Oplossing 3: Microsoft Entra-id met AD FS en Shibboleth
In oplossing 3 is de federatieprovider de primaire id-provider (IdP). In dit voorbeeld is Shibboleth de federatieprovider voor de integratie van multilaterale federatie-apps, on-premises CAS-apps (Central Authentication Service) en eventuele LDAP-mappen (Lightweight Directory Access Protocol).
In dit scenario is Shibboleth de primaire IdP. Deelname aan multilaterale federaties (bijvoorbeeld met InCommon) wordt gedaan via Shibboleth, die deze integratie systeemeigen ondersteunt. On-premises CAS-apps en de LDAP-directory zijn ook geïntegreerd met Shibboleth.
Studenten-apps, onderwijsmedewerkers-apps en Microsoft 365-apps zijn geïntegreerd met Microsoft Entra ID. Een on-premises exemplaar van Active Directory wordt gesynchroniseerd met de Microsoft Entra-id. Active Directory Federation Services (AD FS) biedt integratie met meervoudige verificatie van derden. AD FS voert protocolvertaling uit en maakt bepaalde Functies van Microsoft Entra mogelijk, zoals Microsoft Entra join voor apparaatbeheer, Windows Autopilot en functies zonder wachtwoord.
Voordelen
Hier volgen enkele voordelen van het gebruik van deze oplossing:
Aangepaste verificatie: u kunt de ervaring voor multilaterale federatie-apps aanpassen via Shibboleth.
Gemak van uitvoering: De oplossing is eenvoudig te implementeren op korte termijn voor instellingen die Shibboleth al gebruiken als hun primaire IdP. U moet studenten- en onderwijsmedewerkers-apps migreren naar Microsoft Entra-id en een AD FS-exemplaar toevoegen.
Minimale onderbreking: De oplossing maakt meervoudige verificatie van derden mogelijk. U kunt bestaande oplossingen voor meervoudige verificatie, zoals Duo, behouden totdat u klaar bent voor een update.
Overwegingen en afwegingen
Hier volgen enkele van de compromissen voor het gebruik van deze oplossing:
Hogere complexiteit en beveiligingsrisico's: een on-premises footprint kan een hogere complexiteit betekenen voor de omgeving en extra beveiligingsrisico's, vergeleken met een beheerde service. Verhoogde overhead en kosten kunnen ook worden gekoppeld aan het beheren van on-premises onderdelen.
Suboptimale verificatie-ervaring: Voor multilaterale federatie- en CAS-apps is er geen verificatiemechanisme in de cloud en kunnen er meerdere omleidingen zijn.
Geen ondersteuning voor meervoudige verificatie van Microsoft Entra: met deze oplossing wordt geen ondersteuning voor meervoudige verificatie van Microsoft Entra ingeschakeld voor multilaterale federatie- of CAS-apps. U kunt potentiële kostenbesparingen missen.
Geen gedetailleerde ondersteuning voor voorwaardelijke toegang: het ontbreken van gedetailleerde ondersteuning voor voorwaardelijke toegang beperkt uw mogelijkheid om gedetailleerde beslissingen te nemen.
Aanzienlijke doorlopende personeelstoewijzing: IT-medewerkers moeten infrastructuur en software onderhouden voor de verificatieoplossing. Bij het ophalen van personeel kunnen risico's ontstaan.
Migratieresources
De volgende resources kunnen u helpen bij uw migratie naar deze oplossingsarchitectuur.
Migratieresource | Beschrijving |
---|---|
Bronnen voor het migreren van toepassingen naar Microsoft Entra ID | Lijst met resources om u te helpen bij het migreren van toepassingstoegang en -verificatie naar Microsoft Entra-id |
Volgende stappen
Zie deze verwante artikelen over multilaterale federatie:
Multilaterale federatie introductie
Ontwerp van multilaterale federatiebasislijn
Multilaterale federatieoplossing 1: Microsoft Entra-id met Cirrus Bridge