Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
In Oplossing 2 fungeert Microsoft Entra-id als de primaire id-provider (IdP). De federatieprovider fungeert als een SAML-proxy (Security Assertion Markup Language) voor de CAS-apps (Central Authentication Service) en de multilaterale federatie-apps. In dit voorbeeld fungeert Shibboleth als de SAML-proxy om een referentiekoppeling op te geven.
Omdat Microsoft Entra ID de primaire IdP is, worden alle studenten- en faculteits-apps geïntegreerd met Microsoft Entra-id. Alle Microsoft 365-apps zijn ook geïntegreerd met Microsoft Entra ID. Als Microsoft Entra Domain Services wordt gebruikt, wordt deze ook gesynchroniseerd met Microsoft Entra-id.
De SAML-proxyfunctie van Shibboleth kan worden geïntegreerd met Microsoft Entra-id. In Microsoft Entra ID wordt Shibboleth weergegeven als een bedrijfstoepassing die niet in de galerie is opgenomen. Universiteiten kunnen eenmalige aanmelding (SSO) krijgen voor hun CAS-apps en kunnen deelnemen aan de InCommon-omgeving. Daarnaast biedt Shibboleth integratie voor LDAP-adreslijstservices (Lightweight Directory Access Protocol).
Voordelen
Voordelen van het gebruik van deze oplossing zijn:
Cloudverificatie voor alle apps: Alle apps worden geverifieerd via Microsoft Entra-id.
Gemak van uitvoering: Deze oplossing biedt op korte termijn gemak van uitvoering voor universiteiten die al Gebruikmaken van Shibboleth.
Overwegingen en afwegingen
Hier zijn enkele van de afwegingen bij het gebruik van deze oplossing:
Hogere complexiteit en beveiligingsrisico's: Een on-premises footprint kan een hogere complexiteit betekenen voor de omgeving en extra beveiligingsrisico's, vergeleken met een beheerde service. Verhoogde overhead en kosten kunnen ook worden gekoppeld aan het beheren van on-premises onderdelen.
Suboptimale verificatie-ervaring: Voor multilaterale federatie- en CAS-apps is de verificatie-ervaring voor gebruikers mogelijk niet naadloos vanwege omleidingen via Shibboleth. De opties voor het aanpassen van de verificatie-ervaring voor gebruikers zijn beperkt.
Beperkte integratie van meervoudige verificatie van derden: Het aantal integraties dat beschikbaar is voor oplossingen voor meervoudige verificatie van derden, is mogelijk beperkt.
Geen gedetailleerde ondersteuning voor voorwaardelijke toegang: Zonder gedetailleerde ondersteuning voor voorwaardelijke toegang moet u kiezen tussen de minst voorkomende noemer (optimaliseren voor minder wrijving, maar beperkte beveiligingsmaatregelen hebben) of de hoogste gemeenschappelijke noemer (optimaliseren voor beveiligingscontroles ten koste van de wrijving van de gebruiker). Uw vermogen om gedetailleerde beslissingen te nemen, is beperkt.
Migratiebronnen
De volgende resources kunnen u helpen bij uw migratie naar deze oplossingsarchitectuur.
| Migratieresource | Beschrijving |
|---|---|
| Bronnen voor het migreren van toepassingen naar Microsoft Entra ID | Lijst met resources om u te helpen bij het migreren van toepassingstoegang en -verificatie naar Microsoft Entra-id |
| Shibboleth configureren als een SAML-proxy | Shibboleth-artikel waarin wordt beschreven hoe u de SAML-proxyfunctie gebruikt om de Shibboleth IdP te verbinden met Microsoft Entra ID |
| Overwegingen bij de implementatie van Microsoft Entra voor meervoudige verificatie | Richtlijnen voor het configureren van Microsoft Entra-meervoudige verificatie |
Volgende stappen
Zie deze verwante artikelen over multilaterale federatie:
Een introductie van de multilaterale federatie
Ontwerp van multilaterale federatiebasislijn
Multilaterale federatieoplossing 1: Microsoft Entra-id met Cirrus Bridge
Multilaterale federatieoplossing 3: Microsoft Entra-id met AD FS en Shibboleth