Creare resilienza nell'infrastruttura di gestione delle identità e degli accessi
Microsoft Entra ID è un sistema globale di gestione delle identità cloud e degli accessi che fornisce servizi importanti come, ad esempio, l'autenticazione e l'autorizzazione delle risorse dell'organizzazione. Questo articolo fornisce materiale sussidiario per comprendere, contenere e ridurre il rischio di interruzioni dei servizi di autenticazione o autorizzazione per le risorse che si basano su Microsoft Entra ID.
Il set di documenti è progettato per
- Architetti di gestione delle identità
- Proprietari del servizio di gestione delle identità
- Team delle operazioni di gestione delle identità
Vedere anche la documentazione per sviluppatori di applicazioni e per sistemi Azure AD B2C.
Che cos'è la resilienza?
Nel contesto dell'infrastruttura di gestione delle identità, la resilienza è la capacità di sopportare interruzioni di servizi come l'autenticazione e l'autorizzazione o errori di altri componenti, con effetti minimi o nulli per l'azienda, gli utenti e le operazioni. L'effetto dell'interruzione può essere grave e la resilienza richiede una pianificazione diligente.
Perché preoccuparsi dell'interruzione?
Ogni chiamata al sistema di autenticazione è soggetta a interruzioni, se un componente della chiamata presenta un errore. Quando l'autenticazione viene interrotta, a causa degli errori dei componenti sottostanti, gli utenti non potranno accedere alle applicazioni. Pertanto, la riduzione del numero di chiamate di autenticazione e del numero di dipendenze in tali chiamate è importante per creare resilienza. Gli sviluppatori di applicazioni asseriscono di avere un certo controllo sulla frequenza con cui vengono richiesti i token. Ad esempio, collaborare con gli sviluppatori, affinché per le applicazioni usino le identità gestite per le risorse di Azure, laddove possibile.
In un sistema di autenticazione basato su token come Microsoft Entra ID, l'applicazione (client) di un utente deve acquisire un token di sicurezza dal sistema di identità prima di poter accedere a un'applicazione o a un'altra risorsa. Durante il periodo di validità, un client può presentare lo stesso token più volte per accedere all'applicazione.
Quando il token presentato all'applicazione scade, l'applicazione rifiuta il token e il client deve acquisire un nuovo token da Microsoft Entra ID. L'acquisizione di un nuovo token potenzialmente richiede l'interazione dell'utente, ad esempio richiedendo credenziali o soddisfacendo altri requisiti del sistema di autenticazione. Riducendo la frequenza delle chiamate di autenticazione tramite token di lunga durata, si riducono le interazioni non necessarie. Tuttavia, è necessario bilanciare la durata dei token con il rischio creato da un minor numero di valutazioni dei criteri. Per altre informazioni sulla gestione della durata dei token, vedere questo articolo sull' ottimizzazione delle richieste di autenticazione.
Modi per aumentare la resilienza
Il diagramma seguente mostra sei modi concreti per aumentare la resilienza. Ogni metodo viene dettagliatamente spiegato negli articoli collegati ai seguenti Passaggi successivi di questo articolo.
Passaggi successivi
Risorse di resilienza per amministratori e architetti
- Creare resilienza con la gestione delle credenziali
- Creare resilienza con gli stati del dispositivo
- Creare resilienza usando la Valutazione continua dell'accesso (CAE)
- Creare resilienza nell'autenticazione utente esterna
- Creare resilienza nell'autenticazione ibrida
- Creare resilienza nell'accesso alle applicazioni con Application Proxy
Risorse di resilienza per gli sviluppatori
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per