och tjänster till andra tekniker precis innan den här gången.You should have migrated all existing apps and services to other technologies well before this time.

Anteckning

En princip inaktiverar namn rymder som inte har begärt en token under en viss tids period.A policy disables namespaces that have not requested a token for a period of time. Från och med den tidigaste september 2018 är denna tids period för närvarande 14 dagar av inaktivitet, men detta kommer att kortas till 7 dagars inaktivitet under de kommande veckorna.As of early September 2018, this period of time is currently at 14 days of inactivity, but this will be shortened to 7 days of inactivity in the coming weeks. Om du har Access Control namn områden som för närvarande är inaktiverade kan du Hämta och installera ACS PowerShell för att återaktivera namn områdena.If you have Access Control namespaces that are currently disabled, you can download and install ACS PowerShell to re-enable the namespace(s).

MigreringsstrategierMigration strategies

I följande avsnitt beskrivs övergripande rekommendationer för migrering från Access Control till andra Microsoft-tekniker.The following sections describe high-level recommendations for migrating from Access Control to other Microsoft technologies.

Klienter i Microsofts moln tjänsterClients of Microsoft cloud services

Varje moln tjänst från Microsoft som accepterar token som utfärdas av Access Control stöder nu minst en annan form av autentisering.Each Microsoft cloud service that accepts tokens that are issued by Access Control now supports at least one alternate form of authentication. Rätt autentiseringsmekanism varierar för varje tjänst.The correct authentication mechanism varies for each service. Vi rekommenderar att du läser den detaljerade dokumentationen för varje tjänst för officiell vägledning.We recommend that you refer to the specific documentation for each service for official guidance. För enkelhetens skull finns varje uppsättning dokumentation här:For convenience, each set of documentation is provided here:

TjänstenService RiktlinjerGuidance
Azure Service BusAzure Service Bus Migrera till signaturer för delad åtkomstMigrate to shared access signatures
Azure Service Bus reläAzure Service Bus Relay Migrera till signaturer för delad åtkomstMigrate to shared access signatures
Azure Managed CacheAzure Managed Cache Migrera till Azure cache för RedisMigrate to Azure Cache for Redis
Azure DataMarketAzure DataMarket Migrera till API:er för Cognitive ServicesMigrate to the Cognitive Services APIs
BizTalk ServicesBizTalk Services Migrera till Logic Apps funktionen i Azure App ServiceMigrate to the Logic Apps feature of Azure App Service
Azure Media ServicesAzure Media Services Migrera till Azure AD-autentiseringMigrate to Azure AD authentication
Azure BackupAzure Backup Uppgradera Azure Backup AgentUpgrade the Azure Backup agent

SharePoint-kunderSharePoint customers

SharePoint 2013-, 2016-och SharePoint Online-kunder har länge använt ACS för autentisering i molnet, lokalt och i hybrid scenarion.SharePoint 2013, 2016, and SharePoint Online customers have long used ACS for authentication purposes in cloud, on premises, and hybrid scenarios. Vissa SharePoint-funktioner och användnings fall kommer att påverkas av ACS-dragande, medan andra inte kommer.Some SharePoint features and use cases will be affected by ACS retirement, while others will not. I tabellen nedan sammanfattas vägledningen för migrering för några av de mest populära SharePoint-funktionerna som utnyttjar ACS:The below table summarizes migration guidance for some of the most popular SharePoint feature that leverage ACS:

FunktionFeature RiktlinjerGuidance
Autentisera användare från Azure ADAuthenticating users from Azure AD Tidigare har Azure AD inte stöd för SAML 1,1-token som krävs av SharePoint för autentisering, och ACS användes som en mellanhand som gjorde SharePoint kompatibelt med Azure AD-tokens.Previously, Azure AD did not support SAML 1.1 tokens required by SharePoint for authentication, and ACS was used as an intermediary that made SharePoint compatible with Azure AD token formats. Nu kan du ansluta SharePoint direkt till Azure AD med hjälp av Azure AD App galleriet SharePoint i den lokala appen.Now, you can connect SharePoint directly to Azure AD using Azure AD App Gallery SharePoint on premises app.
App-autentisering & server-till-Server-autentisering i SharePoint lokaltApp authentication & server-to-server authentication in SharePoint on premises Påverkas inte av ACS-dragande, inga ändringar krävs.Not affected by ACS retirement; no changes necessary.
Auktorisering med lågt förtroende för SharePoint-tillägg (providern och SharePoint som värd)Low trust authorization for SharePoint add-ins (provider hosted and SharePoint hosted) Påverkas inte av ACS-dragande, inga ändringar krävs.Not affected by ACS retirement; no changes necessary.
Hybrid sökning för SharePoint-molnSharePoint cloud hybrid search Påverkas inte av ACS-dragande, inga ändringar krävs.Not affected by ACS retirement; no changes necessary.

