Renforcer la résilience de votre infrastructure de gestion des identités et des accès
Microsoft Entra ID est un système global de gestion des identités et des accès dans le cloud qui fournit des services critiques comme l’authentification et l’autorisation pour les ressources de votre organisation. Cet article fournit des conseils pour comprendre, contenir et atténuer le risque d’interruption des services d’authentification ou d’autorisation pour les ressources qui dépendent de Microsoft Entra ID.
L’ensemble de documents est conçu pour :
- Les architectes d’identité
- Les propriétaires d’un service d’identité
- Les équipes d’opérations d’identité
Reportez-vous également à la documentation pour les développeurs d’applications et pour les systèmes Azure AD B2C.
Qu’est-ce que la résilience ?
Dans le contexte de votre infrastructure d’identité, la résilience est la capacité à résister à des interruptions de service, telles que l’authentification et l’autorisation, ou à la défaillance d’autres composants avec un impact minimal ou inexistant sur votre activité, vos utilisateurs et vos opérations. L’impact d’une interruption peut être grave, et la résilience requiert une planification diligente.
Pourquoi s’inquiéter des interruptions ?
Chaque appel au système d’authentification est soumis à une interruption si un composant de l’appel échoue. Lorsque l’authentification est interrompue, en raison des défaillances des composants sous-jacents, vos utilisateurs n’accèdent pas à leurs applications. Il est donc important pour votre résilience de réduire le nombre d’appels d’authentification et le nombre de dépendances dans ces appels. Les développeurs d’applications peuvent exercer un certain contrôle sur la fréquence à laquelle les jetons sont demandés. Par exemple, collaborez avec vos développeurs pour s’assurer qu’ils utilisent des identités managées pour les ressources Azure pour leurs applications dans la mesure du possible.
Dans un système d’authentification basé sur les jetons comme Microsoft Entra ID, l’application d’un utilisateur (client) doit acquérir un jeton de sécurité auprès du système d’identité pour pouvoir accéder à une application ou à une autre ressource. Pendant la période de validité, un client peut présenter le même jeton plusieurs fois pour accéder à l’application.
Quand le jeton présenté à l’application expire, l’application rejette le jeton et le client doit acquérir un nouveau jeton auprès de Microsoft Entra ID. L’acquisition d’un nouveau jeton peut nécessiter une interaction avec l’utilisateur, comme les invites à fournir des informations d’identification ou la satisfaction d’autres exigences du système d’authentification. La réduction de la fréquence des appels d’authentification avec des jetons à longue durée de vie réduit les interactions inutiles. Cependant, vous devez trouver un équilibre entre la durée de vie des jetons et le risque créé par moins d’évaluations de stratégie. Pour plus d’informations sur la gestion des durées de vie des jetons, consultez cet article sur l’optimisation des invites de réauthentification.
Moyens d’accroître la résilience
Le diagramme suivant illustre six méthodes concrètes permettant d’accroître la résilience. Chaque méthode est expliquée en détail dans les articles liés dans la section Étapes suivantes de cet article.
Étapes suivantes
Ressources de résilience pour les administrateurs et les architectes
- Renforcer la résilience grâce à la gestion des informations d’identification
- Renforcer la résilience grâce aux états des appareils
- Renforcer la résilience en utilisant Évaluation continue de l’accès (CAE)
- Renforcer la résilience de l’authentification des utilisateurs externes
- Renforcer la résilience de votre authentification hybride
- Renforcer la résilience de l’accès aux applications avec Proxy d’application