在解决方案 2 中,Microsoft Entra ID 充当主要标识提供者 (IdP)。 联合身份验证提供程序充当安全断言标记语言 (SAML) 代理,用于中心身份验证服务 (CAS) 应用和多边联合应用。 在此示例中,Shibboleth 作为 SAML 代理提供引用链接。
Microsoft Entra ID 是主要 IdP,因此所有学生和教职员工应用都与 Microsoft Entra ID 集成。 所有Microsoft 365 应用也都与 Microsoft Entra ID 集成。 如果正在使用 Microsoft Entra 域服务,该服务也会与Microsoft Entra ID 同步。
Shibboleth 的 SAML 代理功能会与 Microsoft Entra ID 集成。 在 Microsoft Entra ID 中,Shibboleth 显示为非目录企业应用。 大学可以为其 CAS 应用获取单一登录 (SSO),并且可以加入 InCommon 环境。 此外,Shibboleth 还为轻型目录访问协议 (LDAP) 目录服务提供集成。
优点
使用此解决方案具有下列优势:
所有应用的云身份验证: 所有应用都通过 Microsoft Entra ID 进行身份验证。
易于执行: 此解决方案为已经使用 Shibboleth 的大学提供了短期的执行便利。
注意事项和权衡因素
下面是使用此解决方案时需要权衡的因素:
更高的复杂性和安全风险: 与托管服务相比,本地占用空间可能意味着环境的复杂性和额外的安全风险。 此外,与管理这些本地组件相关的开销和费用可能会增加。
不理想的身份验证体验: 对于多边联合和 CAS 应用,由于通过 Shibboleth 重定向,用户的身份验证体验可能不是无缝的。 用于自定义用户身份验证体验的选项有限。
有限的第三方多重身份验证集成: 第三方多重身份验证解决方案可用的集成数量可能有限。
不支持精细的条件访问: 如果没有精细的条件访问支持,则必须在最不常见的分母(针对较少的摩擦进行优化但具有有限的安全控制)或最高的公用分母(以牺牲用户摩擦为代价优化安全控制) 之间进行选择。 做出精细决策的能力有限。
迁移资源
下面的资源可帮助你迁移到此解决方案体系结构。
| 迁移资源 | DESCRIPTION |
|---|---|
| 用于将应用程序迁移到 Microsoft Entra ID 的资源 | 帮助你将应用程序访问权限和身份验证迁移到 Microsoft Entra ID 的资源列表 |
| 将 Shibboleth 配置为 SAML 代理 | Shibboleth 文章,介绍了如何使用 SAML 代理功能将 Shibboleth IdP 连接到 Microsoft Entra ID |
| Microsoft Entra 多重身份验证的部署注意事项 | Microsoft Entra 多重身份验证配置指南 |
后续步骤
请参阅以下有关多边联合会的相关文章:
多边联合身份验证解决方案 1:将 Microsoft Entra ID 与 Cirrus Bridge 结合使用
多边联合身份验证解决方案 3:将 Microsoft Entra ID 与 AD FS 和 Shibboleth 结合使用