Webb program som använder passiv autentiseringWeb applications that use passive authentication

För webb program som använder Access Control för användarautentisering är Access Control följande funktioner och funktioner för webbappens utvecklare och arkitekter:For web applications that use Access Control for user authentication, Access Control provides the following features and capabilities to web application developers and architects:

  • Djupgående integrering med Windows Identity Foundation (WIF).Deep integration with Windows Identity Foundation (WIF).
  • Federation med Google-, Facebook-, Yahoo-, Azure Active Directory-och AD FS-konton och Microsoft-konton.Federation with Google, Facebook, Yahoo, Azure Active Directory, and AD FS accounts, and Microsoft accounts.
  • Stöd för följande autentiseringsprotokoll: OAuth 2,0 Draft 13, WS-Trust och Web Services Federation (WS-Federation).Support for the following authentication protocols: OAuth 2.0 Draft 13, WS-Trust, and Web Services Federation (WS-Federation).
  • Stöd för följande token-format: JSON Web Token (JWT), SAML 1,1, SAML 2,0 och simple web token (SWT).Support for the following token formats: JSON Web Token (JWT), SAML 1.1, SAML 2.0, and Simple Web Token (SWT).
  • En identifiering av start sfär, integrerad i WIF, som gör att användarna kan välja vilken typ av konto de använder för att logga in.A home realm discovery experience, integrated into WIF, that allows users to pick the type of account they use to sign in. Den här upplevelsen är värd för webb programmet och är helt anpassningsbar.This experience is hosted by the web application and is fully customizable.
  • Token-transformering som möjliggör omfattande anpassning av de anspråk som tagits emot av webb programmet från Access Control, inklusive:Token transformation that allows rich customization of the claims received by the web application from Access Control, including:
    • Släpp igenom anspråk från identitets leverantörer.Pass through claims from identity providers.
    • Lägger till ytterligare anpassade anspråk.Adding additional custom claims.
    • Enkel if-then-logik för att utfärda anspråk under vissa förhållanden.Simple if-then logic to issue claims under certain conditions.

Tyvärr finns det ingen tjänst som erbjuder alla dessa motsvarande funktioner.Unfortunately, there isn't one service that offers all of these equivalent capabilities. Du bör utvärdera vilka funktioner i Access Control du behöver och sedan välja mellan att använda Azure Active Directory, Azure Active Directory B2C (Azure AD B2C) eller en annan molnbaserad autentiseringstjänst-tjänst.You should evaluate which capabilities of Access Control you need, and then choose between using Azure Active Directory, Azure Active Directory B2C (Azure AD B2C), or another cloud authentication service.

Migrera till Azure Active DirectoryMigrate to Azure Active Directory

En väg att överväga är att integrera dina appar och tjänster direkt med Azure AD.A path to consider is integrating your apps and services directly with Azure AD. Azure AD är den molnbaserade identitets leverantören för Microsoft arbets-eller skol konton.Azure AD is the cloud-based identity provider for Microsoft work or school accounts. Azure AD är identitets leverantören för Office 365, Azure och mycket mer.Azure AD is the identity provider for Office 365, Azure, and much more. Den ger till gång till liknande funktioner för federerade autentisering till Access Control, men har inte stöd för alla Access Controls funktioner.It provides similar federated authentication capabilities to Access Control, but doesn't support all Access Control features.

Det primära exemplet är Federation med sociala identitets leverantörer, till exempel Facebook, Google och Yahoo.The primary example is federation with social identity providers, such as Facebook, Google, and Yahoo. Om dina användare loggar in med dessa typer av autentiseringsuppgifter är Azure AD inte lösningen för dig.If your users sign in with these types of credentials, Azure AD is not the solution for you.

Azure AD stöder inte heller exakt samma autentiseringsprotokoll som Access Control.Azure AD also doesn't necessarily support the exact same authentication protocols as Access Control. Till exempel, även om både Access Control och Azure AD stöder OAuth, finns det diskreta skillnader mellan varje implementering.For example, although both Access Control and Azure AD support OAuth, there are subtle differences between each implementation. Olika implementeringar kräver att du ändrar kod som en del av en migrering.Different implementations require you to modify code as part of a migration.

Azure AD ger dock flera möjliga fördelar för att Access Control kunder.However, Azure AD does provide several potential advantages to Access Control customers. Den har inbyggt stöd för Microsoft arbets-eller skol konton som finns i molnet, som ofta används av Access Control kunder.It natively supports Microsoft work or school accounts hosted in the cloud, which are commonly used by Access Control customers.

