{"id":156,"date":"2023-09-13T20:54:48","date_gmt":"2023-09-13T23:54:48","guid":{"rendered":"https:\/\/cloudinsane.com.br\/?p=156"},"modified":"2023-09-13T20:54:48","modified_gmt":"2023-09-13T23:54:48","slug":"migracao-do-adfs-para-o-entra-id-parte-2","status":"publish","type":"post","link":"https:\/\/3itsolution.com\/en\/migracao-do-adfs-para-o-entra-id-parte-2\/","title":{"rendered":"Migra\u00e7\u00e3o do ADFS para o Entra ID Parte 2"},"content":{"rendered":"

Link para a parte 1- https:\/\/cloudinsane.com.br\/index.php\/2023\/09\/06\/migracao-do-adfs-para-o-entra-id-parte-1\/<\/em><\/strong><\/p>\n\n\n\n

Ap\u00f3s a coleta dos dados \u00e9 importante a valida\u00e7\u00e3o se as aplica\u00e7\u00f5es s\u00e3o suportadas dentro do Entra ID. Existem in\u00fameras aplica\u00e7\u00f5es que s\u00e3o suportadas e, j\u00e1 est\u00e3o no cat\u00e1logo do Entra ID, grande parte tamb\u00e9m suporta o Single sign-on. \u00c9 poss\u00edvel encontrar algumas aplica\u00e7\u00f5es no site da Microsoft:<\/p>\n\n\n\n

https:\/\/learn.microsoft.com\/en-us\/azure\/active-directory\/saas-apps\/tutorial-list<\/a><\/p>\n\n\n\n

Caso o aplicativo n\u00e3o esteja no Marketplace da Microsoft, \u00e9 poss\u00edvel tamb\u00e9m registrar um aplicativo no Entra ID. O Aplicativo deve dar suporte ao OAuth 2.0.<\/p>\n\n\n\n

Regras de Acesso Active Directory Federation Services<\/strong><\/p>\n\n\n\n

Com o ADFS existe a possibilidade de configurar as regras de claim. As regras de claim s\u00e3o basicamente regras para bloqueio para aumentar a seguran\u00e7a dos aplicativos configurados no ADFS. Algumas regras s\u00e3o:<\/p>\n\n\n\n

Acessar o aplicativo por determinado IP;<\/p>\n\n\n\n

Determinado Grupo pode acessar o aplicativo;<\/p>\n\n\n\n

Bloqueio de determinado protocolo (mais voltada para Exchange Online).<\/p>\n\n\n\n

Existem in\u00fameras possibilidades para cria\u00e7\u00e3o de regras de claim dentro do ADFS.<\/p>\n\n\n\n

Ap\u00f3s algum tempo a Microsoft lan\u00e7ou o Azure AD Premium, que possibilita configurar regras de acesso condicional. Algo semelhante ao que \u00e9 feito com as regras de claim do ADFS.<\/p>\n\n\n\n

Com as regras de acesso condicional temos uma granularidade maior de configura\u00e7\u00f5es, e existe a facilidade comparado as configura\u00e7\u00f5es que temos que fazer no ADFS para que as regras de claim funcionem.<\/p>\n\n\n\n

O ponto negativo, \u00e9 que para ter as regras de acesso condicional \u00e9 necess\u00e1rio ter o licenciamento do Entra ID P1 para cada usu\u00e1rio, o que pode gerar um problema na quest\u00e3o de custo para os clientes.<\/p>\n\n\n\n

Migra\u00e7\u00e3o do Active Federation Services para Entra ID<\/strong><\/p>\n\n\n\n

Ap\u00f3s abordarmos as configura\u00e7\u00f5es necess\u00e1rias, podemos ent\u00e3o efetuar a migra\u00e7\u00e3o do ADFS para o Entra ID (Azure AD).<\/p>\n\n\n\n

Para ambiente que possuem o ADFS federado com o Office 365 \u00e9 necess\u00e1rio, caso n\u00e3o tenha feito. Configurar a sincroniza\u00e7\u00e3o de senha, onde temos duas possibilidades o hash de senha ou, utilizar a autentica\u00e7\u00e3o de passagem (PTA).<\/p>\n\n\n\n

\u00c9 recomendado tamb\u00e9m ativar o SSO cont\u00ednuo.<\/p>\n\n\n\n

Feito as configura\u00e7\u00f5es mencionadas acima, \u00e9 necess\u00e1rio habilitar a feauture chamada staged rollout no Entra ID:<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Ap\u00f3s habilitar o staged rollout temos algumas op\u00e7\u00f5es antes de incluir o grupo de seguran\u00e7a criado diretamente no Entra ID. Estas op\u00e7\u00f5es devem ir de encontro com a configura\u00e7\u00e3o de senha efetuada anteriormente.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

