Aracılığıyla paylaş


Çözüm 3: AD FS ve Shibboleth ile Microsoft Entra Kimliği

Çözüm 3'te, federasyon sağlayıcısı birincil kimlik sağlayıcısıdır (IdP). Bu örnekte Shibboleth, çok taraflı federasyon uygulamalarının, şirket içi Merkezi Kimlik Doğrulama Hizmeti (CAS) uygulamalarının ve tüm Basit Dizin Erişim Protokolü (LDAP) dizinlerinin tümleştirilmesi için federasyon sağlayıcısıdır.

Diagram that shows a design integrating Shibboleth, Active Directory Federation Services, and Microsoft Entra ID.

Bu senaryoda Shibboleth birincil IdP'dir. Çok taraflı federasyonlara (örneğin InCommon ile) katılım, bu tümleştirmeyi yerel olarak destekleyen Shibboleth aracılığıyla yapılır. Şirket içi CAS uygulamaları ve LDAP dizini de Shibboleth ile tümleştirilir.

Öğrenci uygulamaları, öğretim üyeleri uygulamaları ve Microsoft 365 Uygulamaları Microsoft Entra Id ile tümleştirilir. Tüm şirket içi Active Directory örnekleri Microsoft Entra Id ile eşitlenir. Active Directory Federasyon Hizmetleri (AD FS) (AD FS), üçüncü taraf çok faktörlü kimlik doğrulaması ile tümleştirme sağlar. AD FS, protokol çevirisi gerçekleştirir ve cihaz yönetimi için Microsoft Entra join, Windows Autopilot ve parolasız özellikler gibi bazı Microsoft Entra özelliklerini etkinleştirir.

Avantajlar

Bu çözümü kullanmanın avantajlarından bazıları şunlardır:

  • Özelleştirilmiş kimlik doğrulaması: Shibboleth aracılığıyla çok taraflı federasyon uygulamaları deneyimini özelleştirebilirsiniz.

  • Yürütme kolaylığı: Çözümün, birincil IdP'si olarak zaten Shibboleth kullanan kurumlar için kısa vadede uygulanması kolaydır. Öğrenci ve fakülte uygulamalarını Microsoft Entra Id'ye geçirmeniz ve bir AD FS örneği eklemeniz gerekir.

  • En az kesinti: Çözüm, üçüncü taraf çok faktörlü kimlik doğrulamasına izin verir. Bir güncelleştirmeye hazır olana kadar Duo gibi mevcut çok faktörlü kimlik doğrulama çözümlerini yerinde tutabilirsiniz.

Dikkat edilmesi gerekenler ve dengeler

Bu çözümü kullanmanın bazı dezavantajları şunlardır:

  • Daha yüksek karmaşıklık ve güvenlik riski: Şirket içi ayak izi, yönetilen hizmetle karşılaştırıldığında ortam için daha yüksek karmaşıklık ve ek güvenlik riskleri anlamına gelebilir. Artan ek yük ve ücretler, şirket içi bileşenleri yönetmeyle de ilişkilendirilebilir.

  • İyi amaçlı kimlik doğrulama deneyimi: Çok taraflı federasyon ve CAS uygulamaları için bulut tabanlı kimlik doğrulama mekanizması yoktur ve birden çok yeniden yönlendirme olabilir.

  • Microsoft Entra çok faktörlü kimlik doğrulaması desteği yok: Bu çözüm, çok taraflı federasyon veya CAS uygulamaları için Microsoft Entra çok faktörlü kimlik doğrulama desteğini etkinleştirmez. Olası maliyet tasarruflarını kaçırabilirsiniz.

  • Ayrıntılı Koşullu Erişim desteği yok: Ayrıntılı Koşullu Erişim desteğinin olmaması, ayrıntılı kararlar alma becerinizi sınırlar.

  • Devam eden önemli personel ayırma: BT personeli, kimlik doğrulama çözümü için altyapı ve yazılım bulundurmalıdır. Herhangi bir personelin zararları risklere neden olabilir.

Geçiş kaynakları

Aşağıdaki kaynaklar bu çözüm mimarisine geçişinizde yardımcı olabilir.

Geçiş kaynağı Açıklama
Uygulamaları Microsoft Entra ID'ye geçirmek için kaynaklar Uygulama erişimini ve kimlik doğrulamasını Microsoft Entra Id'ye geçirmenize yardımcı olacak kaynakların listesi

Sonraki adımlar

Çok taraflı federasyon hakkındaki şu ilgili makalelere bakın:

Çok taraflı federasyona giriş

Çok taraflı federasyon temeli tasarımı

Çok taraflı federasyon Çözümü 1: Cirrus Köprüsü ile Microsoft Entra Id

Çok taraflı federasyon Çözümü 2: Güvenlik Onay İşaretleme Dili (SAML) proxy'si olarak Shibboleth ile Microsoft Entra Id

Çok taraflı federasyon karar ağacı