Compartir a través de


Solución 3: Microsoft Entra ID con ADFS y Shibboleth

En la Solución 3, el proveedor de la federación es el proveedor de identidades (IdP) principal. En este ejemplo, Shibboleth es el proveedor de federación para la integración de aplicaciones de federación multilaterales, aplicaciones locales del Servicio de autenticación central (CAS) y directorios de Protocolo ligero de acceso a directorio (LDAP).

Diagram that shows a design integrating Shibboleth, Active Directory Federation Services, and Microsoft Entra ID.

En este escenario, Shibboleth es el IdP principal. La participación en federaciones multilaterales (por ejemplo, con InCommon) se realiza a través de Shibboleth, que de forma nativa apoya esta integración. Las aplicaciones CAS locales y el directorio LDAP también están integrados con Shibboleth.

Las aplicaciones para alumnos, las aplicaciones para profesores y las aplicaciones de Microsoft 365 están integradas con Microsoft Entra ID. Cualquier instancia local de Active Directory está sincronizada con Microsoft Entra ID. Servicios de federación de Active Directory (AD FS) proporciona integración con la autenticación multifactor de terceros. AD FS realiza la traducción de protocolos y habilita determinadas características de Azure AD, como la unión a Microsoft Entra para la administración de dispositivos, Windows Autopilot y características sin contraseña.

Ventajas

A continuación encontrará algunas de las ventajas de usar esta solución:

  • Autenticación personalizada: permite personalizar la experiencia para aplicaciones de federaciones multilaterales mediante Shibboleth.

  • Facilidad de ejecución: la solución es fácil de implementar a corto plazo para instituciones que ya utilizan Shibboleth como su IdP principal. Debe migrar las aplicaciones para alumnos y profesores a Microsoft Entra ID y agregar una instancia de AD FS.

  • Interrupción mínima: la solución permite la autenticación multifactor de terceros. Puede mantener las soluciones de autenticación multifactor existentes, como Duo, hasta que esté listo para una actualización.

Consideraciones, ventajas y desventajas

A continuación se muestran algunas de las ventajas y desventajas de usar esta solución:

  • Mayor complejidad y riesgo de seguridad: una superficie local podría significar una mayor complejidad para el entorno y riesgos de seguridad adicionales, en comparación con un servicio administrado. El aumento de los gastos generales y las tarifas también se pueden asociar a la administración de componentes locales.

  • Experiencias de autenticación poco óptimas: para aplicaciones de federación multilateral y CAS, no existe un mecanismo de autenticación basado en la nube y puede haber múltiples redireccionamientos.

  • No hay compatibilidad con la autenticación multifactor de Microsoft Entra: esta solución no habilita la compatibilidad con la autenticación multifactor de Microsoft Entra para la federación multilateral o las aplicaciones CAS. Es posible que pierda el ahorro potencial de costes.

  • No se admite el acceso condicional pormenorizado: la falta de compatibilidad con el acceso condicional pormenorizado limita la capacidad de tomar decisiones pormenorizadas.

  • Asignación significativa del personal en curso: el personal de TI debe mantener la infraestructura y el software para la solución de autenticación. Cualquier desgaste del personal podría presentar riesgos.

Recursos de migración

Los siguientes recursos le ayudarán a migrar a la arquitectura de esta solución.

Recurso de migración Descripción
Recursos para migrar aplicaciones a Microsoft Entra ID Lista de recursos que le ayudarán a migrar el acceso y la autenticación de aplicaciones a Microsoft Entra ID

Pasos siguientes

Consulte estos artículos relacionados sobre la federación multilateral:

Introducción a la federación multilateral

Diseño base de referencia de la federación multilateral

Solución 1 de la federación multilateral: Microsoft Entra ID con Cirrus Bridge

Solución 2 de federación multilateral: Microsoft Entra ID con Shibboleth como proxy de Lenguaje de Marcado para Confirmaciones de Seguridad (SAML)

Árbol de decisión de la federación multilateral