通过

解决方案 1:将 Microsoft Entra ID 与 Cirrus 网桥结合使用

解决方案 1 使用 Microsoft Entra ID 作为所有应用程序的主要标识提供者(IdP)。 托管服务提供多边联合身份验证。 在此示例中,Cirrus Bridge 是用于集成中央身份验证服务(CAS)和多边联合应用的托管服务。

显示 Microsoft Entra 与各种应用程序环境集成的图表,其中使用 Cirrus 提供 CAS 桥和安全断言标记语言 (SAML) 桥。

如果还使用本地 Active Directory 实例,则可以使用混合标识 配置 Active Directory 。 实现将 Microsoft Entra ID 与 Cirrus Bridge 配合使用的解决方案提供:

  • 安全断言标记语言 (SAML) 桥 - 配置 InCommon 和 eduGAIN 中的多边联合身份验证和参与。 还可以使用 SAML 网桥为每个多边联合应用配置Microsoft Entra 条件访问策略、应用分配、治理和其他功能。

  • CAS 桥: 提供协议转换以支持本地 CAS 应用,以使用 Microsoft Entra ID 进行身份验证。 可以使用 CAS 网桥为所有 CAS 应用配置Microsoft Entra 条件访问策略、应用分配和治理。

使用 Cirrus Bridge 实现 Microsoft Entra ID 时,可以利用 Microsoft Entra ID 中的更多功能:

  • 自定义声明提供程序支持: 使用 Microsoft Entra 自定义声明提供程序,可以使用外部属性存储(如外部 LDAP 目录)将声明添加到各个应用的令牌中。 自定义声明提供程序使用调用外部 REST API 的自定义扩展从外部系统提取声明。

  • 自定义安全属性: 可以将自定义属性添加到目录中的对象,并控制谁可以读取它们。 使用自定义安全属性 ,可以将更多属性直接存储在 Microsoft Entra ID 中。

优点

下面是使用 Cirrus Bridge 实现 Microsoft Entra ID 的一些优点:

  • 所有应用的无缝云身份验证

    • 所有应用都通过 Microsoft Entra ID 进行身份验证。

    • 消除托管服务中的所有本地标识组件可能会降低运营和管理成本,降低安全风险,并为其他工作释放资源。

  • 简化的配置、部署和支持模型

    • Cirrus Bridge 在 Microsoft Entra 应用库中注册。

    • 你可以受益于已有的网桥解决方案配置和设置流程。

    • Cirrus Identity 提供持续支持。

  • 多边联合应用的条件访问支持

    • 条件访问控制的实现有助于符合 NIHREFEDS 要求。

    • 此解决方案是唯一的体系结构,可用于为多边联合应用和 CAS 应用配置精细Microsoft Entra 条件访问。

  • 对所有应用使用其他Microsoft Entra 相关解决方案

    • 可以使用 Intune 和 Microsoft Entra 联接进行设备管理。

    • Microsoft Entra 联接使你能够使用 Windows Autopilot、Microsoft Entra 多重身份验证和无密码功能。 Microsoft Entra 联接支持实现零信任态势。

      注释

      切换到 Microsoft Entra 多重身份验证可能有助于比现有解决方案节省大量成本。

注意事项和权衡因素

下面是使用此解决方案的一些权衡因素:

  • 自定义身份验证体验的功能有限: 此方案提供托管解决方案。 它可能无法使用联合身份验证提供程序产品灵活或精细地生成自定义解决方案。

  • 有限的第三方 MFA 集成: 第三方多重身份验证解决方案可用的集成数量可能有限。

  • 需要一次性集成工作: 若要简化集成,需要对所有学生和教职员工应用执行一次性迁移到Microsoft Entra ID。 还需要设置 Cirrus Bridge。

  • Cirrus Bridge 所需的订阅: Cirrus Bridge 的订阅费用基于桥的预计年度身份验证使用情况。

迁移资源

以下资源有助于迁移到此解决方案体系结构。

迁移资源 DESCRIPTION
用于将应用程序迁移到 Microsoft Entra ID 的资源 帮助你将应用程序访问权限和身份验证迁移到 Microsoft Entra ID 的资源列表
Microsoft Entra 自定义声明提供程序 Microsoft Entra 自定义声明提供程序概述
自定义安全属性 管理对自定义安全属性的访问的步骤
Microsoft Entra 与 Cirrus Bridge 的单一登录集成 将 Cirrus 网桥与 Microsoft Entra ID 集成的教程
Cirrus Bridge 概述 使用 Microsoft Entra ID 配置 Cirrus 网桥的 Cirrus Identity 文档
Microsoft Entra 多重身份验证的部署注意事项 Microsoft Entra 多重身份验证配置指南

后续步骤

请参阅以下有关多边联合身份验证的文章:

多边联合身份验证简介

多边联合身份验证基线设计

多边联合身份验证解决方案 2:将 Microsoft Entra ID 与用作 SAML 代理的 Shibboleth 结合使用

多边联合身份验证解决方案 3:将 Microsoft Entra ID 与 AD FS 和 Shibboleth 结合使用

多边联合身份验证决策树

  • Last updated on