ソリューション 3 では、フェデレーション プロバイダーがプライマリ ID プロバイダー (IdP) です。 この例では、Shibboleth は、多国間フェデレーション アプリ、オンプレミス Central Authentication Service (CAS) アプリ、ライトウェイト ディレクトリ アクセス プロトコル (LDAP) ディレクトリを統合するためのフェデレーション プロバイダーです。
このシナリオでは、Shibboleth がプライマリ IdP です。 多国間フェデレーション (InCommon など) への参加は、この統合をネイティブにサポートする Shibboleth を通じて行われます。 オンプレミスの CAS アプリと LDAP ディレクトリも Shibboleth によって統合されています。
学生向けアプリ、教職員向けアプリ、および Microsoft 365 アプリは、Microsoft Entra ID と統合されています。 Active Directory のオンプレミスのインスタンスが Microsoft Entra ID と同期されている。 Active Directory フェデレーション サービス (AD FS) では、サード パーティの多要素認証との統合が提供されます。 AD FS によってプロトコル変換が実行され、デバイス管理、Windows Autopilot、パスワードレス機能のために Microsoft Entra Join などの特定の Microsoft Entra 機能が有効化されます。
利点
このソリューションを使用する利点の一部を次に示します。
カスタマイズされた認証: Shibboleth を使用して、多国間フェデレーション アプリのエクスペリエンスをカスタマイズできます。
実行の容易さ: このソリューションは、Shibboleth をプライマリ IdP として既に使用している機関に対して、短期間で簡単に実装できます。 学生と教職員のアプリを Microsoft Entra ID に移行し、AD FS インスタンスを追加する必要があります。
最小限の中断: このソリューションでは、サード パーティの多要素認証が可能です。 更新の準備ができるまで、Duo などの既存の多要素認証ソリューションを配置したままにしておくことができます。
考慮事項とトレードオフ
このソリューションを使用する場合のトレードオフの一部を次に示します。
複雑さとセキュリティリスクの向上: オンプレミスのフットプリントは、マネージド サービスと比較して、環境の複雑さと追加のセキュリティ リスクを意味する可能性があります。 オンプレミス コンポーネントの管理に関連するオーバーヘッドと料金が増加する場合もあります。
最適でない認証エクスペリエンス: 多国間フェデレーションと CAS アプリの場合、クラウドベースの認証メカニズムはなく、複数のリダイレクトが存在する可能性があります。
Microsoft Entra 多要素認証はサポートされません。 このソリューションでは、多国間フェデレーションまたは CAS アプリに対する Microsoft Entra 多要素認証のサポートは有効になりません。 コスト削減の可能性を見逃す恐れがあります。
詳細な条件付きアクセスのサポートなし: 詳細な条件付きアクセスのサポートがないため、細かい決定を行う機能が制限されます。
継続的なスタッフの大幅な割り当て: IT スタッフは、認証ソリューションのインフラストラクチャとソフトウェアを維持する必要があります。 人員削減はリスクを伴う可能性があります。
移行リソース
このソリューション アーキテクチャへの移行に役立つリソースを次に示します。
| 移行リソース | 説明 |
|---|---|
| アプリケーションを Microsoft Entra ID に移行するためのリソース | アプリケーションのアクセスと認証を Microsoft Entra ID に移行するために役立つリソース |
次のステップ
多国間フェデレーションに関する次の記事を参照してください。
多国間フェデレーション ソリューション 1: Microsoft Entra ID と Cirrus Bridge
多国間フェデレーション ソリューション 2: セキュリティ アサーション マークアップ言語 (SAML) プロキシとしての Shibboleth を使用した Microsoft Entra ID