Решение 3. Идентификатор Microsoft Entra с AD FS и Shibboleth
В решении 3 поставщик федерации является основным поставщиком удостоверений (IdP). В этом примере Shibboleth является поставщиком федерации для интеграции многосторонних приложений федерации, локальных приложений Центральной службы проверки подлинности (CAS) и всех каталогов протокола LDAP.
В этом сценарии Shibboleth является основным идентификатором поставщика удостоверений. Участие в многосторонних федерациях (например, с InCommon) осуществляется через Shibboleth, который изначально поддерживает эту интеграцию. Локальные приложения CAS и каталог LDAP также интегрированы с Shibboleth.
Приложения учащихся, приложения преподавателей и Приложения Microsoft 365 интегрированы с идентификатором Microsoft Entra. Любой локальный экземпляр Active Directory синхронизируется с идентификатором Microsoft Entra. службы федерации Active Directory (AD FS) (AD FS) обеспечивает интеграцию с сторонней многофакторной проверкой подлинности. AD FS выполняет преобразование протокола и включает некоторые функции Microsoft Entra, такие как присоединение Microsoft Entra для управления устройствами, Windows Autopilot и функции без пароля.
Достоинства
Ниже приведены некоторые преимущества использования этого решения:
Настраиваемая проверка подлинности. Вы можете настроить интерфейс для многосторонних приложений федерации с помощью Shibboleth.
Простота выполнения: решение просто реализовать в краткосрочной перспективе для учреждений, которые уже используют Shibboleth в качестве основного поставщика удостоверений. Вам нужно перенести приложения учащихся и преподавателей в идентификатор Microsoft Entra ID и добавить экземпляр AD FS.
Минимальное нарушение: решение позволяет сторонней многофакторной проверке подлинности. Вы можете хранить существующие решения многофакторной проверки подлинности, например Duo, пока не будете готовы к обновлению.
Рекомендации и компромиссы
Ниже приведены некоторые компромиссы по использованию этого решения:
Более высокий уровень сложности и риска безопасности. Локальное пространство может означать более высокую сложность для среды и дополнительных рисков безопасности по сравнению с управляемой службой. Дополнительные расходы и сборы также могут быть связаны с управлением локальными компонентами.
Неоптимальная проверка подлинности. Для многосторонних приложений федерации и CAS нет механизма облачной проверки подлинности и может быть несколько перенаправлений.
Нет поддержки многофакторной проверки подлинности Microsoft Entra: это решение не включает поддержку многофакторной проверки подлинности Microsoft Entra для многосторонних федераций или приложений CAS. Вы можете пропустить потенциальную экономию затрат.
Нет детальной поддержки условного доступа: отсутствие детализированной поддержки условного доступа ограничивает возможность принимать детализированные решения.
Значительное распределение персонала: ИТ-сотрудники должны поддерживать инфраструктуру и программное обеспечение для решения проверки подлинности. Любой персонал может привести к риску.
Ресурсы по миграции
Следующие ресурсы помогут вам выполнить миграцию в эту архитектуру решения.
Ресурс миграции | Description |
---|---|
Ресурсы для переноса приложений в Microsoft Entra ID | Список ресурсов, которые помогут перенести доступ к приложениям и проверку подлинности на идентификатор Microsoft Entra |
Следующие шаги
См. следующие статьи о многосторонних федерациях:
Введение в многосторонние федерации
Разработка базовых показателей многосторонних федераций
Решение для многосторонних федераций 1. Идентификатор Microsoft Entra с Cirrus Bridge