En Azure AD-klient kan också vara federerad till en eller flera instanser av lokala Active Directory via AD FS.An Azure AD tenant can also be federated to one or more instances of on-premises Active Directory via AD FS. På så sätt kan din app autentisera molnbaserade användare och användare som finns lokalt.This way, your app can authenticate cloud-based users and users that are hosted on-premises. Det stöder även WS-Federation-protokollet, vilket gör det relativt enkelt att integrera med ett webb program med hjälp av WIF.It also supports the WS-Federation protocol, which makes it relatively straightforward to integrate with a web application by using WIF.

I följande tabell jämförs funktionerna i Access Control som är relevanta för webb program med de funktioner som är tillgängliga i Azure AD.The following table compares the features of Access Control that are relevant to web applications with those features that are available in Azure AD.

På hög nivå är Azure Active Directory förmodligen det bästa valet för din migrering om du låter användarna logga in enbart med sina arbets-eller skol konton i Microsoft.At a high level, Azure Active Directory is probably the best choice for your migration if you let users sign in only with their Microsoft work or school accounts.

FunktionCapability Access Control supportAccess Control support Support för Azure ADAzure AD support
Typer av kontonTypes of accounts
Microsoft arbets-eller skol kontonMicrosoft work or school accounts StödsSupported StödsSupported
Konton från Windows Server Active Directory och AD FSAccounts from Windows Server Active Directory and AD FS – Stöds via Federation med en Azure AD-klient- Supported via federation with an Azure AD tenant
– Stöds via direkt Federation med AD FS- Supported via direct federation with AD FS
Stöds endast via Federation med en Azure AD-klientOnly supported via federation with an Azure AD tenant
Konton från andra företags identitets hanterings systemAccounts from other enterprise identity management systems – Möjlig via Federation med en Azure AD-klient- Possible via federation with an Azure AD tenant
– Stöds via direkt Federation- Supported via direct federation
Möjlig via Federation med en Azure AD-klientPossible via federation with an Azure AD tenant
Microsoft-konton för personligt brukMicrosoft accounts for personal use StödsSupported Stöds via Azure AD v 2.0 OAuth-protokollet, men inte över några andra protokollSupported via the Azure AD v2.0 OAuth protocol, but not over any other protocols
Facebook-, Google-, Yahoo-kontonFacebook, Google, Yahoo accounts StödsSupported Stöds inte allsNot supported whatsoever
Protokoll och SDK-kompatibilitetProtocols and SDK compatibility
WIFWIF StödsSupported Stöds, men det finns begränsade instruktionerSupported, but limited instructions are available
WS-FederationWS-Federation StödsSupported StödsSupported
OAuth 2.0OAuth 2.0 Stöd för Draft 13Support for Draft 13 Stöd för RFC 6749, den senaste moderna specifikationenSupport for RFC 6749, the most modern specification
WS-TrustWS-Trust StödsSupported Stöds inteNot supported
Token-formatToken formats
JWTJWT Stöds i betaSupported In Beta StödsSupported
SAML 1.1SAML 1.1 StödsSupported FörhandsversionPreview
SAML 2.0SAML 2.0 StödsSupported StödsSupported
SWTSWT StödsSupported Stöds inteNot supported
AnpassningarCustomizations
Anpassningsbar start sfär identifiering/konto – plocknings-UICustomizable home realm discovery/account-picking UI Nedladdnings bar kod som kan införlivas i apparDownloadable code that can be incorporated into apps Stöds inteNot supported
Ladda upp anpassade certifikat för tokensigneringUpload custom token-signing certificates StödsSupported StödsSupported
Anpassa anspråk i tokenCustomize claims in tokens -Släpp igenom inloggade anspråk från identitets leverantörer- Pass through input claims from identity providers
– Hämta åtkomsttoken från identitets leverantören som ett anspråk- Get access token from identity provider as a claim
– Utfärda utgående anspråk baserat på värden för indata-anspråk- Issue output claims based on values of input claims
– Utfärda utgående anspråk med konstanta värden- Issue output claims with constant values
-Det går inte att släppa igenom anspråk från federerade identitets leverantörer- Cannot pass through claims from federated identity providers
-Det går inte att hämta åtkomsttoken från identitets leverantören som ett anspråk- Cannot get access token from identity provider as a claim
-Det går inte att utfärda utgående anspråk baserat på värden för indata-anspråk- Cannot issue output claims based on values of input claims
-Kan utfärda utgående anspråk med konstanta värden- Can issue output claims with constant values
-Kan utfärda utgående anspråk baserat på Egenskaper för användare som har synkroniserats till Azure AD- Can issue output claims based on properties of users synced to Azure AD
AutomationAutomation
Automatisera konfigurations-och hanterings uppgifterAutomate configuration and management tasks Stöds via Access Control hanterings tjänstSupported via Access Control Management Service Stöds via Microsoft Graph och Azure AD Graph APISupported via Microsoft Graph and Azure AD Graph API

