{"id":149,"date":"2023-09-06T02:06:12","date_gmt":"2023-09-06T05:06:12","guid":{"rendered":"https:\/\/cloudinsane.com.br\/?p=149"},"modified":"2023-09-06T02:06:12","modified_gmt":"2023-09-06T05:06:12","slug":"migracao-do-adfs-para-o-entra-id-parte-1","status":"publish","type":"post","link":"https:\/\/3itsolution.com\/en\/migracao-do-adfs-para-o-entra-id-parte-1\/","title":{"rendered":"Migra\u00e7\u00e3o do ADFS para o Entra ID Parte 1"},"content":{"rendered":"

O Que \u00e9 o Active Directory Federation Services<\/strong><\/p>\n\n\n\n

O ADFS \u00e9 um componente do Windows Server que permite clientes acessarem aplicativos de terceiros (geralmente) com as credenciais do Active Directory, sem a necessidade de o usu\u00e1rio ter v\u00e1rios usu\u00e1rios e senhas.<\/p>\n\n\n\n

Active Directory Federation Services<\/strong><\/p>\n\n\n\n

O ADFS teve um grande aumento quando o Office 365 come\u00e7ou a ser comercializado, pois no passado n\u00e3o existia a parte de regras de acesso condicional no Azure AD. Com o ADFS era\/\u00e9 poss\u00edvel criar regras de controle de acesso, bloqueios entre outros.<\/p>\n\n\n\n

Como alguns clientes precisavam de seguran\u00e7a adicional e SSO, o ADFS foi utilizado para esta finalidade. A Microsoft melhorou e muito o produto desde que foi lan\u00e7ado, removendo at\u00e9 mesmo a necessidade de ter o IIS instalado na m\u00e1quina (para vers\u00f5es mais antigas). Com o lan\u00e7amento da vers\u00e3o 3.0 foi removido a necessidade do IIS, facilitando a instala\u00e7\u00e3o e gerenciamento do ADFS.<\/p>\n\n\n\n

Arquitetura Active Directory Federation Services<\/strong><\/p>\n\n\n\n

Para se ter o ADFS com alta disponibilidade \u00e9 necess\u00e1rio se ter ao menos 6 m\u00e1quinas que s\u00e3o:<\/p>\n\n\n\n

02 M\u00e1quinas com o ADFS instalado;<\/p>\n\n\n\n

02 M\u00e1quinas com o proxy reverso instalado;<\/p>\n\n\n\n

02 M\u00e1quinas com o Active Directory instalado.<\/p>\n\n\n

\n
\"\"<\/figure>\n<\/div>\n\n\n

Exemplo de arquitetura baseada no Azure<\/em><\/p>\n\n\n\n

Al\u00e9m da arquitetura mencionada acima, ainda temos os componentes necess\u00e1rios para que o ADFS funcione, que s\u00e3o:<\/p>\n\n\n\n

Certificado SSL;<\/p>\n\n\n\n

Load Balance;<\/p>\n\n\n\n

Ip p\u00fablico;<\/p>\n\n\n\n

Regras de firewall.<\/p>\n\n\n\n

No geral a arquitetura \u00e9 bem simples, com o DNS publicado o cliente acessa a url do ADFS, por\u00e9m antes de acessar o ADFS a URL passa pelo Web Application Proxy (Wap) que funciona como um proxy reverso. Depois de passar pelo Wap o cliente acessa o ADFS, informando o login e senha o ADFS envia uma requisi\u00e7\u00e3o para o AD. Caso o login esteja errado ou, exista algum tipo de pol\u00edtica para bloqueio \u00e9 retornado para o usu\u00e1rio um erro. Caso esteja tudo correto o usu\u00e1rio pode fazer o login.<\/p>\n\n\n\n

O ADFS por ter contato direto com o AD n\u00e3o pode ficar exposto na internet, o mais usual nos clientes \u00e9 utilizar o WAP, um recurso de proxy rever que pode ser instalado atrav\u00e9s de role\/feature do Windows Server.<\/p>\n\n\n\n

