Az identitás- és hozzáférés-kezelés (IAM) az identitások kezelésére és az általuk elérhető eszközökre vonatkozó folyamat-, szabályzat- és technológiai keretrendszer. Az IAM olyan összetevőket tartalmaz, amelyek támogatják a felhasználó és más fiókok hitelesítését és engedélyezését a rendszerben.
Az IAM-rendszer bármely összetevője fennakadást okozhat. Az IAM rugalmassága lehetővé teszi az IAM rendszerösszetevők megszakadásának elviselhetőségét, és minimális hatással van az üzletre, a felhasználókra, az ügyfelekre és a műveletekre. Ez az útmutató ismerteti a rugalmas IAM-rendszerek kiépítésének módjait.
Az IAM rugalmasságának előmozdítása:
- Tegyük fel, hogy fennakadások lépnek fel, és tervezze meg őket.
- Csökkentse a függőségeket, az összetettséget és a meghibásodási pontokat.
- Gondoskodjon az átfogó hibakezelésről.
Fontos a vészhelyzetek felismerése és megtervezése. Ha azonban több identitásrendszert ad hozzá függőségeivel és összetettségével, a rugalmasság növelése helyett csökkentheti.
A fejlesztők lehetőség szerint a Microsoft Entra által felügyelt identitások használatával segíthetnek az IAM rugalmasságának kezelésében az alkalmazásaikban. További információ: A fejlesztett hitelesítési és engedélyezési alkalmazások rugalmasságának növelése.
Az IAM-megoldások rugalmasságának tervezésekor vegye figyelembe a következő elemeket:
- Az IAM-rendszerre támaszkodó alkalmazások.
- A hitelesítési hívások által használt nyilvános infrastruktúrák, beleértve a következőket:
- Távközlési cégek.
- Internetszolgáltatók.
- Nyilvános kulcsszolgáltatók.
- A felhőbeli és a helyszíni identitásszolgáltatók.
- Az IAM-ra támaszkodó egyéb szolgáltatások és a szolgáltatásokat összekötő API-k.
- A rendszer bármely más helyszíni összetevője.
Architektúra
Ez a diagram számos módszert mutat be az IAM rugalmasságának növelésére. A hivatkozott cikkek részletesen ismertetik a metódusokat.
Függőségek kezelése és hitelesítési hívások csökkentése
Minden hitelesítési hívás megszakad, ha a hívás bármely összetevője meghiúsul. Ha a hitelesítés az alapul szolgáló összetevők hibái miatt megszakad, a felhasználók nem férhetnek hozzá az alkalmazásukhoz. Ezért a rugalmasság szempontjából elengedhetetlen a hitelesítési hívások számának és a hívásokban lévő függőségek számának csökkentése.
- Függőségek kezelése. Rugalmasság kiépítése a hitelesítő adatok kezelésével.
- Csökkentse a hitelesítési hívásokat. Rugalmasság kiépítése eszközállapotokkal.
- Csökkentse a külső API-függőségeket.
Hosszú élettartamú visszavonható jogkivonatok használata
A jogkivonatalapú hitelesítési rendszerekben, például a Microsoft Entra ID-ban a felhasználó ügyfélalkalmazásának biztonsági jogkivonatot kell beszereznie az identitásrendszerből, mielőtt hozzáfér egy alkalmazáshoz vagy más erőforráshoz. A jogkivonat érvényességi ideje alatt az ügyfél többször is megjelenítheti ugyanazt a jogkivonatot az alkalmazás eléréséhez.
Ha az érvényességi időszak a felhasználó munkamenete során lejár, az alkalmazás elutasítja a jogkivonatot, és az ügyfélnek be kell szereznie egy új jogkivonatot a Microsoft Entra-azonosítóból. Egy új jogkivonat beszerzése felhasználói beavatkozást igényel, például hitelesítő adatokra vonatkozó kéréseket vagy egyéb követelményeket. A hitelesítési hívás gyakoriságának csökkentése hosszabb élettartamú jogkivonatokkal csökkenti a szükségtelen interakciókat. A jogkivonatok élettartamát azonban ki kell egyensúlyoznia a kevesebb szabályzatértékelés által létrehozott kockázattal.
- Használjon hosszú élettartamú visszavonható jogkivonatokat.
- Rugalmasság kiépítése a folyamatos hozzáférés-kiértékelés (CAE) használatával.
A jogkivonatok élettartamának kezelésével kapcsolatos további információkért lásd : Az újrahitelesítési kérések optimalizálása és a Munkamenet élettartamának megismerése a Microsoft Entra többtényezős hitelesítéséhez.
Hibrid és helyszíni rugalmasság
- Rugalmasságot hozhat létre a hibrid architektúrában, hogy rugalmas hitelesítést határozzon meg helyi Active Directory vagy más identitásszolgáltatóktól (IDP-ktől).
- A külső identitások kezeléséhez rugalmasságot építhet ki a külső felhasználói hitelesítésben.
- A helyszíni alkalmazások eléréséhez rugalmasságot építhet ki az alkalmazáshozzáférés terén a alkalmazásproxy.
Következő lépések
- A fejleszthető hitelesítési és engedélyezési alkalmazások rugalmasságának növelése
- Rugalmasság kiépítése az IAM-infrastruktúrában
- Rugalmasság kiépítése az ügyféloldali alkalmazások (CIAM)-rendszerekben az Azure Active Directory B2C-vel