3. megoldás: Microsoft Entra ID az AD FS és a Shibboleth használatával
A 3. megoldásban az összevonási szolgáltató az elsődleges identitásszolgáltató (IdP). Ebben a példában a Shibboleth az összevonási szolgáltató a multilaterális összevonási alkalmazások, a helyszíni központi hitelesítési szolgáltatás (CAS) és az egyszerűsített címtárak (LDAP) könyvtárainak integrálásához.
Ebben a forgatókönyvben a Shibboleth az elsődleges identitásszolgáltató. A multilaterális szövetségekben (például az InCommonnal) való részvétel a Shibbolethen keresztül történik, amely natív módon támogatja ezt az integrációt. A helyszíni CAS-alkalmazások és az LDAP-címtár is integrálva van a Shibboleth szolgáltatással.
A diákalkalmazások, az oktatói alkalmazások és a Microsoft 365-alkalmazások integrálva vannak a Microsoft Entra ID-val. Az Active Directory bármely helyszíni példánya szinkronizálva van a Microsoft Entra-azonosítóval. A Active Directory összevonási szolgáltatások (AD FS) (AD FS) integrációt biztosít a külső féltől származó többtényezős hitelesítéssel. Az AD FS protokollfordítást végez, és lehetővé teszi bizonyos Microsoft Entra-funkciók, például a Microsoft Entra csatlakoztatását az eszközkezeléshez, a Windows Autopilothoz és a jelszó nélküli funkciókhoz.
Előnyök
A megoldás használatának néhány előnye:
Testreszabott hitelesítés: A multilaterális összevonási alkalmazások felületét a Shibboleth használatával testre szabhatja.
Egyszerű végrehajtás: A megoldás rövid távon egyszerűen implementálható olyan intézmények számára, amelyek már használják a Shibboleth-et elsődleges identitásszolgáltatóként. Át kell telepítenie a tanulói és oktatói alkalmazásokat a Microsoft Entra-azonosítóba, és hozzá kell adnia egy AD FS-példányt.
Minimális fennakadás: A megoldás lehetővé teszi a külső féltől származó többtényezős hitelesítést. A meglévő többtényezős hitelesítési megoldások, például a Duo mindaddig érvényben maradhatnak, amíg készen nem áll a frissítésre.
Megfontolandó szempontok és kompromisszumok
Az alábbiakban bemutatjuk a megoldás használatának néhány kompromisszumot:
Nagyobb összetettség és biztonsági kockázat: A helyszíni lábnyom a környezet összetettségét és a felügyelt szolgáltatásokhoz képest további biztonsági kockázatokat jelenthet. A megnövekedett terhelés és díjak a helyszíni összetevők kezelésével is járhatnak.
Optimálisnál rosszabb hitelesítési élmény: Multilaterális összevonási és CAS-alkalmazások esetén nincs felhőalapú hitelesítési mechanizmus, és több átirányítás is lehet.
Nem támogatott a Microsoft Entra többtényezős hitelesítése: Ez a megoldás nem teszi lehetővé a Többtényezős Microsoft Entra hitelesítés támogatását a multilaterális összevonási vagy CAS-alkalmazásokhoz. Előfordulhat, hogy kihagyja a lehetséges költségmegtakarításokat.
Nincs részletes feltételes hozzáférés-támogatás: A részletes feltételes hozzáférés támogatásának hiánya korlátozza a részletes döntések meghozatalának lehetőségét.
Jelentős, folyamatos személyzetkiosztás: Az informatikai személyzetnek fenn kell tartania a hitelesítési megoldás infrastruktúrát és szoftverét. Bármilyen alkalmazotti beszűkülés kockázattal járhat.
Áttelepítési erőforrások
Az alábbi erőforrások segíthetnek a megoldásarchitektúra migrálásában.
Migrálási erőforrás | Leírás |
---|---|
Erőforrások az alkalmazások Microsoft Entra ID-ra történő áttelepítéséhez | Az alkalmazások hozzáférésének és hitelesítésének Microsoft Entra-azonosítóra való migrálását segítő erőforrások listája |
Következő lépések
Lásd az alábbi kapcsolódó cikkeket a multilaterális szövetségről:
Multilaterális összevonás bevezetése
Multilaterális összevonási alapterv
Multilaterális összevonási megoldás 1: Microsoft Entra ID és Cirrus Bridge