Creare resilienza nell'infrastruttura di gestione delle identità e degli accessi

Microsoft Entra ID è un sistema globale di gestione delle identità cloud e degli accessi che fornisce servizi critici, ad esempio l'autenticazione e l'autorizzazione per le risorse dell'organizzazione. Questo articolo fornisce indicazioni per comprendere, contenere e ridurre il rischio di interruzioni dei servizi di autenticazione o autorizzazione per le risorse che si basano su Microsoft Entra ID.

Il set di documenti è progettato per

• Identity Architects
• Proprietari del servizio di gestione delle identità
• Team delle operazioni di gestione delle identità

Vedere anche la documentazione per gli sviluppatori di applicazioni e per i sistemi Azure AD B2C.

Che cos'è la resilienza?

Nel contesto dell'infrastruttura di gestione delle identità, la resilienza è la possibilità di sopportare interruzioni dei servizi come l'autenticazione e l'autorizzazione o l'errore di altri componenti, con effetti minimi o nulli per l'azienda, gli utenti e le operazioni. L'effetto dell'interruzione può essere grave e la resilienza richiede una pianificazione diligente.

Perché preoccuparsi dell'interruzione?

Ogni chiamata al sistema di autenticazione è soggetta a interruzioni se un componente della chiamata non riesce. Quando l'autenticazione viene interrotta, a causa degli errori dei componenti sottostanti, gli utenti non accederanno alle applicazioni. Pertanto, la riduzione del numero di chiamate di autenticazione e del numero di dipendenze in tali chiamate è importante per la resilienza. Gli sviluppatori di applicazioni possono asserire un certo controllo sulla frequenza con cui vengono richiesti i token. Ad esempio, collaborare con gli sviluppatori per assicurarsi che usino identità gestite per le risorse di Azure per le applicazioni, laddove possibile.

In un sistema di autenticazione basato su token come Microsoft Entra ID, l'applicazione (client) di un utente deve acquisire un token di sicurezza dal sistema di identità prima di poter accedere a un'applicazione o a un'altra risorsa. Durante il periodo di validità, un client può presentare lo stesso token più volte per accedere all'applicazione.

Quando il token presentato all'applicazione scade, l'applicazione rifiuta il token e il client deve acquisire un nuovo token dall'ID Microsoft Entra. L'acquisizione di un nuovo token richiede potenzialmente l'interazione dell'utente, ad esempio richieste di credenziali o soddisfare altri requisiti del sistema di autenticazione. La riduzione della frequenza delle chiamate di autenticazione con token di lunga durata riduce le interazioni non necessarie. Tuttavia, è necessario bilanciare la durata dei token con il rischio creato da un minor numero di valutazioni dei criteri. Per altre informazioni sulla gestione della durata dei token, vedere questo articolo sull'ottimizzazione delle richieste di autenticazione.

Modi per aumentare la resilienza

Il diagramma seguente illustra sei modi concreti per aumentare la resilienza. Ogni metodo viene illustrato in dettaglio negli articoli collegati nella parte successiva dei passaggi successivi di questo articolo.

Passaggi successivi

Risorse di resilienza per amministratori e architetti

• Creare resilienza con la gestione delle credenziali
• Creare resilienza con gli stati del dispositivo
• Creare resilienza usando la valutazione dell'accesso continuo (CAE)
• Creare resilienza nell'autenticazione utente esterna
• Creare resilienza nell'autenticazione ibrida
• Creare resilienza nell'accesso alle applicazioni con il proxy di applicazione

Risorse di resilienza per gli sviluppatori

• Creare resilienza IAM nelle applicazioni
• Creare resilienza nei sistemi CIAM