Поделиться через


Решение 3. Идентификатор Microsoft Entra с AD FS и Shibboleth

В решении 3 поставщик федерации является основным поставщиком удостоверений (IdP). В этом примере Shibboleth является поставщиком федерации для интеграции многосторонних приложений федерации, локальных приложений Центральной службы проверки подлинности (CAS) и всех каталогов протокола LDAP.

Diagram that shows a design integrating Shibboleth, Active Directory Federation Services, and Microsoft Entra ID.

В этом сценарии Shibboleth является основным идентификатором поставщика удостоверений. Участие в многосторонних федерациях (например, с InCommon) осуществляется через Shibboleth, который изначально поддерживает эту интеграцию. Локальные приложения CAS и каталог LDAP также интегрированы с Shibboleth.

Приложения учащихся, приложения преподавателей и Приложения Microsoft 365 интегрированы с идентификатором Microsoft Entra. Любой локальный экземпляр Active Directory синхронизируется с идентификатором Microsoft Entra. службы федерации Active Directory (AD FS) (AD FS) обеспечивает интеграцию с сторонней многофакторной проверкой подлинности. AD FS выполняет преобразование протокола и включает некоторые функции Microsoft Entra, такие как присоединение Microsoft Entra для управления устройствами, Windows Autopilot и функции без пароля.

Достоинства

Ниже приведены некоторые преимущества использования этого решения:

  • Настраиваемая проверка подлинности. Вы можете настроить интерфейс для многосторонних приложений федерации с помощью Shibboleth.

  • Простота выполнения: решение просто реализовать в краткосрочной перспективе для учреждений, которые уже используют Shibboleth в качестве основного поставщика удостоверений. Вам нужно перенести приложения учащихся и преподавателей в идентификатор Microsoft Entra ID и добавить экземпляр AD FS.

  • Минимальное нарушение: решение позволяет сторонней многофакторной проверке подлинности. Вы можете хранить существующие решения многофакторной проверки подлинности, например Duo, пока не будете готовы к обновлению.

Рекомендации и компромиссы

Ниже приведены некоторые компромиссы по использованию этого решения:

  • Более высокий уровень сложности и риска безопасности. Локальное пространство может означать более высокую сложность для среды и дополнительных рисков безопасности по сравнению с управляемой службой. Дополнительные расходы и сборы также могут быть связаны с управлением локальными компонентами.

  • Неоптимальная проверка подлинности. Для многосторонних приложений федерации и CAS нет механизма облачной проверки подлинности и может быть несколько перенаправлений.

  • Нет поддержки многофакторной проверки подлинности Microsoft Entra: это решение не включает поддержку многофакторной проверки подлинности Microsoft Entra для многосторонних федераций или приложений CAS. Вы можете пропустить потенциальную экономию затрат.

  • Нет детальной поддержки условного доступа: отсутствие детализированной поддержки условного доступа ограничивает возможность принимать детализированные решения.

  • Значительное распределение персонала: ИТ-сотрудники должны поддерживать инфраструктуру и программное обеспечение для решения проверки подлинности. Любой персонал может привести к риску.

Ресурсы по миграции

Следующие ресурсы помогут вам выполнить миграцию в эту архитектуру решения.

Ресурс миграции Description
Ресурсы для переноса приложений в Microsoft Entra ID Список ресурсов, которые помогут перенести доступ к приложениям и проверку подлинности на идентификатор Microsoft Entra

Следующие шаги

См. следующие статьи о многосторонних федерациях:

Введение в многосторонние федерации

Разработка базовых показателей многосторонних федераций

Решение для многосторонних федераций 1. Идентификатор Microsoft Entra с Cirrus Bridge

Решение для многосторонних федераций 2. Идентификатор Microsoft Entra с Shibboleth в качестве прокси-сервера разметки утверждений безопасности (SAML)

Дерево принятия решений о многосторонних федерациях