Not
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
I Lösning 2 fungerar Microsoft Entra-ID som primär identitetsprovider (IdP). Federationsprovidern fungerar som en SAML-proxy (Security Assertion Markup Language) till CAS-apparna (Central Authentication Service) och de multilaterala federationsapparna. I det här exemplet fungerar Shibboleth som SAML-proxy för att tillhandahålla en referenslänk.
Eftersom Microsoft Entra ID är det primära IdP:t är alla appar för studenter och lärare integrerade med Microsoft Entra-ID. Alla Microsoft 365-appar är också integrerade med Microsoft Entra-ID. Om Microsoft Entra Domain Services används synkroniseras det också med Microsoft Entra-ID.
SAML-proxyfunktionen i Shibboleth integreras med Microsoft Entra-ID. I Microsoft Entra-ID visas Shibboleth som ett företagsprogram som inte är ett galleriprogram. Universitet kan få enkel inloggning (SSO) för sina CAS-appar och kan delta i InCommon-miljön. Dessutom tillhandahåller Shibboleth integrering för LDAP-katalogtjänster (Lightweight Directory Access Protocol).
Fördelar
Fördelarna med att använda den här lösningen är:
Molnautentisering för alla appar: Alla appar autentiseras via Microsoft Entra-ID.
Enkelhet i genomförande: Den här lösningen ger kortsiktig enkelhet för universitet som redan använder Shibboleth.
Överväganden och kompromisser
Här är några av kompromisserna med att använda den här lösningen:
Högre komplexitet och säkerhetsrisk: Ett lokalt fotavtryck kan innebära högre komplexitet för miljön och extra säkerhetsrisker jämfört med en hanterad tjänst. Ökade omkostnader och avgifter kan också associeras med hantering av lokala komponenter.
Suboptimal autentiseringsupplevelse: För multilaterala federations- och CAS-appar kanske autentiseringsupplevelsen för användare inte är sömlös på grund av omdirigeringar via Shibboleth. Alternativen för att anpassa autentiseringsupplevelsen för användare är begränsade.
Begränsad integrering av multifaktorautentisering från tredje part: Antalet integreringar som är tillgängliga för lösningar för multifaktorautentisering från tredje part kan vara begränsat.
Inget detaljerat stöd för villkorsstyrd åtkomst: Utan detaljerad stöd för villkorsstyrd åtkomst måste du välja mellan den minst vanliga nämnaren (optimera för mindre friktion men har begränsade säkerhetskontroller) eller den högsta gemensamma nämnaren (optimera för säkerhetskontroller på bekostnad av användarfriktion). Din förmåga att fatta detaljerade beslut är begränsad.
Migreringsresurser
Följande resurser kan hjälpa dig med migreringen till den här lösningsarkitekturen.
| Migreringsresurs | Beskrivning |
|---|---|
| Resurser för att migrera program till Microsoft Entra ID | Lista över resurser som hjälper dig att migrera programåtkomst och autentisering till Microsoft Entra-ID |
| Konfigurera Shibboleth som en SAML-proxy | Shibboleth-artikel som beskriver hur du använder SAML-proxyfunktionen för att ansluta Shibboleth IdP till Microsoft Entra-ID |
| Distributionsöverväganden för Microsoft Entra-multifaktorautentisering | Vägledning för att konfigurera Microsoft Entra-multifaktorautentisering |
Nästa steg
Titta på dessa relaterade artiklar om multilaterala federationer:
Introduktion av multilateral förbund
Multilateralt grunddesign för federation
Multilateral federationslösning 1: Microsoft Entra-ID med Cirrus Bridge
Multilateral federationslösning 3: Microsoft Entra-ID med AD FS och Shibboleth