Megosztás a következőn keresztül:


3. megoldás: Microsoft Entra ID az AD FS és a Shibboleth használatával

A 3. megoldásban az összevonási szolgáltató az elsődleges identitásszolgáltató (IdP). Ebben a példában a Shibboleth az összevonási szolgáltató a multilaterális összevonási alkalmazások, a helyszíni központi hitelesítési szolgáltatás (CAS) és az egyszerűsített címtárak (LDAP) könyvtárainak integrálásához.

Diagram that shows a design integrating Shibboleth, Active Directory Federation Services, and Microsoft Entra ID.

Ebben a forgatókönyvben a Shibboleth az elsődleges identitásszolgáltató. A multilaterális szövetségekben (például az InCommonnal) való részvétel a Shibbolethen keresztül történik, amely natív módon támogatja ezt az integrációt. A helyszíni CAS-alkalmazások és az LDAP-címtár is integrálva van a Shibboleth szolgáltatással.

A diákalkalmazások, az oktatói alkalmazások és a Microsoft 365-alkalmazások integrálva vannak a Microsoft Entra ID-val. Az Active Directory bármely helyszíni példánya szinkronizálva van a Microsoft Entra-azonosítóval. A Active Directory összevonási szolgáltatások (AD FS) (AD FS) integrációt biztosít a külső féltől származó többtényezős hitelesítéssel. Az AD FS protokollfordítást végez, és lehetővé teszi bizonyos Microsoft Entra-funkciók, például a Microsoft Entra csatlakoztatását az eszközkezeléshez, a Windows Autopilothoz és a jelszó nélküli funkciókhoz.

Előnyök

A megoldás használatának néhány előnye:

  • Testreszabott hitelesítés: A multilaterális összevonási alkalmazások felületét a Shibboleth használatával testre szabhatja.

  • Egyszerű végrehajtás: A megoldás rövid távon egyszerűen implementálható olyan intézmények számára, amelyek már használják a Shibboleth-et elsődleges identitásszolgáltatóként. Át kell telepítenie a tanulói és oktatói alkalmazásokat a Microsoft Entra-azonosítóba, és hozzá kell adnia egy AD FS-példányt.

  • Minimális fennakadás: A megoldás lehetővé teszi a külső féltől származó többtényezős hitelesítést. A meglévő többtényezős hitelesítési megoldások, például a Duo mindaddig érvényben maradhatnak, amíg készen nem áll a frissítésre.

Megfontolandó szempontok és kompromisszumok

Az alábbiakban bemutatjuk a megoldás használatának néhány kompromisszumot:

  • Nagyobb összetettség és biztonsági kockázat: A helyszíni lábnyom a környezet összetettségét és a felügyelt szolgáltatásokhoz képest további biztonsági kockázatokat jelenthet. A megnövekedett terhelés és díjak a helyszíni összetevők kezelésével is járhatnak.

  • Optimálisnál rosszabb hitelesítési élmény: Multilaterális összevonási és CAS-alkalmazások esetén nincs felhőalapú hitelesítési mechanizmus, és több átirányítás is lehet.

  • Nem támogatott a Microsoft Entra többtényezős hitelesítése: Ez a megoldás nem teszi lehetővé a Többtényezős Microsoft Entra hitelesítés támogatását a multilaterális összevonási vagy CAS-alkalmazásokhoz. Előfordulhat, hogy kihagyja a lehetséges költségmegtakarításokat.

  • Nincs részletes feltételes hozzáférés-támogatás: A részletes feltételes hozzáférés támogatásának hiánya korlátozza a részletes döntések meghozatalának lehetőségét.

  • Jelentős, folyamatos személyzetkiosztás: Az informatikai személyzetnek fenn kell tartania a hitelesítési megoldás infrastruktúrát és szoftverét. Bármilyen alkalmazotti beszűkülés kockázattal járhat.

Áttelepítési erőforrások

Az alábbi erőforrások segíthetnek a megoldásarchitektúra migrálásában.

Migrálási erőforrás Leírás
Erőforrások az alkalmazások Microsoft Entra ID-ra történő áttelepítéséhez Az alkalmazások hozzáférésének és hitelesítésének Microsoft Entra-azonosítóra való migrálását segítő erőforrások listája

Következő lépések

Lásd az alábbi kapcsolódó cikkeket a multilaterális szövetségről:

Multilaterális összevonás bevezetése

Multilaterális összevonási alapterv

Multilaterális összevonási megoldás 1: Microsoft Entra ID és Cirrus Bridge

Multilaterális összevonási megoldás 2. megoldás: Microsoft Entra ID és Shibboleth mint biztonsági helyességi korrektúra (SAML) proxy

Multilaterális összevonási döntési fa