ソリューション 2 では、Microsoft Entra ID はプライマリ ID プロバイダー (IdP) として動作します。 フェデレーション プロバイダーは、中央認証サービス (CAS) アプリと多国間フェデレーション アプリへの Security Assertion Markup Language (SAML) プロキシとして機能します。 この例では、参照リンクを提供するために Shibboleth が SAML プロキシとして動作します。
Microsoft Entra ID はプライマリ IdP であるため、すべての学生と教職員のアプリは Microsoft Entra ID と統合されます。 すべての Microsoft 365 アプリも Microsoft Entra ID と統合されています。 Microsoft Entra Domain Services が使われている場合は、Microsoft Entra ID とも同期されます。
Shibboleth の SAML プロキシ機能は、Microsoft Entra ID と統合されています。 Microsoft Entra ID では、Shibboleth はギャラリー以外のエンタープライズ アプリケーションと見なされます。 大学では、CAS アプリについてはシングル サインオン (SSO) が使用可能で、InCommon 環境に参加できます。 さらに、Shibboleth はライトウェイト ディレクトリ アクセス プロトコル (LDAP) ディレクトリ サービスの統合を提供します。
利点
このソリューションを使用すると、次の利点があります。
すべてのアプリのクラウド認証: すべてのアプリは、Microsoft Entra ID を介して認証されます。
実行の容易さ: このソリューションは、既に Shibboleth を使用している大学の短期的な実行を容易にします。
考慮事項とトレードオフ
このソリューションを使用する場合のトレードオフの一部を次に示します。
複雑さとセキュリティリスクの向上: オンプレミスのフットプリントは、マネージド サービスと比較して、環境の複雑さと追加のセキュリティ リスクを意味する可能性があります。 オンプレミス コンポーネントの管理に関連するオーバーヘッドと料金が増加する場合もあります。
最適でない認証エクスペリエンス: 多国間フェデレーションおよび CAS アプリの場合、Shibboleth 経由のリダイレクトにより、ユーザーの認証エクスペリエンスがシームレスにならない可能性があります。 ユーザーの認証エクスペリエンスをカスタマイズするためのオプションは限定されています。
限定されたサード パーティの多要素認証統合: サード パーティの多要素認証ソリューションで使用できる統合の数が制限される場合があります。
詳細な条件付きアクセスのサポートなし: 詳細な条件付きアクセスのサポートがない場合は、最も低い共通分母 (低い摩擦のために最適化されますが、セキュリティ制御は制限されます) または最も高い共通分母 (ユーザーの摩擦を犠牲にしてセキュリティ制御用に最適化) を選択する必要があります。 きめ細かい決定を行う機能は限定されます。
移行リソース
このソリューション アーキテクチャへの移行に役立つリソースを次に示します。
| 移行リソース | 説明 |
|---|---|
| アプリケーションを Microsoft Entra ID に移行するためのリソース | アプリケーションのアクセスと認証を Microsoft Entra ID に移行するために役立つリソース |
| SAML プロキシとしての Shibboleth の構成 | SAML プロキシ機能を使って Shibboleth IdP を Microsoft Entra ID に接続する方法を説明する Shibboleth の記事 |
| Microsoft Entra 多要素認証デプロイに関する考慮事項 | Microsoft Entra 多要素認証を構成するためのガイダンス |
次のステップ
多国間フェデレーションに関する次の記事を参照してください。
多国間フェデレーション ソリューション 1: Microsoft Entra ID と Cirrus Bridge
多国間フェデレーション ソリューション 3: AD FS を使用した Microsoft Entra ID と Shibboleth