Om du bestämmer att Azure AD är den bästa sökvägen för migrering för dina program och tjänster, bör du vara medveten om två sätt att integrera din app med Azure AD.If you decide that Azure AD is the best migration path for your applications and services, you should be aware of two ways to integrate your app with Azure AD.

Om du vill använda WS-Federation eller WIF för att integrera med Azure AD rekommenderar vi att du följer metoden som beskrivs i Konfigurera federerad enkel inloggning för ett program som inte är ett galleri program.To use WS-Federation or WIF to integrate with Azure AD, we recommend following the approach described in Configure federated single sign-on for a non-gallery application. Artikeln handlar om hur du konfigurerar Azure AD för SAML-baserad enkel inloggning, men som även fungerar för att konfigurera WS-Federation.The article refers to configuring Azure AD for SAML-based single sign-on, but also works for configuring WS-Federation. Följande metod kräver en Azure AD Premium-licens.Following this approach requires an Azure AD Premium license. Den här metoden har två fördelar:This approach has two advantages:

  • Du får fullständig flexibilitet för Azure AD-token-anpassning.You get the full flexibility of Azure AD token customization. Du kan anpassa de anspråk som utfärdas av Azure AD för att matcha de anspråk som utfärdas av Access Control.You can customize the claims that are issued by Azure AD to match the claims that are issued by Access Control. Detta omfattar särskilt användar-ID eller namn-ID-anspråk.This especially includes the user ID or Name Identifier claim. Om du vill fortsätta att ta emot konsekventa användar identifierare för användarna när du har ändrat teknik kontrollerar du att de användar-ID: n som utfärdats av Azure AD matchar de som utfärdats av Access Control.To continue to receive consistent user IDentifiers for your users after you change technologies, ensure that the user IDs issued by Azure AD match those issued by Access Control.
  • Du kan konfigurera ett certifikat för tokensignering som är specifika för ditt program och med en livs längd som du styr.You can configure a token-signing certificate that is specific to your application, and with a lifetime that you control.

Anteckning

Den här metoden kräver en Azure AD Premium-licens.This approach requires an Azure AD Premium license. Om du är Access Control kund och behöver en Premium-licens för att ställa in en enkel inloggning för ett program, så kontakta oss.If you are an Access Control customer and you require a premium license for setting up single-sign on for an application, contact us. Vi är glada över att tillhandahålla utvecklings licenser som du kan använda.We'll be happy to provide developer licenses for you to use.

En annan metod är att följa det här kod exemplet, vilket ger något annorlunda instruktioner för att konfigurera WS-Federation.An alternative approach is to follow this code sample, which gives slightly different instructions for setting up WS-Federation. Det här kod exemplet använder inte WIF, utan i stället ASP.NET 4,5 OWIN mellan.This code sample does not use WIF, but rather, the ASP.NET 4.5 OWIN middleware. Instruktionerna för registrering av appar är dock giltiga för appar som använder WIF och kräver inte någon Azure AD Premium-licens.However, the instructions for app registration are valid for apps using WIF, and don't require an Azure AD Premium license.

Om du väljer den här metoden måste du förstå förnyelse av signerings nyckel i Azure AD.If you choose this approach, you need to understand signing key rollover in Azure AD. I den här metoden används den globala Azure AD-signerings nyckeln för att utfärda token.This approach uses the Azure AD global signing key to issue tokens. Som standard uppdaterar WIF inte signerings nycklar automatiskt.By default, WIF does not automatically refresh signing keys. När Azure AD roterar sina globala signerings nycklar måste din WIF-implementering förberedas för att godkänna ändringarna.When Azure AD rotates its global signing keys, your WIF implementation needs to be prepared to accept the changes. Mer information finns i viktig information om förnyelse av signerings nyckel i Azure AD.For more information, see Important information about signing key rollover in Azure AD.

Om du kan integrera med Azure AD via OpenID Connect eller OAuth-protokoll rekommenderar vi att du gör det.If you can integrate with Azure AD via the OpenID Connect or OAuth protocols, we recommend doing so. Vi har omfattande dokumentation och vägledning om hur du integrerar Azure AD i ditt webb program i Azure AD Developer Guide.We have extensive documentation and guidance about how to integrate Azure AD into your web application available in our Azure AD developer guide.

