ID 및 액세스 관리 인프라의 복원력 빌드

Microsoft Entra ID는 조직의 리소스에 대한 인증 및 권한 부여와 같은 중요한 서비스를 제공하는 글로벌 클라우드 ID 및 액세스 관리 시스템입니다. 이 문서에서는 Microsoft Entra ID를 사용하는 리소스에 대한 인증 또는 권한 부여 서비스가 중단될 위험을 이해하고 억제하고 완화하기 위한 지침을 제공합니다.

문서 세트는 다음을 위해 설계되었습니다.

• ID 설계자
• ID 서비스 소유자
• ID 작업 팀

애플리케이션 개발자와 Azure AD B2C 시스템에 대한 설명서도 참조하세요.

복원력이란?

ID 인프라의 컨텍스트에서 복원력은 비즈니스, 사용자 및 운영에 미치는 영향을 최소화하거나 없애면서 인증 및 권한 부여, 기타 구성 요소 실패 등과 같은 서비스 중단을 버티는 기능입니다. 중단의 영향은 심각할 수 있으며 복원력을 갖추려면 부지런한 계획이 필요합니다.

중단을 우려하는 이유는 무엇일까요?

호출의 구성 요소 중 하나라도 실패하면 인증 시스템에 대한 모든 호출이 중단될 수 있습니다. 기본 구성 요소 오류로 인해 인증이 중단되면 사용자는 애플리케이션에 액세스할 수 없습니다. 따라서 인증 호출 수와 해당 호출에 대한 종속성 수를 줄이는 것이 복원력에 중요합니다. 애플리케이션 개발자는 토큰을 요청하는 빈도에 대한 일부 제어를 어설션할 수 있습니다. 예를 들어, 개발자와 협력하여 가능한 경우 애플리케이션의 Azure 리소스에 대해 관리되는 ID를 사용하도록 하세요.

Microsoft Entra ID와 같은 토큰 기반 인증 시스템에서 사용자의 애플리케이션(클라이언트)은 애플리케이션 또는 기타 리소스에 액세스하기 위해 먼저 ID 시스템에서 보안 토큰을 획득해야 합니다. 유효 기간 동안 클라이언트는 애플리케이션에 액세스하기 위해 동일한 토큰을 여러 번 제공할 수 있습니다.

애플리케이션에 제공된 토큰이 만료되면 애플리케이션은 토큰을 거부하고 클라이언트는 Microsoft Entra ID에서 새 토큰을 획득해야 합니다. 새 토큰을 획득하려면 자격 증명 프롬프트, 인증 시스템의 다른 요구 사항 충족과 같은 사용자 조작이 필요합니다. 수명이 긴 토큰을 사용하여 인증 호출의 빈도를 줄이면 불필요한 상호 작용이 감소합니다. 그러나 토큰 수명과 정책 평가를 줄임으로써 야기되는 위험을 적절히 고려해야 합니다. 토큰 수명을 관리하는 방법에 대한 자세한 내용은 재인증 프롬프트 최적화에 대한 이 문서를 참조하세요.

복원력을 높이는 방법

다음 다이어그램에서는 복원력을 높일 수 있는 6가지 구체적인 방법을 보여 줍니다. 각 방법은 이 문서의 다음 단계 부분에 링크된 문서에 자세히 설명되어 있습니다.

다음 단계

관리자 및 설계자를 위한 복원력 리소스

• 자격 증명 관리를 사용하여 복원력 빌드
• 장치 상태를 사용하여 복원력 빌드
• CAE(연속 액세스 평가)를 사용하여 복원력 빌드
• 외부 사용자 인증에서 복원력 빌드
• 하이브리드 인증에서 복원력 빌드
• 응용 프로그램 프록시를 사용하여 응용 프로그램 액세스에서 복원력 빌드

개발자를 위한 복원력 리소스

• 응용 프로그램에서 IAM 복원력 빌드
• CIAM 시스템에서 복원력 빌드