Comprendre les étapes de la migration de l'authentification des applications d'AD FS vers Microsoft Entra ID
Microsoft Entra ID offre une plateforme d'identité universelle qui fournit à vos collaborateurs, partenaires et clients une identité unique pour accéder aux applications et collaborer depuis n'importe quelle plateforme et appareil. Microsoft Entra ID dispose d'une suite complète de fonctionnalités de gestion des identités. La standardisation de l'authentification et de l'autorisation de votre application sur Microsoft Entra ID offre ces avantages.
Types d’applications à migrer
Vos applications peuvent utiliser des protocoles modernes ou hérités pour l'authentification. Lorsque vous planifiez votre migration vers Microsoft Entra ID, envisagez d'abord de migrer les applications qui utilisent des protocoles d'authentification modernes (tels que SAML et OpenID Connect).
Ces applications peuvent être reconfigurées pour s'authentifier avec Microsoft Entra ID soit via un connecteur intégré d'Azure App Gallery, soit en enregistrant l'application personnalisée dans Microsoft Entra ID.
Les applications qui utilisent des protocoles plus anciens peuvent être intégrées à l’aide de Proxy d'application ou de l’un de nos partenaires SHA (Secure Hybrid Access).
Pour en savoir plus, consultez :
- Utilisation du proxy d'application Microsoft Entra pour publier des applications sur site pour les utilisateurs distants.
- Qu’est-ce que la gestion des applications ?
- Rapport d'activité des applications AD FS pour migrer les applications vers Microsoft Entra ID.
- Surveiller AD FS à l’aide de Microsoft Entra Connect Health.
Le processus de migration
Pendant le processus de déplacement de l’authentification de votre application vers Microsoft Entra ID, testez vos applications et votre configuration. Nous vous recommandons de continuer à utiliser les environnements de test existants pour les tests de migration avant le passage à l’environnement de production. Si aucun environnement de test n’est actuellement disponible, vous pouvez en configurer un à l’aide d’Azure App Service ou de Machines virtuelles Azure, en fonction de l’architecture de l’application.
Vous pouvez choisir de configurer un client Microsoft Entra de test distinct sur lequel développer les configurations de votre application.
Votre processus de migration peut se présenter comme suit :
Étape 1 – État actuel : Application de production s’authentifiant avec AD FS
Étape 2 – (Facultatif) Pointez une instance de test de l'application vers le client de test Microsoft Entra
Mettez à jour la configuration pour faire pointer votre instance de test de l’application vers un client de test Microsoft Entra et apportez les modifications requises. L'application peut être testée auprès des utilisateurs du client de test Microsoft Entra. Pendant le processus de développement, vous pouvez utiliser des outils tels que Fiddler pour comparer et vérifier les requêtes et les réponses.
S'il n'est pas possible de configurer un locataire de test distinct, ignorez cette étape et pointez une instance de test de l'application vers votre locataire Microsoft Entra de production, comme décrit à l'étape 3 ci-dessous.
Étape 3 – Pointez une instance de test de l'application vers le client de production Microsoft Entra
Mettez à jour la configuration pour faire pointer votre instance de test de l’application vers votre client Microsoft Entra de production. Vous pouvez maintenant la tester avec les utilisateurs de votre locataire de production. Si nécessaire, consultez la section de cet article sur la transition des utilisateurs.
Étape 4 – Faites pointer l’application de production vers le locataire de production Microsoft Entra
Mettez à jour la configuration de votre application de production pour pointer vers votre client Microsoft Entra de production.
Les applications qui s’authentifient avec AD FS peuvent utiliser des groupes Active Directory pour les autorisations. Utilisez Microsoft Entra Connect Sync pour synchroniser les données d'identité entre votre environnement sur site et Microsoft Entra ID avant de commencer la migration. Vérifiez ces groupes et les appartenances avant la migration afin de pouvoir accorder l’accès aux mêmes utilisateurs lors de la migration de l’application.
Applications métier
Vos applications métier sont celles que votre organisation a développées ou celles qui sont un produit packagé standard.
Les applications métier qui utilisent OAuth 2.0, OpenID Connect ou WS-Federation peuvent être intégrées à Microsoft Entra ID en tant qu'inscriptions d'applications. Intégrez des applications personnalisées qui utilisent SAML 2.0 ou WS-Federation, comme les applications hors galerie sur la page Applications d’entreprise dans le centre d’administration Entra.