Migrering
Migrering til FoxIDs kombinerer normalt applikasjonsmigrering, brukermigrering og en kontrollert overgang mellom den eksisterende identitetsplattformen og FoxIDs. Planlegg disse arbeidsstrømmene sammen slik at identifikatorer, krav, autentiseringsatferd og tilbakestillingsalternativer forblir konsistente gjennom hele overgangen.
FoxIDs leietakere støtter separate miljøer. Bruk dedikerte utviklings-, test-, iscenesettelses- og produksjonsmiljøer for å konfigurere og validere migrasjonsflyter parallelt uten å endre produksjonsmiljøet for tidlig.
Vurder den eksisterende identitetsplattformen
Start med å ta opp:
- Applikasjoner, APIer og miljøer koblet til eksisterende plattform.
- OpenID Connect, OAuth 2.0, SAML 2.0 og WS-Federation konfigurasjoner.
- Identitetsleverandører, autentiseringsmetoder og multifaktorautentiseringskrav.
- Brukeridentifikatorer, profiler, krav, grupper, roller og tilgangstilordninger.
- Alternativer for lagring, validering og tilbakestilling av passord tilgjengelig i kildeplattformen.
- Sertifikater, metadata, omdirigerings-URLer, utloggingsadferd og tokens levetid.
- Overvåking, revisjon og tilbakeføringskrav for cut-over.
Kilden kan være AD FS, Active Directory, Keycloak, Auth0, Okta, Microsoft Entra ID eller en annen identitetsleverandør eller tilpasset brukerlager. Den tilgjengelige migreringsbanen avhenger av protokollene, eksportmulighetene og passordvalideringsalternativene gitt av den kilden.
Programmigrering
Migrer applikasjoner etter protokoll og miljø i stedet for å behandle eiendommen som en enkelt cut-over.
- Registrer applikasjonen i et ikke-produksjons FoxIDs miljø.
- Gjengi de påkrevde krav, omfang, identifikatorer, sertifikater og utloggingsatferd.
- Koble til den eksisterende identitetsleverandøren som en autentiseringsmetode når parallell autentisering er nødvendig.
- Test hele påloggings-, token- og utloggingsflyten med representative brukere og integrasjoner.
- Flytt en kontrollert gruppe eller én applikasjon om gangen før bredere utrulling.
FoxIDs protokollbro lar en applikasjon beholde sin nåværende protokoll mens identitetsleverandørsiden endres. Dette er nyttig når moderne OpenID Connect-applikasjoner og eksisterende SAML 2.0- eller WS-Federation-applikasjoner må fungere i samme migreringsperiode.
Brukerprofiler og identifikatorer
Bestem hvilken identifikator som forblir stabil før du importerer eller oppretter brukere. E-postadresser, telefonnumre og brukernavn kan endres, så bruk en stabil kildeidentifikator der integrasjonen støtter en.
Kartlegg brukerinformasjonen som kreves etter migrering:
- Brukerprofilegenskaper og påloggingsidentifikatorer.
- Påstander brukt av applikasjoner og APIer.
- Grupper, roller og tilgangsoppdrag.
- Krav til multifaktorautentisering og tilnærmingen for registrering eller gjenoppretting etter migrering.
- Deaktiverte, slettede eller på annen måte begrensede kontoer.
Bruk Last opp mange brukere når brukere kan eksporteres og importeres i grupper. Bruk Directory Connector når en eksisterende katalog eller tilpasset depot skal forbli autoritativ under overgangen. For Active Directory, bruk Directory Connector for Active Directory.
Passordstrategi
Velg passordbanen basert på hva kildeplattformen kan avsløre eller validere sikkert:
- Importer passord eller støttede passordhasher bare når de er tilgjengelige i en kompatibel form og kan håndteres sikkert.
- Valider det eksisterende passordet gjennom Directory Connector mens kildekatalogen forblir autoritativ.
- Som standard lagrer FoxIDs en lokal passordkopi etter vellykket validering av Directory Connector. Dette gjør det mulig å deaktivere koblingen senere og flytte passordvalidering til FoxIDs uten å tvinge hver bruker gjennom en tilbakestilling.
- Deaktiver den lokale passordkopien når policyen krever at den eksterne katalogen forblir den eneste passordlageret.
- Krev tilbakestilling av passord når det ikke er teknisk mulig å importere eller beholde det eksisterende passordet, eller når tilbakestilling er det tryggere alternativet.
Anta aldri at passord kan flyttes direkte fra en identitetsleverandør. Bekreft kildeplattformens eksportformat, hashing-algoritme, validerings-API og sikkerhetsbegrensninger før du velger migreringsmetode.
Gradvis migrering
Der kildekatalogen støtter online validering, kan brukere opprettes eller oppdateres i FoxIDs ved deres første vellykkede pålogging via Directory Connector. Dette støtter en gradvis overgang uten at alle brukere må migrere samtidig.
Hold kilden tilgjengelig til den nødvendige brukerpopulasjonen har migrert og tilbakerullingsvinduet er lukket. Overvåk mislykkede pålogginger, identifikatorkonflikter, manglende krav og koblingstilgjengelighet gjennom hele overgangen.
Cut-over og rollback
Før produksjonsstans:
- Fullfør representativ applikasjon og brukergodkjenningstester.
- Bekreft sertifikater, metadata, DNS, omdirigerings-URLer og brannmurstier.
- Definer rekkefølgen applikasjoner, APIer og brukergrupper flyttes i.
- Registrer den forrige konfigurasjonen og forholdene som utløser tilbakerulling.
- Sørg for at overvåking og logging dekker både FoxIDs og gjenværende kildeplattformflyter.
- Kommuniser tilbakestilling av passord eller endret påloggingsatferd før det påvirker brukere.
En trinnvis utrulling begrenser antall applikasjoner og brukere som påvirkes av hver endring. Hold tilbakerulling teknisk mulig til produksjonsatferd, krav og tilgang er verifisert.