Migrera till Azure Active Directory B2CMigrate to Azure Active Directory B2C

Den andra sökvägen till migrering att överväga är Azure AD B2C.The other migration path to consider is Azure AD B2C. Azure AD B2C är en molnbaserad tjänst i molnet som Access Control, så att utvecklare kan hantera sin autentiserings-och identitets hanterings logik till en moln tjänst.Azure AD B2C is a cloud authentication service that, like Access Control, allows developers to outsource their authentication and identity management logic to a cloud service. Det är en betald tjänst (med kostnads fria och Premium-nivåer) som är avsedd för konsument program som kan ha upp till miljon tals aktiva användare.It's a paid service (with free and premium tiers) that is designed for consumer-facing applications that might have up to millions of active users.

Precis som Access Control är en av de mest attraktiva funktionerna i Azure AD B2C att den stöder många olika typer av konton.Like Access Control, one of the most attractive features of Azure AD B2C is that it supports many different types of accounts. Med Azure AD B2C kan du logga in användare med deras Microsoft-konto-eller Facebook-, Google-, LinkedIn-, GitHub-eller Yahoo-konton med mera.With Azure AD B2C, you can sign in users by using their Microsoft account, or Facebook, Google, LinkedIn, GitHub, or Yahoo accounts, and more. Azure AD B2C stöder också "lokala konton" eller användar namn och lösen ord som användare skapar specifikt för ditt program.Azure AD B2C also supports "local accounts," or username and passwords that users create specifically for your application. Azure AD B2C ger också omfattande utöknings barhet som du kan använda för att anpassa dina inloggnings flöden.Azure AD B2C also provides rich extensibility that you can use to customize your sign-in flows.

Azure AD B2C stöder dock inte bredden på autentiseringsprotokoll och token-format som Access Control kunder kan behöva.However, Azure AD B2C doesn't support the breadth of authentication protocols and token formats that Access Control customers might require. Du kan inte heller använda Azure AD B2C för att hämta token och fråga om du vill ha mer information om användaren från identitets leverantören, Microsoft eller på annat sätt.You also can't use Azure AD B2C to get tokens and query for additional information about the user from the identity provider, Microsoft or otherwise.

I följande tabell jämförs funktionerna i Access Control som är relevanta för webb program med de som är tillgängliga i Azure AD B2C.The following table compares the features of Access Control that are relevant to web applications with those that are available in Azure AD B2C. På hög nivå är Azure AD B2C förmodligen det rätta valet för din migrering om ditt program är kund riktat eller om det stöder många olika typer av konton.At a high level, Azure AD B2C is probably the right choice for your migration if your application is consumer facing, or if it supports many different types of accounts.

