Řešení 3: Microsoft Entra ID se službou AD FS a Shibboleth
V řešení 3 je federační zprostředkovatel primárním zprostředkovatelem identity (IdP). V tomto příkladu je Shibboleth federačním zprostředkovatelem pro integraci mnohostranných federačních aplikací, místních aplikací centrálního ověřování (CAS) a všech adresářů PROTOKOLU LDAP (Lightweight Directory Access Protocol).
V tomto scénáři je Shibboleth primární zprostředkovatele identity. Účast v mnohostranných federacích (například s InCommon) se provádí prostřednictvím Shibboleth, která nativně podporuje tuto integraci. Místní aplikace CAS a adresář LDAP jsou také integrovány s Shibboleth.
Aplikace pro studenty, aplikace pro zaměstnance školy a Aplikace Microsoft 365 jsou integrované s Microsoft Entra ID. Všechny místní instance služby Active Directory se synchronizují s ID Microsoft Entra. Active Directory Federation Services (AD FS) (AD FS) poskytuje integraci s vícefaktorovým ověřováním třetích stran. Služba AD FS provádí překlad protokolů a umožňuje určité funkce Microsoft Entra, jako je například připojení Microsoft Entra pro správu zařízení, Windows Autopilot a funkce bez hesla.
Výhody
Tady jsou některé výhody použití tohoto řešení:
Přizpůsobené ověřování: Prostředí pro mnohostranné federační aplikace můžete přizpůsobit prostřednictvím Shibbolethu.
Snadné provádění: Řešení je jednoduché implementovat v krátkodobém horizontu pro instituce, které již používají Shibboleth jako primární zprostředkovatele identity. Musíte migrovat aplikace studentů a pedagogů do Microsoft Entra ID a přidat instanci SLUŽBY AD FS.
Minimální přerušení: Řešení umožňuje vícefaktorové ověřování třetích stran. Stávající řešení vícefaktorového ověřování, jako je Duo, můžete zachovat na místě, dokud nebudete připravení na aktualizaci.
Důležité informace a kompromisy
Tady jsou některé kompromisy při použití tohoto řešení:
Vyšší složitost a riziko zabezpečení: Místní nároky můžou znamenat vyšší složitost prostředí a další bezpečnostní rizika v porovnání se spravovanou službou. Zvýšená režie a poplatky se můžou přidružit také ke správě místních komponent.
Neoptimální prostředí ověřování: Pro mnohostranné federace a aplikace CAS neexistuje žádný cloudový mechanismus ověřování a může existovat více přesměrování.
Žádná podpora vícefaktorového ověřování Microsoft Entra: Toto řešení neumožňuje podporu vícefaktorového ověřování Microsoft Entra pro mnohostranné federační aplikace nebo aplikace CAS. Můžete vynechat potenciální úspory nákladů.
Podpora podrobného podmíněného přístupu: Nedostatek podrobné podpory podmíněného přístupu omezuje vaši schopnost provádět podrobná rozhodnutí.
Významné průběžné přidělování zaměstnanců: Pracovníci IT musí udržovat infrastrukturu a software pro řešení ověřování. Jakékoli zásadní pracovníci můžou představovat riziko.
Prostředky migrace
Následující zdroje informací vám můžou pomoct s migrací do této architektury řešení.
Prostředek migrace | Popis |
---|---|
Zdroje informací pro migraci aplikací na Microsoft Entra ID | Seznam prostředků, které vám pomůžou s migrací přístupu k aplikacím a ověřováním do Microsoft Entra ID |
Další kroky
Podívejte se na tyto související články o mnohostranné federaci:
Úvod do multilaterálního federace
Návrh standardních hodnot multilaterální federace
Multilaterální řešení federace 1: Microsoft Entra ID s Cirrus Bridge