Aracılığıyla paylaş

Temel mimariye genel bakış

Microsoft genellikle uygulamaların bulut tabanlı olduğu veya şirket içinde barındırıldığı hibrit ortamlarda çalışan araştırma üniversiteleriyle konuşur. Her iki durumda da uygulamalar çeşitli kimlik doğrulama protokollerini kullanabilir. Bazı durumlarda, bu protokoller kullanım ömrü sonuna ulaşıyor veya gerekli güvenlik düzeyini sağlamıyor.

Güven, eşitleme ve kimlik bilgisi doğrulama yollarına sahip bulut ve şirket içi alanlar da dahil olmak üzere tipik bir üniversite mimarisinin diyagramı.

Uygulamalar, farklı kimlik doğrulama protokolleri ve farklı kimlik yönetimi (IdM) mekanizmaları gereksiniminin büyük bir kısmını oluşturur.

Araştırma üniversite ortamlarında, araştırma uygulamaları genellikle IdM gereksinimlerini yönlendirir. Bir üniversite, birincil kimlik sağlayıcısı (IdP) olarak Shibboleth gibi bir federasyon sağlayıcısı kullanabilir. Öyleyse, Microsoft Entra Kimliği genellikle Shibboleth ile federasyon oluşturacak şekilde yapılandırılır. Microsoft 365 Uygulamaları da kullanılıyorsa, Microsoft Entra ID tümleştirmeyi yapılandırmanıza olanak tanır.

Araştırma üniversitelerinde kullanılan uygulamalar, genel BT ayak izinin çeşitli bölümlerinde çalışır:

  • Araştırma ve çok taraflı federasyon uygulamaları InCommon ve eduGAIN aracılığıyla kullanılabilir.

  • Kitaplık uygulamaları elektronik dergilere ve diğer e-içerik sağlayıcılarına erişim sağlar.

  • Bazı uygulamalar çoklu oturum açmayı etkinleştirmek için Merkezi Kimlik Doğrulama Hizmeti gibi eski kimlik doğrulama protokollerini kullanır.

  • Öğrenci ve fakülte uygulamaları genellikle birden çok kimlik doğrulama mekanizması kullanır. Örneğin, bazıları Shibboleth veya diğer federasyon sağlayıcılarıyla tümleştirilmişken, diğerleri Microsoft Entra Id ile tümleştirilmiştir.

  • Microsoft 365 uygulamaları, Microsoft Entra Id ile tümleştirilir.

  • Windows Server Active Directory kullanımda olabilir ve Microsoft Entra Id ile eşitlenmiş olabilir.

  • Basit Dizin Erişim Protokolü (LDAP), dış LDAP dizini veya kimlik kayıt defterine sahip olabilecek birçok üniversitede kullanımdadır. Bu kayıt defterleri genellikle gizli öznitelikleri, rol hiyerarşisi bilgilerini ve hatta başvuru sahipleri gibi belirli kullanıcı türlerini depolamak için kullanılır.

  • Şirket içi Active Directory veya dış LDAP dizini genellikle web dışı uygulamalar ve Microsoft dışı çeşitli işletim sistemi oturum açma işlemleri için tek kimlik bilgileriyle oturum açmayı etkinleştirmek için kullanılır.

Temel mimari zorlukları

Temel mimariler genellikle zaman içinde evrilir ve tasarım ile güncelleme yeteneğine karmaşıklık ve katılık ekler. Temel mimariyi kullanmayla ilgili zorluklardan bazıları şunlardır:

  • Yeni gereksinimlere tepki vermek zordur: Karmaşık bir ortama sahip olmak, en son düzenlemelere ve gereksinimlere hızla uyum sağlamayı ve bu düzenlemelere ayak uydurmayı zorlaştırır. Örneğin, çok sayıda konumda uygulamanız varsa ve bu uygulamalar farklı IdM'lerle farklı şekillerde bağlıysa, çok faktörlü kimlik doğrulama hizmetlerini nerede bulacağınıza ve çok faktörlü kimlik doğrulamasını nasıl uygulayabileceğinize karar vermeniz gerekir.

    Yüksek öğrenim, parçalanmış hizmet sahipliğini de deneyimler. Kurumsal kaynak planlama, öğrenme yönetim sistemleri, bölüm ve departman çözümleri gibi önemli hizmetlerden sorumlu kişiler, çalıştıkları sistemleri değiştirme veya değiştirme çabalarına karşı koyabilir.

  • Tüm uygulamalar (örneğin, Intune, Koşullu Erişim, parolasız) için tüm Microsoft 365 özelliklerinden yararlanamazsınız: Birçok üniversite buluta geçmek ve Microsoft Entra ID'deki mevcut yatırımlarını kullanmak ister. Ancak, birincil IdP'si farklı bir federasyon sağlayıcısı olan üniversiteler, uygulamalarının geri kalanı için tüm Microsoft 365 özelliklerinden yararlanamaz.

  • Çözümün karmaşıklığı: Yönetilebilir birçok bileşen vardır. Bazı bileşenler bulutta, bazıları şirket içinde veya hizmet olarak altyapı (IaaS) örneklerindedir. Uygulamalar birçok yerde çalıştırılır. Kullanıcı açısından bakıldığında, bu deneyim kopuk olabilir. Örneğin, kullanıcılar bazen bir Shibboleth oturum açma sayfası, bazen de Microsoft Entra oturum açma sayfası görür.

Bu zorlukları çözmek için üç çözüm sunarken aşağıdaki gereksinimleri de ele alıyoruz:

  • InCommon ve eduGAIN gibi çok taraflı federasyonlara katılabilme

  • Tüm uygulama türlerini (eski protokoller gerektiren uygulamalar bile) destekleyebilme

  • Dış dizinleri ve öznitelik depolarını destekleme olanağı

En çok tercih edilenden en az tercih edilene kadar üç çözümü sırayla sunuyoruz. Her bir gereksinim karşılar ancak karmaşık bir mimaride beklenen ödün veren kararlar sunar. Gereksinimlerinize ve başlangıç noktanıza göre ortamınıza en uygun olanı seçin. Bu karara yardımcı olmak için bir karar ağacı da sağlıyoruz.

Sonraki Adımlar

Çok taraflı federasyon hakkındaki şu ilgili makalelere bakın:

Çok taraflı federasyona giriş

Çok taraflı federasyon Çözümü 1: Cirrus Köprüsü ile Microsoft Entra Id

Federasyon Çözümü 2: Shibboleth'i Güvenlik Onay İşaretleme Dili (SAML) proxy olarak kullanan Microsoft Entra ID

Çok taraflı federasyon Çözümü 3: AD FS ve Shibboleth ile Microsoft Entra Id

Çok taraflı federasyon karar ağacı