Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Lösung 1 verwendet Microsoft Entra-ID als primärer Identitätsanbieter (IdP) für alle Anwendungen. Ein verwalteter Dienst stellt einen multilateralen Verbund bereit. In diesem Beispiel ist Cirrus Bridge der verwaltete Dienst für die Integration von Central Authentication Service (CAS) und multilateralen Verbund-Apps.
Wenn Sie auch eine lokale Active Directory-Instanz verwenden, können Sie Active Directory mit Hybrididentitäten konfigurieren. Die Implementierung einer Lösung zur Verwendung von Microsoft Entra ID mit Cirrus Bridge bietet Folgendes:
SAML-Brücke (Security Assertion Markup Language): Konfigurieren Sie den multilateralen Verbund und die Teilnahme an InCommon und eduGAIN. Sie können auch die SAML-Brücke verwenden, um Microsoft Entra-Richtlinien für bedingten Zugriff, App-Zuweisung, Governance und andere Features für jede multilaterale Verbund-App zu konfigurieren.
CAS-Brücke: Bereitstellen einer Protokollübersetzung zur Unterstützung lokaler CAS-Apps zur Authentifizierung mit Microsoft Entra ID. Sie können die CAS-Brücke verwenden, um Microsoft Entra-Richtlinien für bedingten Zugriff, App-Zuweisung und Governance für alle CAS-Apps als Ganzes zu konfigurieren.
Wenn Sie Microsoft Entra ID mit Cirrus Bridge implementieren, können Sie weitere Funktionen in Microsoft Entra ID nutzen:
Unterstützung für benutzerdefinierte Anspruchsanbieter: Mit dem benutzerdefinierten Anspruchsanbieter Microsoft Entra können Sie einen externen Attributspeicher (z. B. ein externes LDAP-Verzeichnis) verwenden, um Ansprüche für einzelne Apps hinzuzufügen. Der benutzerdefinierte Anspruchsanbieter verwendet eine benutzerdefinierte Erweiterung, die eine externe REST-API aufruft, um Ansprüche von externen Systemen abzurufen.
Benutzerdefinierte Sicherheitsattribute: Sie können Objekten im Verzeichnis benutzerdefinierte Attribute hinzufügen und steuern, wer sie lesen kann. Mit benutzerdefinierten Sicherheitsattributen können Sie mehr Ihrer Attribute direkt in der Microsoft Entra-ID speichern.
Vorteile
Hier sind einige der Vorteile der Implementierung von Microsoft Entra ID mit Cirrus Bridge:
Nahtlose Cloudauthentifizierung für alle Apps
Alle Apps authentifizieren sich über die Microsoft Entra-ID.
Die Beseitigung aller lokalen Identitätskomponenten in einem verwalteten Dienst kann Ihre Betriebskosten und Verwaltungskosten potenziell senken, Sicherheitsrisiken reduzieren und Ressourcen für andere Anstrengungen freigeben.
Optimierte Konfiguration, Bereitstellung und Supportmodell
Cirrus Bridge ist im Microsoft Entra-App-Katalog registriert.
Sie profitieren von einem etablierten Prozess zum Konfigurieren und Einrichten der Brückenlösung.
Cirrus Identity bietet kontinuierliche Unterstützung.
Unterstützung für bedingten Zugriff für multilaterale Partnerverbund-Apps
Die Implementierung von Kontrollen für bedingten Zugriff hilft Ihnen bei der Einhaltung der NIH- und REFEDS-Anforderungen .
Diese Lösung ist die einzige Architektur, mit der Sie präzisen bedingten Microsoft Entra-Zugriff für multilaterale Verbund-Apps und CAS-Apps konfigurieren können.
Verwendung anderer microsoft Entra-bezogener Lösungen für alle Apps
Sie können Intune und Microsoft Entra Join für die Geräteverwaltung verwenden.
Mit dem Microsoft Entra Beitritt können Sie Windows Autopilot, Microsoft Entra Multi-Faktor-Authentifizierung und kennwortlose Funktionen nutzen. Microsoft Entra Join unterstützt das Erreichen einer Zero Trust-Haltung.
Hinweis
Durch den Wechsel zur mehrstufigen Authentifizierung von Microsoft Entra können Sie erhebliche Kosten für andere Lösungen sparen, die Sie eingerichtet haben.
Überlegungen und Nachteile
Im Folgenden sind einige der Nachteile bei der Verwendung dieser Lösung aufgeführt:
Eingeschränkte Möglichkeit zum Anpassen der Authentifizierung: Dieses Szenario bietet eine verwaltete Lösung. Es bietet Ihnen möglicherweise nicht die Flexibilität oder Granularität, um eine benutzerdefinierte Lösung mithilfe von Verbundanbieterprodukten zu erstellen.
Eingeschränkte MFA-Integration von Drittanbietern: Die Anzahl der Integrationen, die für mehrstufige Authentifizierungslösungen von Drittanbietern verfügbar sind, sind möglicherweise eingeschränkt.
Einmaliger Integrationsaufwand erforderlich: Um die Integration zu optimieren, müssen Sie eine einmalige Migration aller Studenten- und Lehrpersonal-Apps zu Microsoft Entra ID durchführen. Sie müssen auch Cirrus Bridge einrichten.
Abonnement erforderlich für Cirrus Bridge: Die Abonnementgebühr für Cirrus Bridge basiert auf der erwarteten jährlichen Authentifizierungsnutzung der Brücke.
Migrationsressourcen
Die folgenden Ressourcen helfen bei der Migration zu dieser Lösungsarchitektur.
| Migrationsressource | BESCHREIBUNG |
|---|---|
| Ressourcen zum Migrieren von Anwendungen zu Microsoft Entra ID | Liste von Ressourcen, die Ihnen beim Migrieren des Anwendungszugriffs und der Authentifizierung zu Microsoft Entra ID helfen |
| Benutzerdefinierter Anspruchsanbieter von Microsoft Entra | Übersicht über den benutzerdefinierten Anspruchsanbieter von Microsoft Entra |
| Benutzerdefinierte Sicherheitsattribute | Schritte zum Verwalten des Zugriffs auf benutzerdefinierte Sicherheitsattribute |
| Microsoft Entra-SSO-Integration mit Cirrus Bridge | Tutorial zum Integrieren von Cirrus Bridge mit Microsoft Entra ID |
| Überblick über Cirrus Bridge | Cirrus Identitätsdokumentation zum Konfigurieren von Cirrus Bridge mit Microsoft Entra ID |
| Überlegungen zum Bereitstellen der Multi-Faktor-Authentifizierung von Microsoft Entra | Leitfaden zum Konfigurieren der Multi-Faktor-Authentifizierung von Microsoft Entra |
Nächste Schritte
Weitere Informationen finden Sie in den folgenden Artikeln zu multilateralen Verbunden:
Multilateraler Verbund – Einführung
Baselineentwurf des multilateralen Verbunds
Multilateraler Verbund, Lösung 2: Microsoft Entra ID mit Shibboleth als SAML-Proxy
Multilateraler Verbund, Lösung 3: Microsoft Entra ID mit AD FS und Shibboleth