解决方案 1:将 Microsoft Entra ID 与 Cirrus 网桥结合使用

  • 项目

解决方案 1 使用 Microsoft Entra ID 作为所有应用程序的主要标识提供者 (IdP)。 托管服务提供多边联合身份验证。 在此示例中,Cirrus Bridge 是集成 Central Authentication Service (CAS) 和多边联合身份验证应用的托管服务。

Diagram that shows Microsoft Entra integration with various application environments using Cirrus to provide a CAS bridge and a SAML bridge.

如果你还使用本地 Active Directory 实例,则可以使用混合标识配置 Active Directory。 实施将 Microsoft Entra ID 与 Cirrus 网桥结合使用的解决方案可提供:

  • 安全断言标记语言 (SAML) 桥 - 配置 InCommon 和 EduGAIN 中的多边联合身份验证和参与。 也可以使用 SAML 网桥为每个多边联合身份验证应用配置 Microsoft Entra 条件访问策略、应用分配、治理和其他功能。

  • CAS 网桥:提供协议转换,以支持本地 CAS 应用向 Microsoft Entra ID 进行身份验证。 可以使用 CAS 网桥将所有 CAS 应用作为一个整体统一配置 Microsoft Entra 条件访问策略、应用分配和治理。

将 Cirrus 网桥与 Microsoft Entra ID 结合使用时,可以利用 Microsoft Entra ID 中的更多功能:

  • 自定义声明提供程序支持:借助 Microsoft Entra 自定义声明提供程序,你可以使用外部属性存储(如外部 LDAP 目录)将声明添加到单个应用的令牌中。 自定义声明提供程序使用自定义扩展,它会调用外部 REST API 来从外部系统提取声明。

  • 自定义安全属性:可以将自定义属性添加到目录中的对象,并控制谁可以读取它们。 自定义安全属性支持直接在 Microsoft Entra ID 中存储更多属性。

优点

以下是将 Cirrus 网桥与 Microsoft Entra ID 结合使用的一些优势:

  • 对所有应用均实现无缝的云身份验证

    • 所有应用都通过 Microsoft Entra ID 进行身份验证。

    • 在托管服务中消除所有本地标识组件可能会降低运营和管理成本、降低安全风险,并释放资源用于其他工作。

  • 配置、部署和支持模型得到简化

    • Cirrus 网桥已在 Microsoft Entra 应用库中注册。

    • 你可以受益于已有的网桥解决方案配置和设置流程。

    • Cirrus Identity 提供持续支持。

  • 多边联合身份验证应用的条件访问支持

    • 实现条件访问控制有利于符合 NIHREFEDS 要求。

    • 此解决方案是唯一可用于为多边联合身份验证应用和 CAS 应用配置精细化 Microsoft Entra 条件访问的体系结构。

  • 对所有应用使用其他 Microsoft Entra 相关解决方案

    • 可以使用 Intune 和 Microsoft Entra 联接进行设备管理。

    • Microsoft Entra 联接使你能够使用 Windows Autopilot、Microsoft Entra 多重身份验证和无密码功能。 Microsoft Entra 联接支持实现零信任态势。

      注意

      与现有的其他解决方案相比,切换到 Microsoft Entra 多重身份验证可以帮助显著节省成本。

注意事项和权衡因素

下面是使用此解决方案的一些权衡因素:

  • 自定义身份验证体验的能力有限:此方案提供的是托管解决方案。 它可能无法使用联合身份验证提供程序产品灵活或精细地生成自定义解决方案。

  • 第三方 MFA 集成受限:第三方 MFA 解决方案可用的集成数可能会受到限制。

  • 需要一次完成集成:为简化集成工作,需要将所有学生和教职员工应用一次性迁移到 Microsoft Entra ID。 还需要设置 Cirrus Bridge。

  • Cirrus Bridge 所需的订阅:Cirrus Bridge 的订阅费用基于桥的预期年度身份验证使用情况。

迁移资源

下面的资源可帮助你迁移到此解决方案体系结构。

迁移资源 说明
用于将应用程序迁移到 Microsoft Entra ID 的资源 帮助你将应用程序访问权限和身份验证迁移到 Microsoft Entra ID 的资源列表
Microsoft Entra 自定义声明提供程序 Microsoft Entra 自定义声明提供程序概述
自定义安全属性 管理对自定义安全属性的访问的步骤
Microsoft Entra 单一登录与 Cirrus 网桥的集成 将 Cirrus 网桥与 Microsoft Entra ID 集成的教程
Cirrus Bridge 概述 使用 Microsoft Entra ID 配置 Cirrus 网桥的 Cirrus Identity 文档
Microsoft Entra 多重身份验证的部署注意事项 Microsoft Entra 多重身份验证配置指南

后续步骤

请参阅以下有关多边联合身份验证的文章:

多边联合身份验证简介

多边联合身份验证基线设计

多边联合身份验证解决方案 2:将 Microsoft Entra ID 与用作 SAML 代理的 Shibboleth 结合使用

多边联合身份验证解决方案 3:将 Microsoft Entra ID 与 AD FS 和 Shibboleth 结合使用

多边联合身份验证决策树