Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En la Solución 2, Microsoft Entra ID actúa como proveedor de identidad (IdP) principal. El proveedor de federación actúa como proxy de Lenguaje de marcado de aserción de seguridad (SAML) para las aplicaciones del Servicio de autenticación central (CAS) y las aplicaciones de la federación multilateral. En este ejemplo, Shibboleth actúa como proxy SAML para proporcionar un vínculo de referencia.
Dado que Microsoft Entra ID es el IdP principal, todas las aplicaciones de alumnos y profesores se integran con Microsoft Entra ID. Todas las aplicaciones de Microsoft 365 también se integran con el identificador de Entra de Microsoft. Si Microsoft Entra Domain Services está en uso, también se sincroniza con Microsoft Entra ID.
La característica de proxy SAML de Shibboleth se integra con Microsoft Entra ID. En Microsoft Entra ID, Shibboleth aparece como una aplicación empresarial que no es de la galería. Las universidades pueden obtener el inicio de sesión único (SSO) para sus aplicaciones CAS y participar en el entorno inCommon. Además, Shibboleth proporciona integración para los servicios de directorio LDAP (Lightweight Directory Access Protocol).
Ventajas
Entre las ventajas de usar esta solución se incluyen:
Autenticación en la nube para todas las aplicaciones: Todas las aplicaciones se autentican a través del identificador de Microsoft Entra.
Facilidad de ejecución: Esta solución proporciona facilidad de ejecución a corto plazo para universidades que ya usan Shibboleth.
Consideraciones, ventajas y desventajas
A continuación se muestran algunas de las ventajas y desventajas de usar esta solución:
Mayor complejidad y riesgo de seguridad: Una superficie local podría significar una mayor complejidad para el entorno y riesgos de seguridad adicionales, en comparación con un servicio administrado. El aumento de los gastos generales y las tarifas también se pueden asociar a la administración de componentes locales.
Experiencia de autenticación poco óptima: En el caso de las aplicaciones de federación multilateral y CAS, es posible que la experiencia de autenticación para los usuarios no sea fluida debido a redireccionamientos a través de Shibboleth. Las opciones para personalizar la experiencia de autenticación para los usuarios son limitadas.
Integración limitada de la autenticación multifactor de terceros: Es posible que el número de integraciones disponibles para soluciones de autenticación multifactor de terceros sea limitada.
No se admite el acceso condicional granular: Sin acceso condicional granular, debe elegir entre el denominador común más bajo (optimizar para menos fricción pero tener controles de seguridad limitados) o el denominador común más alto (optimizar para los controles de seguridad a costa de la fricción del usuario). La capacidad de tomar decisiones pormenorizadas es limitada.
Recursos de migración
Los siguientes recursos le ayudarán a migrar a la arquitectura de esta solución.
| Recurso de migración | Descripción |
|---|---|
| Recursos para migrar aplicaciones a Microsoft Entra ID | Lista de recursos que le ayudarán a migrar el acceso y la autenticación de aplicaciones a Microsoft Entra ID |
| Configuración de Shibboleth como un proxy de SAML | Artículo de Shibboleth que describe el uso de la característica de proxy de SAML para conectar el IdP de Shibboleth a Microsoft Entra ID |
| Consideraciones de implementación de autenticación multifactor de Microsoft Entra | Guía para configurar la autenticación multifactor de Microsoft Entra |
Pasos siguientes
Consulte estos artículos relacionados sobre la federación multilateral:
Introducción a la federación multilateral
Diseño base de referencia de la federación multilateral
Solución 1 de la federación multilateral: Microsoft Entra ID con Cirrus Bridge
Solución 3 de la federación multilateral: Microsoft Entra ID. con AD FS y Shibboleth