Aumento de la resistencia de la infraestructura de administración de identidad y acceso
Microsoft Entra ID es un sistema de administración de identidad y acceso en la nube global que proporciona servicios críticos, como la autenticación y la autorización, a los recursos de la organización. En este artículo se proporcionan instrucciones a fin de comprender, contener y mitigar el riesgo de interrupción de los servicios de autenticación o autorización para los recursos que se basan en Microsoft Entra ID.
El conjunto de documentos está diseñado para
- Arquitectos de identidad
- Propietarios de servicios de identidad
- Equipos de operaciones de identidad
Vea también la documentación de los desarrolladores de aplicaciones y los sistemas de Azure AD B2C.
¿Qué es la resistencia?
En el contexto de la infraestructura de identidades, la resistencia es la capacidad de soportar la interrupción de los servicios, como la autenticación y la autorización, o el error de otros componentes, con un impacto mínimo o nulo en la empresa, los usuarios y las operaciones. El impacto de la interrupción puede ser grave y la resistencia requiere una planificación diligente.
¿Por qué preocuparse por la interrupción?
Cada llamada al sistema de autenticación está sujeta a interrupciones si se produce un error en algún componente de la llamada. Cuando se interrumpe la autenticación, debido a los errores de los componentes subyacentes, los usuarios no tendrán acceso a sus aplicaciones. Por lo tanto, es importante reducir el número de llamadas de autenticación y el número de dependencias de esas llamadas para la resistencia. Los desarrolladores de aplicaciones pueden imponer cierto control sobre la frecuencia con que se solicitan los tokens. Por ejemplo, trabaje con los desarrolladores para asegurarse de que usan identidades administradas para los recursos de Azure para sus aplicaciones siempre que sea posible.
En un sistema de autenticación basado en tokens como Microsoft Entra ID, una aplicación de usuario (cliente) debe adquirir un token de seguridad del sistema de identidades para poder tener acceso a una aplicación u otro recurso. Durante el período de validez, un cliente puede presentar el mismo token varias veces para tener acceso a la aplicación.
Cuando expira el token presentado a la aplicación, la aplicación rechaza el token y el cliente debe adquirir un nuevo token de Microsoft Entra ID. La adquisición de un nuevo token podría requerir la interacción del usuario, como las solicitudes de credenciales o el cumplimiento de otros requisitos del sistema de autenticación. La disminución de la frecuencia de las llamadas de autenticación con tokens de larga duración reduce interacciones innecesarias. Sin embargo, debe equilibrar la duración del token con el riesgo creado con menos evaluaciones de directivas. Para obtener más información sobre la administración de la duración de los tokens, consulte este artículo sobre optimización de los mensajes de reautenticación.
Formas de aumentar la resistencia
En el diagrama siguiente se muestran seis maneras concretas en las que puede aumentar la resistencia. Cada método se explica en detalle en los artículos vinculados en la siguiente sección Pasos siguientes de este artículo.
Pasos siguientes
Recursos de resistencia para administradores y arquitectos
- Aumento de la resistencia con la administración de credenciales
- Aumento de la resistencia con estados de dispositivos
- Aumento de la resistencia mediante la evaluación continua de acceso (CAE)
- Aumento de la resistencia en la autenticación de usuario externo
- Aumento de la resistencia en la autenticación híbrida
- Aumento de la resistencia en el acceso a la aplicación con Application Proxy