Udostępnij za pośrednictwem


Rozwiązanie 2: Microsoft Entra ID with Shibboleth as a SAML proxy (Rozwiązanie 2: Microsoft Entra ID z shibboleth jako serwer proxy SAML)

W rozwiązaniu 2 Microsoft Entra ID działa jako główny dostawca tożsamości. Dostawca federacyjny działa jako serwer proxy języka SAML (Security Assertion Markup Language) do aplikacji usługi uwierzytelniania centralnego (CAS) i wielostronnych aplikacji federacyjnych. W tym przykładzie Shibboleth działa jako serwer proxy SAML, aby podać link referencyjny.

Diagram przedstawiający Shibboleth używany jako dostawca proxy SAML.

Ponieważ identyfikator Entra firmy Microsoft jest podstawowym dostawcą tożsamości, wszystkie aplikacje uczniów i wykładowców są zintegrowane z identyfikatorem Entra firmy Microsoft. Wszystkie aplikacje platformy Microsoft 365 są również zintegrowane z identyfikatorem Entra firmy Microsoft. Jeśli są używane usługi Microsoft Entra Domain Services, są również synchronizowane z identyfikatorem Entra firmy Microsoft.

Funkcja serwera proxy SAML Shibboleth integruje się z Microsoft Entra ID. W usłudze Microsoft Entra ID, Shibboleth jest wyświetlana jako aplikacja przedsiębiorstwa spoza galerii. Uniwersytety mogą uzyskać logowanie jednokrotne (SSO) dla swoich aplikacji CAS i mogą uczestniczyć w środowisku InCommon. Ponadto Shibboleth zapewnia integrację z usługami katalogowymi protokołu Lightweight Directory Access Protocol (LDAP).

Zalety

Zalety korzystania z tego rozwiązania obejmują:

  • Uwierzytelnianie w chmurze dla wszystkich aplikacji: Wszystkie aplikacje uwierzytelniają się za pomocą identyfikatora Entra firmy Microsoft.

  • Łatwość wykonywania: To rozwiązanie zapewnia krótkoterminową łatwość wykonywania dla uniwersytetów, które już korzystają z Shibboleth.

Zagadnienia i kompromisy

Poniżej przedstawiono niektóre kompromisy dotyczące korzystania z tego rozwiązania:

  • Większa złożoność i ryzyko bezpieczeństwa: Obecność lokalna może oznaczać większą złożoność środowiska i dodatkowe zagrożenia bezpieczeństwa w porównaniu z usługą zarządzaną. Zwiększone koszty i opłaty mogą być również związane z zarządzaniem składnikami lokalnymi.

  • Nieoptymalne doświadczenie uwierzytelniania: W przypadku wielostronnej federacji i aplikacji CAS doświadczenie uwierzytelniania dla użytkowników może nie być płynne z powodu przekierowań za pośrednictwem Shibboleth. Opcje dostosowywania środowiska uwierzytelniania dla użytkowników są ograniczone.

  • Ograniczona integracja uwierzytelniania wieloskładnikowego innej firmy: Liczba integracji dostępnych dla rozwiązań uwierzytelniania wieloskładnikowego innych firm może być ograniczona.

  • Brak szczegółowej obsługi dostępu warunkowego: Bez szczegółowej obsługi dostępu warunkowego musisz wybrać między najmniejszym wspólnym mianownikiem (optymalizowanie w kierunku mniejszej liczby przeszkód, ale mając ograniczone mechanizmy kontroli zabezpieczeń) lub największym wspólnym mianownikiem (optymalizowanie pod kątem mechanizmów kontroli zabezpieczeń kosztem przeszkód dla użytkowników). Możliwość podejmowania szczegółowych decyzji jest ograniczona.

Zasoby dotyczące migracji

Poniższe zasoby mogą pomóc w migracji do tej architektury rozwiązania.

Zasób migracji Opis
Zasoby dotyczące migracji aplikacji do Microsoft Entra ID Lista zasobów, które ułatwiają migrowanie dostępu do aplikacji i uwierzytelniania do identyfikatora Entra firmy Microsoft
Konfigurowanie shibboleth jako serwera proxy SAML Artykuł Shibboleth opisujący sposób używania funkcji proxy SAML w celu połączenia Shibboleth IdP z Microsoft Entra ID
Zagadnienia dotyczące wdrażania uwierzytelniania wieloskładnikowego firmy Microsoft Wskazówki dotyczące konfigurowania uwierzytelniania wieloskładnikowego firmy Microsoft

Dalsze kroki

Zapoznaj się z następującymi artykułami dotyczącymi federacji wielostronnej:

Wprowadzenie federacji wielostronnej

Projekt linii bazowej federacji wielostronnej

Wielostronne rozwiązanie federacji 1: Microsoft Entra ID z Cirrus Bridge

Rozwiązanie federacyjne wielostronne 3: Microsoft Entra ID z usługami AD FS i Shibboleth

Drzewo decyzyjne federacji wielostronnej