ソリューション 3: Microsoft Entra ID、ADFS、Shibboleth
ソリューション 3 では、フェデレーション プロバイダーがプライマリ ID プロバイダー (IdP) です。 この例では、Shibboleth は、多国間フェデレーション アプリ、オンプレミス Central Authentication Service (CAS) アプリ、ライトウェイト ディレクトリ アクセス プロトコル (LDAP) ディレクトリを統合するためのフェデレーション プロバイダーです。
このシナリオでは、Shibboleth がプライマリ IdP です。 多国間フェデレーション (InCommon など) への参加は、この統合をネイティブにサポートする Shibboleth を通じて行われます。 オンプレミスの CAS アプリと LDAP ディレクトリも Shibboleth によって統合されています。
学生アプリ、教職員アプリ、Microsoft 365 アプリは Microsoft Entra ID によって統合されています。 Active Directory のオンプレミスのインスタンスが Microsoft Entra ID と同期されている。 Active Directory フェデレーション サービス (AD FS) では、サード パーティの多要素認証との統合が提供されます。 AD FS によってプロトコル変換が実行され、デバイス管理、Windows Autopilot、パスワードレス機能のために Microsoft Entra Join などの特定の Microsoft Entra 機能が有効化されます。
長所
このソリューションを使用する利点の一部を次に示します。
認証がカスタマイズ可能 - Shibboleth を使用して、多国間フェデレーション アプリのエクスペリエンスをカスタマイズできます。
実行の容易さ - Shibboleth をプライマリ IdP として既に使用している機関では、ソリューションを短期間に簡単に実装できます。 学生と教職員のアプリを Microsoft Entra ID に移行し、AD FS インスタンスを追加する必要があります。
最小限の中断: このソリューションでは、サードパーティの多要素認証が可能になります。 更新の準備ができるまで、Duo などの既存の多要素認証ソリューションをそのままにしておくことができます。
考慮事項とトレードオフ
このソリューションを使用する場合のトレードオフの一部を次に示します。
複雑さとセキュリティ リスクの増加: 管理サービスと比較すると、オンプレミスの占有領域では環境の複雑さが増加し、セキュリティ リスクが高まる恐れがあります。 オンプレミス コンポーネントの管理に関連するオーバーヘッドと料金が増加する場合もあります。
最適ではない認証エクスペリエンス: 多国間フェデレーションと CAS アプリでは、クラウドベースの認証メカニズムはなく、複数のリダイレクトが発生する場合があります。
Microsoft Entra 多要素認証のサポートがない : このソリューションでは、多国間フェデレーションまたは CAS アプリに対する Microsoft Entra 多要素認証のサポートは有効になりません。 コスト削減の可能性を見逃す恐れがあります。
きめ細かい条件付きアクセスのサポートがない: きめ細かい条件付きアクセスのサポートがないため、詳細な決定行う機能が制限されます。
継続的なスタッフ割り当てが必要: IT スタッフは、認証ソリューションのインフラストラクチャとソフトウェアを維持する必要があります。 人員削減はリスクを伴う可能性があります。
移行リソース
このソリューション アーキテクチャへの移行に役立つリソースを次に示します。
| 移行リソース | 説明 |
|---|---|
| アプリケーションを Microsoft Entra ID に移行するためのリソース | アプリケーションのアクセスと認証を Microsoft Entra ID に移行するために役立つリソース |
次のステップ
多国間フェデレーションに関する次の記事を参照してください。
多国間フェデレーション ソリューション 1: Microsoft Entra ID と Cirrus Bridge
多国間フェデレーション ソリューション 2: Microsoft Entra ID と SAML プロキシとしての Shibboleth