Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Microsoft Entra le permite administrar de forma segura el acceso de los usuarios a los servicios y recursos. Incluido con Microsoft Entra es una familia de funcionalidades de acceso de red y administración de identidades. Para obtener información sobre las características de Microsoft Entra, consulte ¿Qué es Microsoft Entra?
Con Microsoft Entra, puede crear y administrar usuarios y grupos, y habilitar permisos para permitir y denegar el acceso a los recursos empresariales. Para obtener información sobre la administración de identidades, consulte los aspectos básicos de la administración de identidades.
Arquitectura de Microsoft Entra
Microsoft Entra ID combina amplias funcionalidades de supervisión, reenrutamiento automatizado, conmutación por error y recuperación dentro de su arquitectura distribuida geográficamente para proporcionar disponibilidad y rendimiento en toda la empresa
En este artículo se tratan los siguientes elementos de la arquitectura:
- Diseño de la arquitectura del servicio
- Escalabilidad
- Disponibilidad continua
- Centros de datos
Diseño de la arquitectura del servicio
La manera más común de compilar un sistema con datos enriquecidos que sea accesible y pueda usarse consiste en utilizar bloques de creación independientes o unidades de escalado. Para la capa de datos de Microsoft Entra, a las unidades de escalado se les llama particiones.
El nivel de datos tiene varios servicios front-end que proporcionan la funcionalidad de lectura y escritura. En el siguiente diagrama se muestra cómo se entregan los componentes de una partición de directorio único a lo largo de centros de datos geográficamente distribuidos.
Los componentes de la arquitectura de Microsoft Entra incluyen una réplica principal y réplicas secundarias.
Réplica principal
La réplica principal recibe todas las operaciones de escritura para la partición a la que pertenece. Esta operación de escritura se replica inmediatamente en una réplica secundaria de otro centro de datos antes volver correctamente al que llama, lo que garantiza la durabilidad de las operaciones de escritura con redundancia geográfica.
Réplicas secundarias
Todas las lecturas de directorio se administran desde réplicas secundarias, ubicadas en centros de datos distribuidos geográficamente. Los datos se replican de forma asincrónica en varias réplicas secundarias. Las lecturas de directorio, como las solicitudes de autenticación, se procesan en los centros de datos que están cerca de los clientes. Las réplicas secundarias son responsables de la escalabilidad de lectura.
Escalabilidad
La escalabilidad es la capacidad de un servicio de expandirse para satisfacer la creciente demanda de rendimiento. Microsoft Entra crea particiones de datos para lograr escalabilidad de escritura. La escalabilidad de lectura se logra al replicar datos de una partición en varias réplicas secundarias que se distribuyen en todo el mundo.
Las solicitudes de las aplicaciones de directorio se enrutan al centro de datos más cercano. Las escrituras son redirigidas de forma transparente a la réplica principal para proporcionar coherencia de lectura y escritura. Las réplicas secundarias extienden significativamente la escala de las particiones porque los directorios suelen estar atendiendo a las lecturas la mayoría del tiempo.
Las aplicaciones de directorio se conectan a los centros de datos más cercanos. Esta conexión mejora el rendimiento y, por tanto, es posible el escalado horizontal. Como una partición de directorio puede tener varias réplicas secundarias, estas se pueden colocar más cerca a los clientes de directorio. Solo los componentes del servicio de directorio internos que requieren una gran cantidad de operaciones de escritura se dirigen directamente a la réplica principal activa.
Disponibilidad continua
La disponibilidad (o tiempo de actividad) define la capacidad de un sistema de ejecutarse sin interrupciones. La clave para la alta disponibilidad de Microsoft Entra ID es que los servicios pueden cambiar rápidamente el tráfico entre varios centros de datos distribuidos geográficamente. Cada centro de datos es independiente, lo que permite modos de fallo descorrelacionados. En este diseño de alta disponibilidad, Microsoft Entra ID no requiere ningún tiempo de inactividad para las actividades de mantenimiento.
El diseño de las particiones de Microsoft Entra ID se ha simplificado en comparación con el diseño de Active Directory empresarial, gracias a un diseño de servidor principal único que incluye un proceso de conmutación por error de réplica primaria cuidadosamente orquestado y determinista.
Tolerancia a errores
Un sistema está más disponible si puede tolerar los errores de hardware, de red y de software. Cada partición de directorio tiene una réplica principal de alta disponibilidad que controla todas las operaciones de escritura. Esta réplica principal se supervisa continuamente y, si se detecta un error, las operaciones de escritura se desplazan inmediatamente a otra réplica. Esta réplica pasa a ser la principal. Durante este proceso de conmutación por error, la disponibilidad de escritura puede verse afectada temporalmente durante 1 a 2 minutos, pero la disponibilidad de lectura sigue sin verse afectada.
Las operaciones de lectura (que superan a las de escritura en muchos órdenes de magnitud) solo van a las réplicas secundarias. Como las réplicas secundarias son idempotentes, la pérdida de alguna réplica en una en una partición determinada se compensa fácilmente dirigiendo las lecturas a otra réplica, normalmente en el mismo centro de datos.
