ソリューション 1 では、すべてのアプリケーションのプライマリ ID プロバイダー (IdP) として Microsoft Entra ID を使用します。 マネージド サービスは、多国間フェデレーションを提供します。 この例では、Cirrus Bridge は、中央認証サービス (CAS) と多国間フェデレーション アプリを統合するためのマネージド サービスです。
オンプレミスの Active Directory インスタンスも使用している場合は、ハイブリッド ID を使用して Active Directory を構成 できます。 Cirrus Bridge で Microsoft Entra ID を使用するソリューションを実装すると、次の機能が提供されます。
セキュリティ アサーション マークアップ言語 (SAML) ブリッジ: InCommon と eduGAIN への多国間フェデレーションと参加を構成します。 SAML ブリッジを使用して、各多国間フェデレーション アプリの Microsoft Entra 条件付きアクセス ポリシー、アプリの割り当て、ガバナンス、およびその他の機能を構成することもできます。
CAS ブリッジ: Microsoft Entra ID で認証するオンプレミスの CAS アプリをサポートするためのプロトコル変換を提供します。 CAS ブリッジを使用して、すべての CAS アプリ全体の Microsoft Entra 条件付きアクセス ポリシー、アプリの割り当て、ガバナンスを構成できます。
Cirrus Bridge を使用して Microsoft Entra ID を実装すると、Microsoft Entra ID のより多くの機能を利用できます。
カスタム クレーム プロバイダーのサポート:Microsoft Entra カスタム クレーム プロバイダーを使用すると、外部属性ストア (外部 LDAP ディレクトリなど) を使用して、個々のアプリのトークンに要求を追加できます。 カスタム要求プロバイダーは、外部 REST API を呼び出して外部システムから要求をフェッチするカスタム拡張機能を使用します。
カスタム セキュリティ属性: ディレクトリ内のオブジェクトにカスタム属性を追加し、それらを読み取ることができるユーザーを制御できます。 カスタム セキュリティ属性を 使用すると、より多くの属性を Microsoft Entra ID に直接格納できます。
利点
Cirrus Bridge で Microsoft Entra ID を実装する利点の一部を次に示します。
すべてのアプリのシームレスなクラウド認証
すべてのアプリは、Microsoft Entra ID を介して認証されます。
マネージド サービス内のすべてのオンプレミス ID コンポーネントを削除すると、運用コストと管理コストが削減され、セキュリティ リスクが軽減され、他の作業のためにリソースが解放される可能性があります。
合理化された構成、デプロイ、およびサポート モデル
Cirrus Bridge は、Microsoft Entra アプリ ギャラリーに登録されています。
ブリッジ ソリューションを構成および設定するための確立されたプロセスを利用できます。
Cirrus Identity は継続的なサポートを提供します。
多国間フェデレーション アプリの条件付きアクセスのサポート
すべてのアプリに対する他の Microsoft Entra 関連ソリューションの使用
デバイス管理には、Intune と Microsoft Entra の接続を利用できます。
Microsoft Entra 参加を使用すると、Windows Autopilot、Microsoft Entra 多要素認証、パスワードレス機能を使用できます。 Microsoft Entra join では、ゼロ トラスト体制の実現がサポートされています。
注
Microsoft Entra 多要素認証に切り替えると、使用している他のソリューションよりも大幅なコストを節約できる場合があります。
考慮事項とトレードオフ
このソリューションを使用する場合のトレードオフの一部を次に示します。
認証エクスペリエンスをカスタマイズする機能が制限されています。 このシナリオでは、マネージド ソリューションが提供されます。 フェデレーション プロバイダー製品を使用してカスタム ソリューションを構築する柔軟性や粒度が得られない場合があります。
限定されたサードパーティ MFA 統合: サード パーティの多要素認証ソリューションで使用できる統合の数が制限される場合があります。
1 回限りの統合作業が必要です。 統合を効率化するには、すべての学生と教職員のアプリを Microsoft Entra ID に 1 回限り移行する必要があります。 また、Cirrus Bridge を設定する必要があります。
Cirrus Bridge に必要なサブスクリプション: Cirrus Bridge のサブスクリプション料金は、ブリッジの予想される年間認証使用量に基づいています。
移行リソース
次のリソースは、このソリューション アーキテクチャへの移行に役立ちます。
| 移行リソース | 説明 |
|---|---|
| アプリケーションを Microsoft Entra ID に移行するためのリソース | アプリケーションのアクセスと認証を Microsoft Entra ID に移行するために役立つリソース |
| Microsoft Entra カスタム クレーム プロバイダー | Microsoft Entra カスタム クレーム プロバイダーの概要 |
| カスタム セキュリティ属性 | カスタム セキュリティ属性へのアクセスを管理する手順 |
| Microsoft Entra と Cirrus Bridge のシングル サインオン統合 | Cirrus Bridge を Microsoft Entra ID と統合するためのチュートリアル |
| Cirrus Bridge の概要 | Microsoft Entra ID を使用して Cirrus Bridge を構成するための Cirrus Identity のドキュメント |
| Microsoft Entra 多要素認証デプロイに関する考慮事項 | Microsoft Entra 多要素認証を構成するためのガイダンス |
次のステップ
多国間フェデレーションに関する次の記事を参照してください。
多国間フェデレーション ソリューション 2: Microsoft Entra ID と SAML プロキシとしての Shibboleth
多国間フェデレーション ソリューション 3: AD FS を使用した Microsoft Entra ID と Shibboleth