FunktionCapability Access Control supportAccess Control support Azure AD B2C supportAzure AD B2C support
Typer av kontonTypes of accounts
Microsoft arbets-eller skol kontonMicrosoft work or school accounts StödsSupported Stöds via anpassade principerSupported via custom policies
Konton från Windows Server Active Directory och AD FSAccounts from Windows Server Active Directory and AD FS Stöds via direkt Federation med AD FSSupported via direct federation with AD FS Stöds via SAML Federation med anpassade principerSupported via SAML federation by using custom policies
Konton från andra företags identitets hanterings systemAccounts from other enterprise identity management systems Stöds via direkt Federation via WS-FederationSupported via direct federation through WS-Federation Stöds via SAML Federation med anpassade principerSupported via SAML federation by using custom policies
Microsoft-konton för personligt brukMicrosoft accounts for personal use StödsSupported StödsSupported
Facebook-, Google-, Yahoo-kontonFacebook, Google, Yahoo accounts StödsSupported Facebook och Google stöds internt, Yahoo som stöds via OpenID Connect Federation med anpassade principerFacebook and Google supported natively, Yahoo supported via OpenID Connect federation by using custom policies
Protokoll och SDK-kompatibilitetProtocols and SDK compatibility
Windows Identity Foundation (WIF)Windows Identity Foundation (WIF) StödsSupported Stöds inteNot supported
WS-FederationWS-Federation StödsSupported Stöds inteNot supported
OAuth 2.0OAuth 2.0 Stöd för Draft 13Support for Draft 13 Stöd för RFC 6749, den senaste moderna specifikationenSupport for RFC 6749, the most modern specification
WS-TrustWS-Trust StödsSupported Stöds inteNot supported
Token-formatToken formats
JWTJWT Stöds i betaSupported In Beta StödsSupported
SAML 1.1SAML 1.1 StödsSupported Stöds inteNot supported
SAML 2.0SAML 2.0 StödsSupported Stöds inteNot supported
SWTSWT StödsSupported Stöds inteNot supported
AnpassningarCustomizations
Anpassningsbar start sfär identifiering/konto – plocknings-UICustomizable home realm discovery/account-picking UI Nedladdnings bar kod som kan införlivas i apparDownloadable code that can be incorporated into apps Fullständigt anpassningsbart gränssnitt via anpassad CSSFully customizable UI via custom CSS
Ladda upp anpassade certifikat för tokensigneringUpload custom token-signing certificates StödsSupported Anpassade signerings nycklar, inte certifikat, stöds via anpassade principerCustom signing keys, not certificates, supported via custom policies
Anpassa anspråk i tokenCustomize claims in tokens -Släpp igenom inloggade anspråk från identitets leverantörer- Pass through input claims from identity providers
– Hämta åtkomsttoken från identitets leverantören som ett anspråk- Get access token from identity provider as a claim
– Utfärda utgående anspråk baserat på värden för indata-anspråk- Issue output claims based on values of input claims
– Utfärda utgående anspråk med konstanta värden- Issue output claims with constant values
– Kan släppa igenom anspråk från identitets leverantörer. anpassade principer som krävs för vissa anspråk- Can pass through claims from identity providers; custom policies required for some claims
-Det går inte att hämta åtkomsttoken från identitets leverantören som ett anspråk- Cannot get access token from identity provider as a claim
-Kan utfärda utgående anspråk baserat på värden för indata-anspråk via anpassade principer- Can issue output claims based on values of input claims via custom policies
-Kan utfärda utgående anspråk med konstanta värden via anpassade principer- Can issue output claims with constant values via custom policies
AutomationAutomation
Automatisera konfigurations-och hanterings uppgifterAutomate configuration and management tasks Stöds via Access Control hanterings tjänstSupported via Access Control Management Service – Skapa användare som tillåts via Azure AD Graph API- Creation of users allowed via Azure AD Graph API
-Det går inte att skapa B2C-klienter, program eller principer program mässigt- Cannot create B2C tenants, applications, or policies programmatically

Om du bestämmer att Azure AD B2C är den bästa migreringen för dina program och tjänster börjar du med följande resurser:If you decide that Azure AD B2C is the best migration path for your applications and services, begin with the following resources:

Migrera till ping-identitet eller Auth0Migrate to Ping Identity or Auth0

I vissa fall kanske du upptäcker att Azure AD och Azure AD B2C inte räcker för att ersätta Access Control i dina webb program utan att göra stora kod ändringar.In some cases, you might find that Azure AD and Azure AD B2C aren't sufficient to replace Access Control in your web applications without making major code changes. Några vanliga exempel kan vara:Some common examples might include:

  • Webb program som använder WIF eller WS-Federation för inloggning med sociala identitets leverantörer som Google eller Facebook.Web applications that use WIF or WS-Federation for sign-in with social identity providers such as Google or Facebook.
  • Webb program som utför direkt Federation till en företags identitets leverantör via WS-Federation-protokollet.Web applications that perform direct federation to an enterprise identity provider over the WS-Federation protocol.
  • Webb program som kräver åtkomst-token som utfärdats av en social identitetsprovider (till exempel Google eller Facebook) som ett anspråk i de token som utfärdas av Access Control.Web applications that require the access token issued by a social identity provider (such as Google or Facebook) as a claim in the tokens issued by Access Control.
  • Webb program med komplex token-omvandlings regler som Azure AD eller Azure AD B2C inte kan återskapa.Web applications with complex token transformation rules that Azure AD or Azure AD B2C can't reproduce.
  • Webb program för flera innehavare som använder ACS för att centralt hantera Federation till många olika identitets leverantörerMulti-tenant web applications that use ACS to centrally manage federation to many different identity providers

I dessa fall kanske du vill överväga att migrera ditt webb program till en annan molnbaserad autentiseringstjänst.In these cases, you might want to consider migrating your web application to another cloud authentication service. Vi rekommenderar att du utforskar följande alternativ.We recommend exploring the following options. Var och en av följande alternativ erbjuder funktioner som liknar Access Control:Each of the following options offer capabilities similar to Access Control:

Den här bilden visar Auth0-logotypen Auth0 är en flexibel moln identitets tjänst som har skapat vägledning för migrering på hög nivå för kunder i Access Controloch har stöd för nästan alla funktioner i ACS.Auth0 is a flexible cloud identity service that has created high-level migration guidance for customers of Access Control, and supports nearly every feature that ACS does.
Den här bilden visar ping identitet-logo typen Ping Identity erbjuder två lösningar som liknar ACS.Ping Identity offers two solutions similar to ACS. PingOne är en moln identitets tjänst som stöder många av samma funktioner som ACS, och PingFederate är en liknande lokal identitets produkt som erbjuder mer flexibilitet.PingOne is a cloud identity service that supports many of the same features as ACS, and PingFederate is a similar on premises identity product that offers more flexibility. Mer information om hur du använder dessa produkter finns i ping: s indragnings vägledning för ACS .Refer to Ping's ACS retirement guidance for more details on using these products.

