Partager via


Solution 1 : Microsoft Entra ID avec Cirrus Bridge

La solution 1 utilise Microsoft Entra ID comme fournisseur d’identité (IdP) principal de toutes les applications. Un service géré fournit une fédération multilatérale. Dans cet exemple, Cirrus Bridge est le service managé utilisé pour l’intégration des applications CAS (Central Authentication Service) et de fédération multilatérale.

Diagram that shows Microsoft Entra integration with various application environments using Cirrus to provide a CAS bridge and a Security Assertion Markup Language (SAML) bridge.

Si vous utilisez également une instance Active Directory locale, vous pouvez configurer Active Directory avec des identités hybrides. L’implémentation d’une solution d’utilisation de Microsoft Entra ID avec Cirrus Bridge fournit les éléments suivants :

  • Pont SAML (Security Assertion Markup Language) : configurez une fédération multilatérale et une participation à InCommon et à eduGAIN. Vous pouvez également utiliser le pont SAML pour configurer des stratégies d’accès conditionnel Microsoft Entra, l’affectation d’applications, la gouvernance et d’autres fonctionnalités pour chaque application de fédération multilatérale.

  • Pont CAS : fournissez une traduction de protocole pour prendre en charge des applications CAS locales pour l’authentification auprès de Microsoft Entra ID. Vous pouvez configurer le pont CAS pour configurer des stratégies d’accès conditionnel Microsoft Entra, l’affectation d’applications et la gouvernance de toutes les applications CAS, dans leur ensemble.

Quand vous implémentez Microsoft Entra ID avec Cirrus Bridge, vous pouvez tirer parti d’autres fonctionnalités dans Microsoft Entra ID :

  • Prise en charge du fournisseur de revendications personnalisées : avec le fournisseur de revendications personnalisées Microsoft Entra, vous pouvez utiliser un magasin d’attributs externe (comme un répertoire LDAP externe) pour ajouter des revendications supplémentaires dans les jetons d’applications prises séparément. Un fournisseur de revendications personnalisé utilise une extension personnalisée qui appelle une API REST externe pour extraire des revendications de systèmes externes.

  • Attributs de sécurité personnalisés : vous pouvez ajouter des attributs personnalisés aux objets du répertoire, puis contrôler qui peut les lire. Les attributs de sécurité personnalisés vous permettent de stocker davantage de vos attributs directement dans Microsoft Entra ID.

Avantages

Voici quelques-uns des avantages de l’implémentation de Microsoft Entra ID avec Cirrus Bridge :

  • Authentification cloud transparente pour toutes les applications

    • Toutes les applications s’authentifient via Microsoft Entra ID.

    • L’élimination de tous les composants d’identité locaux dans un service managé peut potentiellement réduire vos coûts opérationnels et administratifs, réduire les risques de sécurité et libérer des ressources pour d’autres efforts.

  • Modèle de configuration, déploiement et support simplifié

    • Cirrus Bridge est inscrit dans la galerie d’applications Microsoft Entra.

    • Vous bénéficiez d’un processus établi pour la configuration et l’installation de la solution de pont.

    • Cirrus Identity offre une prise en charge continue.

  • Prise en charge de l’accès conditionnel pour les applications de fédération multilatérale

    • L’implémentation des contrôles d'accès conditionnel vous permet de vous conformer aux exigences NIH et REFEDS.

    • Cette solution est la seule architecture qui vous permet de configurer l’accès conditionnel Microsoft Entra granulaire à la fois pour les applications de fédération multilatérale et pour les applications CAS.

  • Utilisation d’autres solutions liées à Microsoft Entra pour toutes les applications

    • Vous pouvez utiliser Intune et la jointure Microsoft Entra pour la gestion des appareils.

    • La jointure Microsoft Entra vous permet d’utiliser Windows Autopilot, l’authentification multifacteur Microsoft Entra et les fonctionnalités sans mot de passe. La jointure Microsoft Entra prend en charge la réalisation d’une posture Confiance Zéro.

      Remarque

      Le passage à l’authentification multifacteur Microsoft Entra vous permettra sans doute de réaliser des économies significatives par rapport aux autres solutions que vous avez en place.

Considérations et compromis

Voici certaines des contreparties de l’utilisation de cette solution :

  • Possibilité limitée de personnaliser l’expérience d’authentification : ce scénario fournit une solution managée. Cette solution ne vous offrira sans doute pas la flexibilité ou la granularité pour créer une solution personnalisée à l’aide des produits du fournisseur de fédération.

  • Intégration limitée des solutions de l’authentification multifacteur (MFA) de tiers : :Le nombre d’intégrations disponibles pour les solutions d’authentification multifacteur de tiers peut être limité.

  • Effort d’intégration ponctuel requis : pour simplifier l’intégration, vous devez effectuer une migration ponctuelle de toutes les applications d’étudiants et d’enseignants vers Microsoft Entra ID. Vous devez également configurer Cirrus Bridge.

  • Abonnement requis pour Cirrus Bridge : les frais d’abonnement pour Cirrus Bridge sont basés sur l’utilisation prévue de l’authentification annuelle du pont.

Ressources de migration

Les ressources suivantes facilitent votre migration vers cette architecture de la solution.

Ressource de migration Description
Ressources pour la migration des applications vers Microsoft Entra ID Liste de ressources pour vous aider à migrer l’accès et l’authentification des applications vers Microsoft Entra ID
Fournisseur de revendications personnalisées Microsoft Entra Vue d’ensemble du fournisseur de revendications personnalisées Microsoft Entra
Attributs de sécurité personnalisés Étapes de gestion de l’accès aux attributs de sécurité personnalisés
Intégration de l’authentification unique Microsoft Entra ID à Cirrus Bridge Tutoriel sur l’intégration de Cirrus Bridge à Microsoft Entra ID
Vue d’ensemble de Cirrus Bridge Documentation Cirrus Identity pour configurer Cirrus Bridge avec Microsoft Entra ID
Considérations sur le déploiement de l’authentification multifacteur Microsoft Entra Aide pour configurer l’authentification multifacteur Microsoft Entra

Étapes suivantes

Consultez ces articles connexes sur la fédération multilatérale :

Présentation de la fédération multilatérale

Conception de la ligne de base de la fédération multilatérale

Solution de fédération multilatérale 2 : Microsoft Entra ID avec Shibboleth comme proxy SAML

Solution de fédération multilatérale 3 : Microsoft Entra ID avec AD FS et Shibboleth

Arbre de décision de fédération multilatérale