Migratie
Migratie naar FoxIDs combineert normaal gesproken applicatiemigratie, gebruikersmigratie en een gecontroleerde overgang tussen het bestaande identiteitsplatform en FoxIDs. Plan deze werkstromen samen, zodat identificatiegegevens, claims, authenticatiegedrag en terugdraaiopties consistent blijven tijdens de transitie.
FoxIDs tenants ondersteunen afzonderlijke omgevingen. Gebruik speciale ontwikkelings-, test-, staging- en productieomgevingen om migratiestromen parallel te configureren en valideren zonder de productieomgeving voortijdig te wijzigen.
Beoordeel het bestaande identiteitsplatform
Begin met opnemen:
- Applicaties, API’s en omgevingen aangesloten op het bestaande platform.
- OpenID Connect-, OAuth 2.0-, SAML 2.0- en WS-Federation-configuraties.
- Identiteitsproviders, authenticatiemethoden en vereisten voor meervoudige authenticatie.
- Gebruikers-ID's, profielen, claims, groepen, rollen en toegangstoewijzingen.
- Opties voor wachtwoordopslag, validatie en reset beschikbaar op het bronplatform.
- Certificaten, metadata, omleidings-URL's, uitloggedrag en tokenlevensduur.
- Monitoring-, audit- en rollback-eisen voor cut-over.
De bron kan AD FS, Active Directory, Keycloak, Auth0, Okta, Microsoft Entra ID of een andere identiteitsprovider of aangepaste gebruikersrepository zijn. Het beschikbare migratiepad is afhankelijk van de protocollen, exportmogelijkheden en opties voor wachtwoordvalidatie die door die bron worden geboden.
Applicatiemigratie
Migreer applicaties per protocol en per omgeving, in plaats van de nalatenschap als één enkele overstap te behandelen.
- Registreer de applicatie in een niet-productie FoxIDs omgeving.
- Reproduceer de vereiste claims, scopes, identifiers, certificaten en uitloggedrag.
- Verbind de bestaande identiteitsprovider als authenticatiemethode wanneer parallelle authenticatie vereist is.
- Test de volledige inlog-, token- en uitlogstroom met representatieve gebruikers en integraties.
- Verplaats een gecontroleerde groep of één applicatie tegelijk voordat u deze breder uitrolt.
Met FoxIDs protocoloverbrugging kan een applicatie het huidige protocol behouden terwijl de kant van de identiteitsprovider verandert. Dit is handig wanneer moderne OpenID Connect-applicaties en bestaande SAML 2.0- of WS-Federation-applicaties tijdens dezelfde migratieperiode moeten werken.
Gebruikersprofielen en identificatiegegevens
Bepaal welke ID stabiel blijft voordat u gebruikers importeert of aanmaakt. E-mailadressen, telefoonnummers en gebruikersnamen kunnen veranderen, dus gebruik een stabiele bron-ID als de integratie deze ondersteunt.
Breng de gebruikersinformatie in kaart die vereist is na de migratie:
- Eigenschappen van gebruikersprofielen en login-ID's.
- Claims gebruikt door applicaties en API's.
- Groepen, rollen en toegangstoewijzingen.
- Vereisten voor meervoudige authenticatie en de inschrijvings- of herstelaanpak na de migratie.
- Uitgeschakelde, verwijderde of anderszins beperkte accounts.
Gebruik Upload veel gebruikers wanneer gebruikers in batches kunnen worden geëxporteerd en geïmporteerd. Gebruik Directory Connector wanneer een bestaande directory of aangepaste repository gezaghebbend moet blijven tijdens de transitie. Voor Active Directory gebruikt u Directory Connector for Active Directory.
Wachtwoordstrategie
Kies het wachtwoordpad op basis van wat het bronplatform veilig kan onthullen of valideren:
- Importeer alleen wachtwoorden of ondersteunde wachtwoord-hashes als deze beschikbaar zijn in een compatibele vorm en veilig kunnen worden verwerkt.
- Valideer het bestaande wachtwoord via Directory Connector terwijl de bronmap gezaghebbend blijft.
- Standaard slaat FoxIDs een lokale wachtwoordkopie op na succesvolle Directory Connector-validatie. Dit maakt het mogelijk om de connector later uit te schakelen en de wachtwoordvalidatie naar FoxIDs te verplaatsen zonder dat elke gebruiker een reset moet uitvoeren.
- Schakel het kopiëren van het lokale wachtwoord uit als het beleid vereist dat de externe map de enige wachtwoordopslag blijft.
- Het opnieuw instellen van het wachtwoord vereisen wanneer het importeren of behouden van het bestaande wachtwoord technisch niet mogelijk is of wanneer opnieuw instellen de veiligere optie is.
Ga er nooit van uit dat wachtwoorden rechtstreeks van een identiteitsprovider kunnen worden verplaatst. Bevestig het exportformaat, het hash-algoritme, de validatie-API en de beveiligingsbeperkingen van het bronplatform voordat u de migratiemethode selecteert.
Geleidelijke migratie
Als de bronmap online validatie ondersteunt, kunnen gebruikers worden aangemaakt of bijgewerkt in FoxIDs bij hun eerste succesvolle aanmelding via Directory Connector. Dit ondersteunt een geleidelijke overgang zonder dat alle gebruikers tegelijkertijd moeten migreren.
Houd de bron beschikbaar totdat de vereiste gebruikerspopulatie is gemigreerd en het terugdraaivenster is gesloten. Houd tijdens de transitie toezicht op mislukte aanmeldingen, identificatieconflicten, ontbrekende claims en beschikbaarheid van connectoren.
Cut-over en rollback
Vóór productieonderbreking:
- Volledige representatieve applicatie- en gebruikersacceptatietests.
- Bevestig certificaten, metadata, DNS, omleidings-URL's en firewallpaden.
- Definieer de volgorde waarin applicaties, API's en gebruikersgroepen bewegen.
- Noteer de vorige configuratie en de omstandigheden die het terugdraaien activeren.
- Zorg ervoor dat monitoring en logboekregistratie zowel FoxIDs als de resterende bronplatformstromen omvatten.
- Communiceer het opnieuw instellen van wachtwoorden of gewijzigd inloggedrag voordat dit gevolgen heeft voor gebruikers.
Een gefaseerde implementatie beperkt het aantal applicaties en gebruikers dat door elke wijziging wordt beïnvloed. Houd het terugdraaien technisch mogelijk totdat productiegedrag, claims en toegang zijn geverifieerd.