Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
W rozwiązaniu 2 Microsoft Entra ID działa jako główny dostawca tożsamości. Dostawca federacyjny działa jako serwer proxy języka SAML (Security Assertion Markup Language) do aplikacji usługi uwierzytelniania centralnego (CAS) i wielostronnych aplikacji federacyjnych. W tym przykładzie Shibboleth działa jako serwer proxy SAML, aby podać link referencyjny.
Ponieważ identyfikator Entra firmy Microsoft jest podstawowym dostawcą tożsamości, wszystkie aplikacje uczniów i wykładowców są zintegrowane z identyfikatorem Entra firmy Microsoft. Wszystkie aplikacje platformy Microsoft 365 są również zintegrowane z identyfikatorem Entra firmy Microsoft. Jeśli są używane usługi Microsoft Entra Domain Services, są również synchronizowane z identyfikatorem Entra firmy Microsoft.
Funkcja serwera proxy SAML Shibboleth integruje się z Microsoft Entra ID. W usłudze Microsoft Entra ID, Shibboleth jest wyświetlana jako aplikacja przedsiębiorstwa spoza galerii. Uniwersytety mogą uzyskać logowanie jednokrotne (SSO) dla swoich aplikacji CAS i mogą uczestniczyć w środowisku InCommon. Ponadto Shibboleth zapewnia integrację z usługami katalogowymi protokołu Lightweight Directory Access Protocol (LDAP).
Zalety
Zalety korzystania z tego rozwiązania obejmują:
Uwierzytelnianie w chmurze dla wszystkich aplikacji: Wszystkie aplikacje uwierzytelniają się za pomocą identyfikatora Entra firmy Microsoft.
Łatwość wykonywania: To rozwiązanie zapewnia krótkoterminową łatwość wykonywania dla uniwersytetów, które już korzystają z Shibboleth.
Zagadnienia i kompromisy
Poniżej przedstawiono niektóre kompromisy dotyczące korzystania z tego rozwiązania:
Większa złożoność i ryzyko bezpieczeństwa: Obecność lokalna może oznaczać większą złożoność środowiska i dodatkowe zagrożenia bezpieczeństwa w porównaniu z usługą zarządzaną. Zwiększone koszty i opłaty mogą być również związane z zarządzaniem składnikami lokalnymi.
Nieoptymalne doświadczenie uwierzytelniania: W przypadku wielostronnej federacji i aplikacji CAS doświadczenie uwierzytelniania dla użytkowników może nie być płynne z powodu przekierowań za pośrednictwem Shibboleth. Opcje dostosowywania środowiska uwierzytelniania dla użytkowników są ograniczone.
Ograniczona integracja uwierzytelniania wieloskładnikowego innej firmy: Liczba integracji dostępnych dla rozwiązań uwierzytelniania wieloskładnikowego innych firm może być ograniczona.
Brak szczegółowej obsługi dostępu warunkowego: Bez szczegółowej obsługi dostępu warunkowego musisz wybrać między najmniejszym wspólnym mianownikiem (optymalizowanie w kierunku mniejszej liczby przeszkód, ale mając ograniczone mechanizmy kontroli zabezpieczeń) lub największym wspólnym mianownikiem (optymalizowanie pod kątem mechanizmów kontroli zabezpieczeń kosztem przeszkód dla użytkowników). Możliwość podejmowania szczegółowych decyzji jest ograniczona.
Zasoby dotyczące migracji
Poniższe zasoby mogą pomóc w migracji do tej architektury rozwiązania.
| Zasób migracji | Opis |
|---|---|
| Zasoby dotyczące migracji aplikacji do Microsoft Entra ID | Lista zasobów, które ułatwiają migrowanie dostępu do aplikacji i uwierzytelniania do identyfikatora Entra firmy Microsoft |
| Konfigurowanie shibboleth jako serwera proxy SAML | Artykuł Shibboleth opisujący sposób używania funkcji proxy SAML w celu połączenia Shibboleth IdP z Microsoft Entra ID |
| Zagadnienia dotyczące wdrażania uwierzytelniania wieloskładnikowego firmy Microsoft | Wskazówki dotyczące konfigurowania uwierzytelniania wieloskładnikowego firmy Microsoft |
Dalsze kroki
Zapoznaj się z następującymi artykułami dotyczącymi federacji wielostronnej:
Wprowadzenie federacji wielostronnej
Projekt linii bazowej federacji wielostronnej
Wielostronne rozwiązanie federacji 1: Microsoft Entra ID z Cirrus Bridge
Rozwiązanie federacyjne wielostronne 3: Microsoft Entra ID z usługami AD FS i Shibboleth