A migra\u00e7\u00e3o em si \u00e9 bem simples, ela \u00e9 feita baseada em grupos de seguran\u00e7a do Entra ID. A Microsoft recomenda que os grupos ou o grupo seja criado diretamente no Entra ID para evitar o tempo de replica\u00e7\u00e3o entre uma altera\u00e7\u00e3o ou outra no AAD Connect.<\/p>\n\n\n\n

O primeiro grupo criado possibilita somente 200 usu\u00e1rios, ap\u00f3s a replica\u00e7\u00e3o do Entra ID \u00e9 poss\u00edvel adicionar mais usu\u00e1rios ao grupo.<\/p>\n\n\n\n

Cada grupo inserido permite 200 usu\u00e1rios iniciais, isto \u00e9 um limite da feauture, e neste momento n\u00e3o \u00e9 poss\u00edvel fazer altera\u00e7\u00f5es.<\/p>\n\n\n\n

Ap\u00f3s a replica\u00e7\u00e3o e, todos os usu\u00e1rios utilizando o Entra ID como login e n\u00e3o mais o ADFS, \u00e9 poss\u00edvel remover a federa\u00e7\u00e3o do dom\u00ednio entre o ADFS e o Entra ID.<\/p>\n\n\n\n

Considera\u00e7\u00f5es Finais<\/strong><\/p>\n\n\n\n

O ADFS cumpriu bem o seu papel at\u00e9 o lan\u00e7amento do Azure AD Premium (nome do produto na \u00e9poca), por\u00e9m hoje em dia \u00e9 mais dif\u00edcil ter o ADFS implantado nas empresas. Por\u00e9m, existem alguns fatores que fazem com que o ADFS ainda esteja em uso, como:<\/p>\n\n\n\n

Aplica\u00e7\u00f5es legadas que s\u00e3o suportadas no ADFS e, n\u00e3o no Entra ID;<\/p>\n\n\n\n

Custo.<\/p>\n\n\n\n

O Entra ID em quest\u00e3o de seguran\u00e7a de fato \u00e9 melhor que o ADFS, por\u00e9m alguns clientes por quest\u00e3o de custo optam pelo ADFS, pois n\u00e3o \u00e9 necess\u00e1rio licenciar por usu\u00e1rio. O que pode acabar ficando caro em alguns casos.<\/p>\n\n\n\n

Caso o cliente tenha possibilidade de adquirir o licenciamento necess\u00e1rio (Entra ID P1 ao menos), o recomendado \u00e9 n\u00e3o ter o ADFS. Onde o cliente tamb\u00e9m deixa de gerenciar 4 m\u00e1quinas ou mais dependendo do tamanho do ambiente.<\/p>\n\n\n\n

Ref: https:\/\/learn.microsoft.com\/en-us\/partner-center\/marketplace\/partner-center-portal\/pc-saas-registration<\/a><\/p>\n\n\n\n

https:\/\/learn.microsoft.com\/en-us\/azure\/active-directory\/hybrid\/connect\/how-to-connect-staged-rollout<\/a><\/p>","protected":false},"excerpt":{"rendered":"

Link para a parte 1- https:\/\/cloudinsane.com.br\/index.php\/2023\/09\/06\/migracao-do-adfs-para-o-entra-id-parte-1\/ Ap\u00f3s a coleta dos dados \u00e9 importante a valida\u00e7\u00e3o se as aplica\u00e7\u00f5es s\u00e3o suportadas dentro do Entra ID. Existem in\u00fameras aplica\u00e7\u00f5es que s\u00e3o suportadas e, j\u00e1 est\u00e3o no cat\u00e1logo do Entra ID, grande parte tamb\u00e9m suporta o Single sign-on. \u00c9 poss\u00edvel encontrar algumas aplica\u00e7\u00f5es no site da Microsoft: https:\/\/learn.microsoft.com\/en-us\/azure\/active-directory\/saas-apps\/tutorial-list […]<\/p>","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[85],"tags":[86,82,83,87,84],"class_list":["post-156","post","type-post","status-publish","format-standard","hentry","category-identity","tag-adfs","tag-entraid","tag-identidade","tag-migracao","tag-security"],"_links":{"self":[{"href":"https:\/\/3itsolution.com\/en\/wp-json\/wp\/v2\/posts\/156","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/3itsolution.com\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/3itsolution.com\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/3itsolution.com\/en\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/3itsolution.com\/en\/wp-json\/wp\/v2\/comments?post=156"}],"version-history":[{"count":0,"href":"https:\/\/3itsolution.com\/en\/wp-json\/wp\/v2\/posts\/156\/revisions"}],"wp:attachment":[{"href":"https:\/\/3itsolution.com\/en\/wp-json\/wp\/v2\/media?parent=156"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/3itsolution.com\/en\/wp-json\/wp\/v2\/categories?post=156"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/3itsolution.com\/en\/wp-json\/wp\/v2\/tags?post=156"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}