Dela via


Lösning 3: Microsoft Entra ID med AD FS och Shibboleth

I lösning 3 är federationsprovidern den primära identitetsprovidern (IdP). I det här exemplet är Shibboleth federationsprovidern för integrering av multilaterala federationsappar, lokala CAS-appar (Central Authentication Service) och alla LDAP-kataloger (Lightweight Directory Access Protocol).

Diagram that shows a design integrating Shibboleth, Active Directory Federation Services, and Microsoft Entra ID.

I det här scenariot är Shibboleth det primära IdP:t. Deltagande i multilaterala federationer (till exempel med InCommon) sker via Shibboleth, som internt stöder denna integrering. Lokala CAS-appar och LDAP-katalogen är också integrerade med Shibboleth.

Studentappar, fakultetsappar och Microsoft 365-applikationer är integrerade med Microsoft Entra-ID. Alla lokala instanser av Active Directory synkroniseras med Microsoft Entra-ID. Active Directory Federation Services (AD FS) (AD FS) ger integrering med multifaktorautentisering från tredje part. AD FS utför protokollöversättning och aktiverar vissa Microsoft Entra-funktioner, till exempel Microsoft Entra-anslutning för enhetshantering, Windows Autopilot och lösenordslösa funktioner.

Fördelar

Här är några av fördelarna med att använda den här lösningen:

  • Anpassad autentisering: Du kan anpassa upplevelsen för multilaterala federationsappar via Shibboleth.

  • Enkel körning: Lösningen är enkel att implementera på kort sikt för institutioner som redan använder Shibboleth som primär IdP. Du måste migrera student- och fakultetsappar till Microsoft Entra-ID och lägga till en AD FS-instans.

  • Minimal störning: Lösningen tillåter multifaktorautentisering från tredje part. Du kan behålla befintliga lösningar för multifaktorautentisering, till exempel Duo, tills du är redo för en uppdatering.

Överväganden och kompromisser

Här är några av kompromisserna med att använda den här lösningen:

  • Högre komplexitet och säkerhetsrisk: Ett lokalt fotavtryck kan innebära högre komplexitet för miljön och extra säkerhetsrisker jämfört med en hanterad tjänst. Ökade omkostnader och avgifter kan också associeras med hantering av lokala komponenter.

  • Suboptimal autentiseringsupplevelse: För multilaterala federations- och CAS-appar finns det ingen molnbaserad autentiseringsmekanism och det kan finnas flera omdirigeringar.

  • Inget stöd för Microsoft Entra-multifaktorautentisering: Den här lösningen aktiverar inte stöd för Multifaktorautentisering i Microsoft Entra för multilateral federation eller CAS-appar. Du kan missa potentiella kostnadsbesparingar.

  • Inget detaljerat stöd för villkorsstyrd åtkomst: Bristen på detaljerad stöd för villkorsstyrd åtkomst begränsar din möjlighet att fatta detaljerade beslut.

  • Betydande löpande personalallokering: IT-personal måste underhålla infrastruktur och programvara för autentiseringslösningen. All personalattestering kan medföra risker.

Migreringsresurser

Följande resurser kan hjälpa dig med migreringen till den här lösningsarkitekturen.

Migreringsresurs beskrivning
Resurser för att migrera program till Microsoft Entra ID Lista över resurser som hjälper dig att migrera programåtkomst och autentisering till Microsoft Entra-ID

Nästa steg

Se dessa relaterade artiklar om multilateral federation:

Introduktion till multilateral federation

Multilateral federationsbaslinjedesign

Multilateral federationslösning 1: Microsoft Entra-ID med Cirrus Bridge

Multilateral federationslösning 2: Microsoft Entra-ID med Shibboleth som saml-proxy (Security Assertion Markup Language)

Beslutsträd för multilateral federation