Assessment Active Directory Federation Services<\/strong><\/p>\n\n\n\n

Antes de fazermos a migra\u00e7\u00e3o do ADFS \u00e9 necess\u00e1rio efetuar o levantamento das aplica\u00e7\u00f5es que existem configuradas no ADFS. Para isto eu utilizei em alguns projetos um script do Github:<\/p>\n\n\n\n

https:\/\/github.com\/AzureAD\/AzureADAssessment\/tree\/master<\/a><\/p>\n\n\n\n

A p\u00e1gina acima tem outros scripts que tamb\u00e9m j\u00e1 utilizei em alguns clientes e trazem informa\u00e7\u00f5es importantes.<\/p>\n\n\n\n

Existe tamb\u00e9m uma outra forma de fazer a avalia\u00e7\u00e3o dos aplicativos configurados no ADFS, que \u00e9 utilizando o agente do Connect Health para ter os dados das aplica\u00e7\u00f5es configuradas no ADFS. O agente deve ser instalado no ADFS, por\u00e9m \u00e9 necess\u00e1rio ter Entra ID P1. O que em alguns clientes este custo pode atrapalhar.<\/p>\n\n\n

\n
\"\"<\/figure>\n<\/div>\n\n
\n
\"\"<\/figure>\n<\/div>\n\n\n

Nas imagens acima podemos ver que o Connect Health n\u00e3o \u00e9 utilizado somente para entendimento das aplica\u00e7\u00f5es que est\u00e3o configuradas no ADFS, mas tamb\u00e9m para monitorar o ADFS.<\/p>\n\n\n\n

\u00c9 poss\u00edvel utilizar a gui do ADFS para fazer o levantamento, mas \u00e9 algo que acaba tomando muito tempo, quando \u00e9 necess\u00e1rio ter dados da aplica\u00e7\u00e3o se existe regras de bloqueio atreladas a ela, por isto eu recomendo a utiliza\u00e7\u00e3o do script.<\/p>\n\n\n\n

Ref:<\/p>\n\n\n\n

https:\/\/learn.microsoft.com\/pt-br\/azure\/architecture\/reference-architectures\/identity\/adfs<\/a><\/p>\n\n\n\n

https:\/\/learn.microsoft.com\/pt-br\/windows-server\/identity\/ad-fs\/deployment\/best-practices-securing-ad-fs<\/a><\/p>\n\n\n\n

https:\/\/learn.microsoft.com\/pt-br\/azure\/active-directory\/hybrid\/connect\/reference-connect-ports<\/a><\/p>\n\n\n\n

https:\/\/learn.microsoft.com\/en-us\/azure\/active-directory\/hybrid\/connect\/migrate-from-federation-to-cloud-authentication<\/a><\/p>\n\n\n\n

https:\/\/learn.microsoft.com\/en-us\/azure\/active-directory\/reports-monitoring\/recommendation-migrate-apps-from-adfs-to-azure-ad<\/a><\/p>","protected":false},"excerpt":{"rendered":"

O Que \u00e9 o Active Directory Federation Services O ADFS \u00e9 um componente do Windows Server que permite clientes acessarem aplicativos de terceiros (geralmente) com as credenciais do Active Directory, sem a necessidade de o usu\u00e1rio ter v\u00e1rios usu\u00e1rios e senhas. Active Directory Federation Services O ADFS teve um grande aumento quando o Office 365 […]<\/p>","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[85],"tags":[86,82,83,87,84],"class_list":["post-149","post","type-post","status-publish","format-standard","hentry","category-identity","tag-adfs","tag-entraid","tag-identidade","tag-migracao","tag-security"],"_links":{"self":[{"href":"https:\/\/3itsolution.com\/en\/wp-json\/wp\/v2\/posts\/149","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/3itsolution.com\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/3itsolution.com\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/3itsolution.com\/en\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/3itsolution.com\/en\/wp-json\/wp\/v2\/comments?post=149"}],"version-history":[{"count":0,"href":"https:\/\/3itsolution.com\/en\/wp-json\/wp\/v2\/posts\/149\/revisions"}],"wp:attachment":[{"href":"https:\/\/3itsolution.com\/en\/wp-json\/wp\/v2\/media?parent=149"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/3itsolution.com\/en\/wp-json\/wp\/v2\/categories?post=149"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/3itsolution.com\/en\/wp-json\/wp\/v2\/tags?post=149"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}