Tolerantie bouwen in uw infrastructuur voor identiteits- en toegangsbeheer
Microsoft Entra ID is een wereldwijd cloudidentiteits- en toegangsbeheersysteem dat essentiƫle services biedt, zoals verificatie en autorisatie voor de resources van uw organisatie. Dit artikel bevat richtlijnen voor het begrijpen, bevatten en beperken van het risico van onderbreking van verificatie- of autorisatieservices voor resources die afhankelijk zijn van Microsoft Entra-id.
De documentenset is ontworpen voor
- Identiteitsarchitecten
- Identiteitsservice eigenaren
- Identity Operations-teams
Zie ook de documentatie voor toepassingsontwikkelaars en voor Azure AD B2C-systemen.
Wat is tolerantie?
In de context van uw identiteitsinfrastructuur is tolerantie de mogelijkheid om onderbrekingen van services zoals verificatie en autorisatie of storing van andere onderdelen te ondergaan, met minimale of geen invloed op uw bedrijf, gebruikers en bewerkingen. Het effect van onderbrekingen kan ernstig zijn en flexibiliteit vereist een zorgvuldige planning.
Waarom zich zorgen maken over onderbrekingen?
Elke aanroep van het verificatiesysteem is onderhevig aan onderbrekingen als een onderdeel van de aanroep mislukt. Wanneer de verificatie wordt onderbroken vanwege de fouten in het onderliggende onderdeel, hebben uw gebruikers geen toegang tot hun toepassingen. Daarom is het verminderen van het aantal verificatieaanroepen en het aantal afhankelijkheden in deze aanroepen belangrijk voor uw tolerantie. Toepassingsontwikkelaars kunnen bepalen hoe vaak tokens worden aangevraagd. Werk bijvoorbeeld samen met uw ontwikkelaars om ervoor te zorgen dat ze beheerde identiteiten gebruiken voor Azure-resources voor hun toepassingen, waar mogelijk.
In een verificatiesysteem op basis van tokens, zoals Microsoft Entra ID, moet de toepassing (client) van een gebruiker een beveiligingstoken verkrijgen van het identiteitssysteem voordat deze toegang heeft tot een toepassing of andere resource. Tijdens de geldigheidsperiode kan een client hetzelfde token meerdere keren opgeven om toegang te krijgen tot de toepassing.
Wanneer het token dat aan de toepassing wordt gepresenteerd, verloopt, weigert de toepassing het token en moet de client een nieuw token verkrijgen van Microsoft Entra-id. Voor het verkrijgen van een nieuw token is mogelijk gebruikersinteractie vereist, zoals referentiesprompts of voldoen aan andere vereisten van het verificatiesysteem. Het verminderen van de frequentie van verificatie-aanroepen door tokens met een langere levensduur te gebruiken, vermindert onnodige interacties. U moet echter de levensduur van het token afwegen met het risico dat ontstaat door minder beleidsevaluaties. Raadpleeg dit artikel over de optimalisering van herauthenticatie prompts voor meer informatie over het beheren van de levensduur van tokens.
Manieren om de tolerantie te vergroten
In het volgende diagram ziet u zes concrete manieren op basis waarvan u de tolerantie kunt vergroten. Elke methode wordt uitgebreid beschreven in de artikelen die zijn gekoppeld in het volgende gedeelte van de volgende stappen van dit artikel.
Volgende stappen
Tolerantiebronnen voor beheerders en architecten
- Tolerantie inbouwen met beheer van aanmeldingsgegevens
- Tolerantie inbouwen met apparaatstatussen
- Tolerantie inbouwen met behulp van Continuous Access Evaluation (CAE)
- Tolerantie inbouwen in verificatie van externe gebruikers
- Tolerantie inbouwen in uw hybride verificatie
- Tolerantie inbouwen in toepassingstoegang met toepassingsproxy