Rugalmasság kiépítése a hibrid architektúrában
A hibrid hitelesítés lehetővé teszi, hogy a felhasználók a helyszínen elsajátított identitásukkal férjenek hozzá a felhőalapú erőforrásokhoz. A hibrid infrastruktúra magában foglalja a felhőbeli és a helyszíni összetevőket is.
- A felhőösszetevők közé tartozik a Microsoft Entra ID, az Azure-erőforrások és -szolgáltatások, a szervezet felhőalapú alkalmazásai és az SaaS-alkalmazások.
- A helyszíni összetevők közé tartoznak a helyszíni alkalmazások, az erőforrások, például az SQL-adatbázisok és egy identitásszolgáltató, például a Windows Server Active Directory.
Fontos
A hibrid infrastruktúra rugalmasságának megtervezése során kulcsfontosságú a függőségek és a meghibásodási pontok minimalizálása.
A Microsoft három mechanizmust kínál a hibrid hitelesítéshez. A lehetőségek a rugalmasság sorrendjében jelennek meg. Ha lehetséges, javasoljuk a jelszókivonat-szinkronizálás implementálását.
- A jelszókivonat-szinkronizálás (PHS) a Microsoft Entra Csatlakozás használatával szinkronizálja a jelszó identitását és kivonatát a Microsoft Entra-azonosítóval. Lehetővé teszi, hogy a felhasználók a helyszínen elsajátított jelszóval jelentkezzenek be a felhőalapú erőforrásokba. A PHS helyszíni függőségei csak a szinkronizáláshoz, a hitelesítéshez nem.
- Az átmenő hitelesítés (PTA) átirányítja a felhasználókat a Microsoft Entra-azonosítóra a bejelentkezéshez. Ezután a rendszer a felhasználónevet és a jelszót a helyszíni Active Directoryban érvényesíti egy, a vállalati hálózaton üzembe helyezett ügynökön keresztül. A PTA a helyszíni kiszolgálókon található Microsoft Entra PTA-ügynökök helyszíni lábnyomával rendelkezik.
- Az összevonási ügyfelek egy összevonási szolgáltatást helyeznek üzembe, például Active Directory összevonási szolgáltatások (AD FS) (ADFS). Ezután a Microsoft Entra ID ellenőrzi az összevonási szolgáltatás által létrehozott SAML-állítást. Az összevonás a legmagasabb függőséget a helyszíni infrastruktúrától, és ezért több hibaponttól függ.
Előfordulhat, hogy egy vagy több módszert használ a szervezetben. További információ: A Microsoft Entra hibrid identitáskezelési megoldás megfelelő hitelesítési módszerének kiválasztása. Ez a cikk egy döntési fát tartalmaz, amely segíthet a módszertan kiválasztásában.
Jelszókivonat szinkronizálása
A Microsoft Entra ID legegyszerűbb és legrugalmasabb hibrid hitelesítési lehetősége a jelszókivonat-szinkronizálás. Nem rendelkezik helyszíni identitásinfrastruktúra-függőségekkel a hitelesítési kérések feldolgozásakor. Miután a jelszókivonatokkal rendelkező identitások szinkronizálva lettek a Microsoft Entra-azonosítóval, a felhasználók a helyszíni identitásösszetevők függősége nélkül hitelesíthetik magukat a felhőbeli erőforrásokban.
Ha ezt a hitelesítési lehetőséget választja, nem fog fennakadást tapasztalni, ha a helyszíni identitásösszetevők elérhetetlenné válnak. A helyszíni fennakadások számos okból jelentkezhetnek, beleértve a hardverhibákat, az áramkimaradásokat, a természeti katasztrófákat és a kártevő-támadásokat.
Hogyan implementálni a PHS-t?
A PHS implementálásához tekintse meg a következő erőforrásokat:
- Jelszókivonat-szinkronizálás implementálása a Microsoft Entra Csatlakozás
- Jelszókivonat szinkronizálásának engedélyezése
Ha a követelmények olyanok, hogy nem használhatja a PHS-t, használja az átmenő hitelesítést.
Átmenő hitelesítés
Az átmenő hitelesítés függőséget biztosít a kiszolgálókon a helyszínen található hitelesítési ügynökökkel kapcsolatban. A Microsoft Entra ID és a helyszíni PTA-ügynökök között állandó kapcsolat vagy service bus található. A tűzfal, a hitelesítési ügynököket üzemeltető kiszolgálók és a helyszíni Windows Server Active Directory (vagy más identitásszolgáltató) mind potenciális hibapontok.
Hogyan implementálni a PTA-t?
Az átmenő hitelesítés implementálásához tekintse meg az alábbi erőforrásokat.
Összevonás
Az összevonás magában foglalja a Microsoft Entra ID és az összevonási szolgáltatás közötti megbízhatósági kapcsolat létrehozását, amely magában foglalja a végpontok, a jogkivonat-aláíró tanúsítványok és más metaadatok cseréjét. Amikor egy kérés a Microsoft Entra-azonosítóhoz érkezik, beolvassa a konfigurációt, és átirányítja a felhasználót a konfigurált végpontokra. Ezen a ponton a felhasználó kapcsolatba lép az összevonási szolgáltatással, amely a Microsoft Entra ID által ellenőrzött SAML-állítást ad ki.
Az alábbi ábra egy vállalati AD FS-telepítés topológiáját mutatja be, amely redundáns összevonási és webalkalmazás-proxykiszolgálókat tartalmaz több helyszíni adatközpontban. Ez a konfiguráció olyan vállalati hálózati infrastruktúra-összetevőkre támaszkodik, mint a DNS, a hálózati terheléselosztás geo affinitási képességekkel és tűzfalakkal. Minden helyszíni összetevő és kapcsolat meghibásodásra érzékeny. További információért tekintse meg az AD FS kapacitástervezési dokumentációját .
Feljegyzés
Az összevonás a legtöbb helyszíni függőséggel rendelkezik, és ezért a legtöbb lehetséges meghibásodási ponttal rendelkezik. Bár ez az ábra az AD FS-t mutatja, más helyszíni identitásszolgáltatókra hasonló tervezési szempontok vonatkoznak a magas rendelkezésre állás, a méretezhetőség és a feladatátvétel érdekében.
Hogyan összevonást implementálni?
Ha összevont hitelesítési stratégiát implementál, vagy rugalmasabbá szeretné tenni, tekintse meg az alábbi erőforrásokat.
- Mi az összevont hitelesítés?
- Az összevonás működése
- Microsoft Entra összevonási kompatibilitási lista
- Kövesse az AD FS kapacitástervezési dokumentációját
- AD FS üzembe helyezése az Azure IaaS-ben
- A PHS engedélyezése az összevonással együtt
Következő lépések
Erőforrások rugalmassága rendszergazdák és építészek számára
- Rugalmasság kiépítése hitelesítő adatok kezelésével
- Rugalmasság kiépítése eszközállapotokkal
- Rugalmasság kiépítése folyamatos hozzáférés-kiértékeléssel (CAE)
- Rugalmasság kiépítése külső felhasználói hitelesítésben
- Rugalmasság kiépítése az alkalmazáshozzáférésben a alkalmazásproxy