Durabilidad de los datos
Una escritura se confirma de forma duradera en al menos dos centros de datos antes de la aceptación. El sistema confirma primero la escritura en la principal y, a continuación, replica inmediatamente la escritura en al menos otro centro de datos. Esta acción de escritura garantiza que una posible pérdida grave del centro de datos que hospeda la réplica principal no tenga como resultado una pérdida de datos.
Microsoft Entra ID mantiene un objetivo de tiempo de recuperación cero (RTO) para no perder datos en las conmutaciones por error, entre las que se incluyen:
- Emisión de tokens y lecturas de directorio
- Permite únicamente un RTO de 5 minutos para la escritura en directorios
Centros de datos
Las réplicas de Microsoft Entra se almacenan en centros de datos ubicados en todo el mundo. Para más información, consulte Infraestructura global de Azure.
Microsoft Entra ID funciona entre centros de datos con las siguientes características:
- Autenticación, Graph y otros servicios de Microsoft Entra ID residen detrás del servicio de puerta de enlace. La puerta de enlace administra el equilibrio de carga. El servicio realiza automáticamente la conmutación por error de todos los servidores que se detecte que están en mal estado mediante sondeos de estado transaccionales. En función de estos sondeos de estado, la puerta de enlace enruta dinámicamente el tráfico a centros de datos correctos.
- Para las operaciones de lectura, el directorio tiene réplicas secundarias y servicios front-end correspondientes en una configuración activa-activa que funciona en varios centros de datos. Si se produce un error en un centro de datos, el tráfico se enruta automáticamente a otro.
- En las operaciones de escritura, el directorio conmuta por error la réplica principal en los centros de datos mediante procedimientos de conmutación por error planeados (el nuevo elemento principal se sincroniza con el antiguo) o de emergencia. La durabilidad de los datos se logra al replicar cualquier confirmación en al menos dos centros de datos.
Coherencia de datos
El modelo de directorio es uno de coherencias finales. Uno de los problemas típicos con los sistemas de replicación distribuidos de forma asincrónica es que los datos devueltos de una réplica "determinada" pueden no estar actualizados.
Microsoft Entra ID proporciona coherencia de lectura y escritura para las aplicaciones dirigidas a una réplica secundaria mediante el enrutamiento de sus operaciones de escritura a la réplica principal y la recuperación de forma sincrónica de las operaciones de escritura a la réplica secundaria.
Las operaciones de escritura de la aplicación que utilizan Microsoft Graph API de Microsoft Entra ID se extraen de la afinidad de mantenimiento a una réplica de directorio para la coherencia de lectura y escritura. El servicio Microsoft Graph API mantiene una sesión lógica. La sesión presenta afinidad con una réplica secundaria que se usa para lecturas. La afinidad se captura en un "token de réplica" que el servicio almacena en caché mediante una caché distribuida en el centro de datos de réplica secundaria. Este token se usa entonces para las siguientes operaciones de la misma sesión lógica. Para seguir usando la misma sesión lógica, las solicitudes posteriores deben enrutarse al mismo centro de datos de Microsoft Entra. No es posible continuar una sesión lógica si las solicitudes de cliente de directorio se enrutan a varios centros de datos de Microsoft Entra. Si las sesiones se dividen, el cliente tiene varias sesiones lógicas que tienen coherencias independientes de lectura y escritura.
Nota
Las operaciones de escritura se replican inmediatamente a la réplica secundaria en la que se emitieron las operaciones de lectura de la sesión lógica.
Copia de seguridad de nivel de servicio
Microsoft Entra ID implementa la copia de seguridad diaria de los datos de directorio y puede usar estas copias de seguridad para restaurar datos si hay algún problema en todo el servicio.
El directorio también implementa eliminaciones temporales en lugar de eliminaciones permanentes para los tipos de objeto seleccionados. El administrador de inquilinos puede deshacer cualquier eliminación accidental de estos objetos en un plazo de 30 días. Para más información, consulte la API para restaurar objetos eliminados.
Métricas y supervisiones
Ejecutar un servicio de alta disponibilidad requiere métricas y funcionalidades de supervisión de primer nivel. Microsoft Entra ID analiza continuamente e informa de métricas de estado de servicio clave y de criterios de éxito para cada uno de sus servicios. Además, continuamente desarrollamos y optimizamos las métricas, las capacidades de supervisión y las alertas para cada escenario, dentro de cada servicio de Microsoft Entra y en todos los servicios.
Si algún servicio de Microsoft Entra no funciona según lo previsto, se toman medidas inmediatas para restaurar la funcionalidad lo antes posible. La métrica más importante que Microsoft Entra ID sigue es la rapidez con la que se detectan y migran los problemas de los clientes. Estamos realizando grandes inversiones en la supervisión y alertas para minimizar el tiempo de detección (TTD) (objetivo: <5 minutos) y la preparación operativa para minimizar el tiempo de mitigación (TTM) (objetivo: <30 minutos).
Operaciones seguras
Microsoft Entra ID usa controles operativos como la autenticación multifactor para todas las operaciones, además de auditar todas las operaciones. Además, usa un sistema de elevación de just-in-time para conceder el acceso temporal necesario a cualquier tarea operativa a petición de forma continuada. Para más información, consulte La nube de confianza.
Pasos siguientes
Para obtener más información sobre el desarrollo con Microsoft Entra, consulte la Guía del desarrollador de Microsoft Entra.