Vårt mål att arbeta med ping Identity och Auth0 är att se till att alla Access Control kunder har en migrerings Sök väg för sina appar och tjänster som minimerar mängden arbete som krävs för att flytta från Access Control.Our aim in working with Ping Identity and Auth0 is to ensure that all Access Control customers have a migration path for their apps and services that minimizes the amount of work required to move from Access Control.

Webb tjänster som använder aktiv autentiseringWeb services that use active authentication

För webb tjänster som skyddas med token som utfärdats av Access Control erbjuder Access Control följande funktioner:For web services that are secured with tokens issued by Access Control, Access Control offers the following features and capabilities:

  • Möjlighet att registrera en eller flera tjänst identiteter i Access Control namn området.Ability to register one or more service identities in your Access Control namespace. Tjänst identiteter kan användas för att begära token.Service identities can be used to request tokens.
  • Stöd för OAuth-omslutning och OAuth 2,0 Draft 13-protokoll för att begära token genom att använda följande typer av autentiseringsuppgifter:Support for the OAuth WRAP and OAuth 2.0 Draft 13 protocols for requesting tokens, by using the following types of credentials:
    • Ett enkelt lösen ord som skapas för tjänst identitetenA simple password that's created for the service identity
    • En signerad SWT med hjälp av ett symmetriskt nyckel-eller X509-certifikatA signed SWT by using a symmetric key or X509 certificate
    • En SAML-token som utfärdats av en betrodd identitets leverantör (vanligt vis en AD FS instans)A SAML token issued by a trusted identity provider (typically, an AD FS instance)
  • Stöd för följande token-format: JWT, SAML 1,1, SAML 2,0 och SWT.Support for the following token formats: JWT, SAML 1.1, SAML 2.0, and SWT.
  • Transformerings regler för enkel token.Simple token transformation rules.

Tjänst identiteter i Access Control används vanligt vis för att implementera server-till-Server-autentisering.Service identities in Access Control are typically used to implement server-to-server authentication.

Migrera till Azure Active DirectoryMigrate to Azure Active Directory

Vår rekommendation för den här typen av autentiseringspaket är att migrera till Azure Active Directory.Our recommendation for this type of authentication flow is to migrate to Azure Active Directory. Azure AD är den molnbaserade identitets leverantören för Microsoft arbets-eller skol konton.Azure AD is the cloud-based identity provider for Microsoft work or school accounts. Azure AD är identitets leverantören för Office 365, Azure och mycket mer.Azure AD is the identity provider for Office 365, Azure, and much more.

Du kan också använda Azure AD för server-till-Server-autentisering med hjälp av Azure AD-implementeringen av tilldelningen av OAuth-klientautentiseringsuppgifter.You can also use Azure AD for server-to-server authentication by using the Azure AD implementation of the OAuth client credentials grant. I följande tabell jämförs funktionerna i Access Control Server-till-Server-autentisering med de som är tillgängliga i Azure AD.The following table compares the capabilities of Access Control in server-to-server authentication with those that are available in Azure AD.

FunktionCapability Access Control supportAccess Control support Support för Azure ADAzure AD support
Registrera en webb tjänstHow to register a web service Skapa en förlitande part i Access Control hanterings portalenCreate a relying party in the Access Control management portal Skapa ett Azure AD-webbprogram i Azure PortalCreate an Azure AD web application in the Azure portal
Registrera en klientHow to register a client Skapa en tjänst identitet i Access Control hanterings PortalCreate a service identity in Access Control management portal Skapa ett annat Azure AD-webbprogram i Azure PortalCreate another Azure AD web application in the Azure portal
Protokoll som användsProtocol used – OAuth-protokollet för att packa- OAuth WRAP protocol
– OAuth 2,0 Draft 13-tilldelning av klientautentiseringsuppgifter- OAuth 2.0 Draft 13 client credentials grant
Beviljande av autentiseringsuppgifter för OAuth 2.0-klientOAuth 2.0 client credentials grant
KlientautentiseringsmetoderClient authentication methods – Enkelt lösen ord- Simple password
-Signerad SWT- Signed SWT
– SAML-token från en federerad identitets leverantör- SAML token from a federated identity provider
– Enkelt lösen ord- Simple password
-Signerat JWT- Signed JWT
Token-formatToken formats – JWT- JWT
– SAML 1,1- SAML 1.1
– SAML 2,0- SAML 2.0
– SWT- SWT
Endast JWTJWT only
Token-transformeringToken transformation -Lägg till anpassade anspråk- Add custom claims
– Enkel om-then utfärdande logik för anspråk- Simple if-then claim issuance logic
Lägg till anpassade anspråkAdd custom claims
Automatisera konfigurations-och hanterings uppgifterAutomate configuration and management tasks Stöds via Access Control hanterings tjänstSupported via Access Control Management Service Stöds via Microsoft Graph och Azure AD Graph APISupported via Microsoft Graph and Azure AD Graph API

