Sdílet prostřednictvím


Řešení 3: Microsoft Entra ID se službou AD FS a Shibboleth

V řešení 3 je federační zprostředkovatel primárním zprostředkovatelem identity (IdP). V tomto příkladu je Shibboleth federačním zprostředkovatelem pro integraci mnohostranných federačních aplikací, místních aplikací centrálního ověřování (CAS) a všech adresářů PROTOKOLU LDAP (Lightweight Directory Access Protocol).

Diagram that shows a design integrating Shibboleth, Active Directory Federation Services, and Microsoft Entra ID.

V tomto scénáři je Shibboleth primární zprostředkovatele identity. Účast v mnohostranných federacích (například s InCommon) se provádí prostřednictvím Shibboleth, která nativně podporuje tuto integraci. Místní aplikace CAS a adresář LDAP jsou také integrovány s Shibboleth.

Aplikace pro studenty, aplikace pro zaměstnance školy a Aplikace Microsoft 365 jsou integrované s Microsoft Entra ID. Všechny místní instance služby Active Directory se synchronizují s ID Microsoft Entra. Active Directory Federation Services (AD FS) (AD FS) poskytuje integraci s vícefaktorovým ověřováním třetích stran. Služba AD FS provádí překlad protokolů a umožňuje určité funkce Microsoft Entra, jako je například připojení Microsoft Entra pro správu zařízení, Windows Autopilot a funkce bez hesla.

Výhody

Tady jsou některé výhody použití tohoto řešení:

  • Přizpůsobené ověřování: Prostředí pro mnohostranné federační aplikace můžete přizpůsobit prostřednictvím Shibbolethu.

  • Snadné provádění: Řešení je jednoduché implementovat v krátkodobém horizontu pro instituce, které již používají Shibboleth jako primární zprostředkovatele identity. Musíte migrovat aplikace studentů a pedagogů do Microsoft Entra ID a přidat instanci SLUŽBY AD FS.

  • Minimální přerušení: Řešení umožňuje vícefaktorové ověřování třetích stran. Stávající řešení vícefaktorového ověřování, jako je Duo, můžete zachovat na místě, dokud nebudete připravení na aktualizaci.

Důležité informace a kompromisy

Tady jsou některé kompromisy při použití tohoto řešení:

  • Vyšší složitost a riziko zabezpečení: Místní nároky můžou znamenat vyšší složitost prostředí a další bezpečnostní rizika v porovnání se spravovanou službou. Zvýšená režie a poplatky se můžou přidružit také ke správě místních komponent.

  • Neoptimální prostředí ověřování: Pro mnohostranné federace a aplikace CAS neexistuje žádný cloudový mechanismus ověřování a může existovat více přesměrování.

  • Žádná podpora vícefaktorového ověřování Microsoft Entra: Toto řešení neumožňuje podporu vícefaktorového ověřování Microsoft Entra pro mnohostranné federační aplikace nebo aplikace CAS. Můžete vynechat potenciální úspory nákladů.

  • Podpora podrobného podmíněného přístupu: Nedostatek podrobné podpory podmíněného přístupu omezuje vaši schopnost provádět podrobná rozhodnutí.

  • Významné průběžné přidělování zaměstnanců: Pracovníci IT musí udržovat infrastrukturu a software pro řešení ověřování. Jakékoli zásadní pracovníci můžou představovat riziko.

Prostředky migrace

Následující zdroje informací vám můžou pomoct s migrací do této architektury řešení.

Prostředek migrace Popis
Zdroje informací pro migraci aplikací na Microsoft Entra ID Seznam prostředků, které vám pomůžou s migrací přístupu k aplikacím a ověřováním do Microsoft Entra ID

Další kroky

Podívejte se na tyto související články o mnohostranné federaci:

Úvod do multilaterálního federace

Návrh standardních hodnot multilaterální federace

Multilaterální řešení federace 1: Microsoft Entra ID s Cirrus Bridge

Multilaterální řešení federace 2: Microsoft Entra ID s Shibboleth jako proxy server SAML (Security Assertion Markup Language)

Rozhodovací strom mnohostranné federace