Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
V řešení 3 je federační zprostředkovatel primárním zprostředkovatelem identity (IdP). V tomto příkladu je Shibboleth federačním zprostředkovatelem pro integraci mnohostranných federačních aplikací, místních aplikací centrálního ověřování (CAS) a všech adresářů PROTOKOLU LDAP (Lightweight Directory Access Protocol).
V tomto scénáři je Shibboleth primární zprostředkovatel identity. Účast v mnohostranných federacích (například s InCommon) se provádí prostřednictvím Shibboleth, která nativně podporuje tuto integraci. Místní aplikace CAS a adresář LDAP jsou také integrovány s Shibboleth.
Aplikace pro studenty, aplikace pro zaměstnance školy a Aplikace Microsoft 365 jsou integrované s Microsoft Entra ID. Všechny místní instance služby Active Directory se synchronizují s ID Microsoft Entra. Služba AD FS (Active Directory Federation Services) poskytuje integraci s vícefaktorovým ověřováním třetích stran. Služba AD FS provádí překlad protokolů a umožňuje určité funkce Microsoft Entra, jako je například připojení Microsoft Entra pro správu zařízení, Windows Autopilot a funkce bez hesla.
Výhody
Tady jsou některé výhody použití tohoto řešení:
Přizpůsobené ověřování: Prostředí pro mnohostranné federační aplikace můžete přizpůsobit prostřednictvím Shibboleth.
Snadné provádění: Řešení je jednoduché implementovat v krátkodobém horizontu pro instituce, které již používají Shibboleth jako svého primárního poskytovatele identity. Musíte migrovat aplikace studentů a vyučujících do Microsoft Entra ID a přidat instanci služby AD FS.
Minimální přerušení: Řešení umožňuje vícefaktorové ověřování třetích stran. Stávající řešení vícefaktorového ověřování, jako je Duo, můžete zachovat na místě, dokud nebudete připravení na aktualizaci.
Úvahy a kompromisy
Tady jsou některé kompromisy při použití tohoto řešení:
Vyšší složitost a riziko zabezpečení: Nároky na místní prostředí můžou znamenat vyšší složitost prostředí a další bezpečnostní rizika v porovnání se spravovanou službou. Zvýšená režie a poplatky se můžou přidružit také ke správě místních komponent.
Neoptimální prostředí ověřování: U multilaterálních federací a aplikací CAS neexistuje žádný cloudový mechanismus ověřování a může existovat více přesměrování.
Žádná podpora vícefaktorového ověřování Microsoft Entra: Toto řešení neumožňuje vícefaktorové ověřování Microsoft Entra pro mnohostranné federace nebo aplikace CAS. Můžete vynechat potenciální úspory nákladů.
Žádná podpora granulárního podmíněného přístupu: Nedostatek podpory granulárního podmíněného přístupu omezuje vaši schopnost dělat jemná rozhodnutí.
Významné průběžné přidělování zaměstnanců: Pracovníci IT musí udržovat infrastrukturu a software pro řešení ověřování. Jakýkoli odchod pracovníků může představovat riziko.
Prostředky migrace
Následující zdroje informací vám můžou pomoct s migrací do této architektury řešení.
| Zdroj migrace | Popis |
|---|---|
| Zdroje informací pro migraci aplikací na Microsoft Entra ID | Seznam prostředků, které vám pomůžou s migrací přístupu k aplikacím a ověřováním do Microsoft Entra ID |
Další kroky
Podívejte se na tyto související články o mnohostranné federaci:
Úvod do multilaterálního federace
Návrh standardních hodnot multilaterální federace
Multilaterální řešení federace 1: Microsoft Entra ID s Cirrus Bridge