Vägledning om hur du implementerar server-till-Server-scenarier finns i följande resurser:For guidance about implementing server-to-server scenarios, see the following resources:

Migrera till ping-identitet eller Auth0Migrate to Ping Identity or Auth0

I vissa fall kanske du upptäcker att autentiseringsuppgifterna för Azure AD-klienten och OAuth Grant-implementeringen inte räcker för att ersätta Access Control i din arkitektur utan större kod ändringar.In some cases, you might find that the Azure AD client credentials and the OAuth grant implementation aren't sufficient to replace Access Control in your architecture without major code changes. Några vanliga exempel kan vara:Some common examples might include:

  • Server-till-Server-autentisering med andra token-format än JWTs.Server-to-server authentication using token formats other than JWTs.
  • Server-till-Server-autentisering med hjälp av en token som tillhandahålls av en extern identitets leverantör.Server-to-server authentication using an input token provided by an external identity provider.
  • Server-till-Server-autentisering med token omvandlings regler som Azure AD inte kan återskapa.Server-to-server authentication with token transformation rules that Azure AD cannot reproduce.

I dessa fall kan du överväga att migrera ditt webb program till en annan molnbaserad autentiseringstjänst-tjänst.In these cases, you might consider migrating your web application to another cloud authentication service. Vi rekommenderar att du utforskar följande alternativ.We recommend exploring the following options. Var och en av följande alternativ erbjuder funktioner som liknar Access Control:Each of the following options offer capabilities similar to Access Control:

Den här bilden visar Auth0-logotypen Auth0 är en flexibel moln identitets tjänst som har skapat vägledning för migrering på hög nivå för kunder i Access Controloch har stöd för nästan alla funktioner i ACS.Auth0 is a flexible cloud identity service that has created high-level migration guidance for customers of Access Control, and supports nearly every feature that ACS does.
Den här bilden visar ping identitet-logo typen Ping Identity erbjuder två lösningar som liknar ACS.Ping Identity offers two solutions similar to ACS. PingOne är en moln identitets tjänst som stöder många av samma funktioner som ACS, och PingFederate är en liknande lokal identitets produkt som erbjuder mer flexibilitet.PingOne is a cloud identity service that supports many of the same features as ACS, and PingFederate is a similar on premises identity product that offers more flexibility. Mer information om hur du använder dessa produkter finns i ping: s indragnings vägledning för ACS .Refer to Ping's ACS retirement guidance for more details on using these products.

Vårt mål att arbeta med ping Identity och Auth0 är att se till att alla Access Control kunder har en migrerings Sök väg för sina appar och tjänster som minimerar mängden arbete som krävs för att flytta från Access Control.Our aim in working with Ping Identity and Auth0 is to ensure that all Access Control customers have a migration path for their apps and services that minimizes the amount of work required to move from Access Control.

Genom strömnings autentiseringPassthrough authentication

För genom strömnings autentisering med godtycklig token-transformering finns det ingen motsvarande Microsoft-teknik till ACS.For passthrough authentication with arbitrary token transformation, there is no equivalent Microsoft technology to ACS. Om det är vad dina kunder behöver, kan Auth0 vara den som ger en närmast ungefärlig lösning.If that is what your customers need, Auth0 might be the one who provides the closest approximation solution.

Frågor, problem och feedbackQuestions, concerns, and feedback

Vi förstår att många Access Control kunder inte hittar en klar sökväg för migrering efter att ha läst den här artikeln.We understand that many Access Control customers won't find a clear migration path after reading this article. Du kan behöva hjälp eller vägledning för att fastställa rätt plan.You might need some assistance or guidance in determining the right plan. Om du vill diskutera dina migrerings scenarier och frågor kan du lämna en kommentar på den här sidan.If you would like to discuss your migration scenarios and questions, please leave a comment on this page.