閱讀英文

共用方式為


解決方案 2:Microsoft Entra ID 搭配 Shibboleth 作爲 SAML Proxy

在解決方案 2 中,Microsoft Entra ID 會作為主要識別提供者 (IdP)。 同盟提供者可作為中央驗證服務 (CAS) 應用程式和多邊同盟應用程式的安全性聲明標記語言 (SAML) Proxy。 在此範例中,Shibboleth 會作為 SAML Proxy 來提供參考連結。

顯示作為 SAML Proxy 提供者之 Shibboleth 的圖表。

由於 Microsoft Entra ID 是主要 IdP,因此所有學生和教職員應用程式都會與 Microsoft Entra ID 整合。 所有 Microsoft 365 Apps 也會與 Microsoft Entra ID 整合。 如果 Microsoft Entra Domain Services 正在使用中,它也會與 Microsoft Entra ID 同步處理。

Shibboleth 的 SAML Proxy 功能會與 Microsoft Entra ID 整合。 在 Microsoft Entra ID 中,Shibboleth 會顯示為非資源庫企業應用程式。 大學可以取得 CAS 應用程式的單一登入 (SSO),並可參與 InCommon 環境。 此外,Shibboleth 會提供輕量型目錄存取通訊協定 (LDAP) 目錄服務的整合。

優點

使用此解決方案的優點包括:

  • 所有應用程式的雲端驗證: 所有應用程式都會透過 Microsoft Entra ID 進行驗證。

  • 容易執行: 此解決方案為已在使用 Shibboleth 的大學提供短期的執行便利。

考量和權衡

以下是使用此解決方案的一些權衡:

  • 較高的複雜度和安全性風險: 與受控服務相比,內部部署磁碟使用量可能意味著環境的複雜度和額外的安全性風險。 管理內部部署元件也可能會增加額外負荷和費用。

  • 次佳驗證體驗: 針對多邊同盟和 CAS 應用程式,使用者的驗證體驗會由於要透過 Shibboleth 重新導向,而可能不順暢。 自訂使用者的驗證體驗之選項有限。

  • 限制的第三方多重要素驗證整合: 第三方多重要素驗證解決方案可用的整合數目可能會受到限制。

  • 沒有細微的條件式存取支援: 沒有細微的條件式存取支援,您必須選擇最小共同點 (針對較少的摩擦最佳化,但具有有限的安全性控制) 或最大共同點 (針對安全性控制最佳化,但以使用者摩擦為代價)。 您做出細微決策的能力有限。

移轉資源

下列資源可協助您移轉至此解決方案架構。

移轉資源 描述
將應用程式遷移至 Microsoft Entra ID 的資源 協助您將應用程式存取和驗證移轉至 Microsoft Entra ID 的資源清單。
將 Shibboleth 設定為 SAML Proxy Shibboleth 文章說明如何使用 SAML Proxying 功能將 Shibboleth IdP 連線至 Microsoft Entra ID
Microsoft Entra 多重要素驗證部署考量 設定 Microsoft Entra 多重要素驗證的指導

下一步

請參閱關於多邊同盟的相關文章:

多邊同盟簡介

多邊同盟基準設計

多邊同盟解決方案 1:具有 Cirrus Bridge 的 Microsoft Entra ID

多邊同盟解決方案 3:具有 Shibboleth 的 Microsoft Entra ID

多邊同盟決策樹狀