Zajištění odolnosti v infrastruktuře správy identit a přístupu

Microsoft Entra ID je globální cloudový systém pro správu identit a přístupu, který poskytuje důležité služby, jako je ověřování a autorizace pro prostředky vaší organizace. Tento článek obsahuje pokyny, které vám pomůžou pochopit, obsahovat a zmírnit riziko přerušení ověřovacích nebo autorizačních služeb pro prostředky, které spoléhají na MICROSOFT Entra ID.

Sada dokumentů je určená pro

• Architekti identit
• Vlastníci služeb identit
• Týmy pro provoz identit

Projděte si také dokumentaci pro vývojáře aplikací a systémy Azure AD B2C.

Co je odolnost?

V kontextu infrastruktury identit je odolnost schopnost vydržet přerušení služeb, jako je ověřování a autorizace nebo selhání jiných komponent, s minimálním nebo žádným účinkem na vaše podnikání, uživatele a provoz. Dopad přerušení může být závažný a odolnost vyžaduje pečlivé plánování.

Proč se bojíte o přerušení?

Každé volání ověřovacího systému podléhá přerušení, pokud některá součást volání selže. Když dojde k narušení ověřování kvůli selhání základní komponenty, nebudou uživatelé přistupovat ke svým aplikacím. Proto je pro vaši odolnost důležité snížení počtu volání ověřování a počtu závislostí v těchto voláních. Vývojáři aplikací můžou uplatnit určitou kontrolu nad tím, jak často se tokeny požadují. Ve spolupráci s vývojáři se například ujistěte, že pro své aplikace používají spravované identity pro prostředky Azure, kdykoli je to možné.

V ověřovacím systému založeném na tokenech, jako je Microsoft Entra ID, musí aplikace uživatele (klient) získat token zabezpečení ze systému identit předtím, než bude mít přístup k aplikaci nebo jinému prostředku. Během doby platnosti může klient několikrát předložit stejný token pro přístup k aplikaci.

Když platnost tokenu předaný aplikaci vyprší, aplikace token odmítne a klient musí získat nový token z Microsoft Entra ID. Získání nového tokenu může vyžadovat interakci uživatele, například výzvy k zadání přihlašovacích údajů nebo splnění jiných požadavků ověřovacího systému. Snížení četnosti volání ověřování s delšími tokeny snižuje nepotřebné interakce. Je však nutné vyvážit životnost tokenů s rizikem vytvořeným menším počtem vyhodnocení zásad. Další informace o správě životností tokenů najdete v tomto článku o optimalizaci výzev k opětovnému ověření.

Způsoby zvýšení odolnosti

Následující diagram znázorňuje šest konkrétních způsobů, jak zvýšit odolnost. Jednotlivé metody jsou podrobně vysvětleny v článcích propojených v následující části další kroky tohoto článku.

Další kroky

Prostředky odolnosti pro správce a architekty

• Sestavení odolnosti pomocí správy přihlašovacích údajů
• Sestavení odolnosti se stavy zařízení
• Zajištění odolnosti pomocí průběžného vyhodnocování přístupu (CAE)
• Sestavení odolnosti při ověřování externích uživatelů
• Sestavení odolnosti v hybridním ověřování
• Zajištění odolnosti v přístupu k aplikacím pomocí proxy aplikací

Prostředky odolnosti pro vývojáře

• Sestavování odolnosti IAM ve vašich aplikacích
• Zajištění odolnosti v systémech CIAM