إدارة الهوية والوصول (IAM) هي العملية والسياسات وإطار العمل التكنولوجي الذي يغطي إدارة الهويات وما يمكنهم الوصول إليه. تتضمن إدارة الهوية والوصول المكونات التي تدعم المصادقة والترخيص لحسابات المستخدم والحسابات الأخرى في النظام.
يمكن أن يتسبب أي مكون من مكونات نظام إدارة الهوية والوصول في حدوث اضطراب. مرونة إدارة الهوية والوصول هي القدرة على تحمل تعطل مكونات نظام إدارة الهوية والوصول والتعافي بأقل تأثير على العمل والمستخدمين والعملاء والعمليات. يصف هذا الدليل طرق بناء نظام إدارة الهوية والوصول مرن.
لتعزيز مرونة إدارة الهوية والوصول:
- افتراض حدوث اضطرابات والتخطيط لها.
- تقليل التبعيات والتعقيد ونقاط الفشل الفردية.
- ضمان معالجة شاملة للخطأ.
التعرف على حالات الطوارئ والتخطيط لها أمر مهم. ومع ذلك، فإن إضافة المزيد من أنظمة الهوية، مع تبعياتها وتعقيدها، يمكن أن تقلل من المرونة بدلاً من زيادتها.
يمكن للمطورين المساعدة في إدارة مرونة IAM في تطبيقاتهم باستخدام هويات Microsoft Entra المدارة كلما أمكن ذلك. للحصول على مزيد من المعلومات، راجع زيادة مرونة تطبيقات المصادقة والتخويل التي تطورها.
عند التخطيط لمرونة حل إدارة الهوية والوصول، ضع في اعتبارك العناصر التالية:
- التطبيقات التي تعتمد على نظام إدارة الهوية والوصول الخاص بك.
- تستخدم البنية الأساسية العامة التي تستدعيها المصادقة، بما في ذلك:
- شركات الاتصالات.
- موفرو خدمة الإنترنت.
- موفرو المفاتيح العامة.
- موفرو الهوية السحابية واللاتي تُقدم محليا.
- الخدمات الأخرى التي تعتمد على إدارة الهوية والوصول، وواجهات برمجة التطبيقات التي تربط الخدمات.
- أي مكونات محلية أخرى في نظامك.
الهندسة
يوضح هذا الرسم البياني عدة طرق لزيادة مرونة إدارة الهوية والوصول. تشرح المقالات المرتبطة الأساليب بالتفصيل.
إدارة التبعيات وتقليل مكالمات المصادقة
تخضع كل مكالمة مصادقة للانقطاع في حالة فشل أي مكون من مكونات المكالمة. عندما يتم تعطيل المصادقة بسبب فشل المكون الأساسي، لا يمكن للمستخدمين الوصول إلى تطبيقاتهم. لذلك، يعد تقليل عدد مكالمات المصادقة وعدد التبعيات في تلك المكالمات أمرًا ضروريًا للمرونة.
- إدارة التبعيات. بناء المرونة من خلال إدارة بيانات الاعتماد.
- تقليل استدعاءات المصادقة. بناء المرونة باستخدام حالات الجهاز.
- تقليل تبعيات واجهة برمجة التطبيقات الخارجية.
استخدام الرموز المميزة القابلة للإبطال طويلة الأمد
في نظام مصادقة يستند إلى الرمز المميز مثل معرف Microsoft Entra، يجب أن يحصل تطبيق عميل المستخدم على رمز أمان من نظام الهوية قبل أن يتمكن من الوصول إلى تطبيق أو مورد آخر. خلال فترة صلاحية الرمز المميز، يمكن للعميل تقديم نفس الرمز عدة مرات للوصول إلى التطبيق.
إذا انتهت فترة الصلاحية أثناء جلسة عمل المستخدم، يرفض التطبيق الرمز المميز، ويجب على العميل الحصول على رمز مميز جديد من معرف Microsoft Entra. قد يتطلب الحصول على رمز مميز جديد تفاعل المستخدم مثل مطالبات بيانات الاعتماد أو غيرها من المتطلبات. يقلل تقليل تكرار مكالمات المصادقة باستخدام الرموز المميزة ذات العمر الطويل من التفاعلات غير الضرورية. ومع ذلك، يجب التوازن بين مدة بقاء الرمزية والمخاطر الناتجة عن تقييمات أقل للسياسة.
- استخدم الرموز المميزة القابلة للإلغاء طويلة الأمد.
- بناء المرونة باستخدام تقييم الوصول المستمر (CAE).
لمزيد من المعلومات حول إدارة مدة بقاء الرمز المميز، راجع تحسين مطالبات إعادة المصادقة وفهم مدة جلسة العمل لمصادقة Microsoft Entra متعددة العوامل.
المرونة المختلطة والمحلية
- بناء المرونة في البنية المختلطة الخاصة بك لتحديد المصادقة المرنة من Active Directory الداخلي أو موفري الهوية الآخرين (IdPs).
- لإدارة الهويات الخارجية، قم ببناء المرونة في مصادقة المستخدم الخارجي.
- للوصول إلى التطبيقات المحلية، قم ببناء مرونة في الوصول إلى التطبيق باستخدام وكيل التطبيق.
الخطوات التالية
- زيادة مرونة تطبيقات المصادقة والتخويل التي تطورها
- بناء المرونة في البنية الأساسية لإدارة الهوية والوصول
- بناء المرونة في أنظمة التطبيقات التي تواجه العملاء (إدارة الهوية والوصول للعميل) باستخدام Azure Active Directory B2C