Budowanie odporności w infrastrukturze zarządzania tożsamościami i dostępem
Microsoft Entra ID to globalny system zarządzania tożsamościami w chmurze i dostępem, który zapewnia krytyczne usługi, takie jak uwierzytelnianie i autoryzacja do zasobów organizacji. Ten artykuł zawiera wskazówki umożliwiające zrozumienie, zawieranie i ograniczanie ryzyka zakłóceń uwierzytelniania lub usług autoryzacji dla zasobów korzystających z identyfikatora Entra firmy Microsoft.
Zestaw dokumentów jest przeznaczony dla
- Architekci tożsamości
- Właściciele usługi tożsamości
- Zespoły ds. operacji tożsamości
Zapoznaj się również z dokumentacją dla deweloperów aplikacji i systemów usługi Azure AD B2C.
Co to jest odporność?
W kontekście infrastruktury tożsamości odporność to możliwość zakłóceń w usługach, takich jak uwierzytelnianie i autoryzacja, lub awaria innych składników, przy minimalnym lub bez wpływu na twoją firmę, użytkowników i operacje. Skutki zakłóceń mogą być poważne, a odporność wymaga starannego planowania.
Dlaczego martwić się o zakłócenia?
Każde wywołanie systemu uwierzytelniania podlega zakłóceniom, jeśli którykolwiek składnik wywołania zakończy się niepowodzeniem. W przypadku zakłócenia uwierzytelniania ze względu na błędy składników bazowych użytkownicy nie będą uzyskiwać dostępu do swoich aplikacji. W związku z tym zmniejszenie liczby wywołań uwierzytelniania i liczba zależności w tych wywołaniach jest ważne dla twojej odporności. Deweloperzy aplikacji mogą zapewnić pewną kontrolę nad częstotliwością żądań tokenów. Na przykład skontaktuj się z deweloperami, aby upewnić się, że używają tożsamości zarządzanych dla zasobów platformy Azure dla swoich aplikacji wszędzie tam, gdzie to możliwe.
W systemie uwierzytelniania opartego na tokenach, takiego jak Microsoft Entra ID, aplikacja użytkownika (klient) musi uzyskać token zabezpieczający z systemu tożsamości, aby mógł uzyskać dostęp do aplikacji lub innego zasobu. W okresie ważności klient może wielokrotnie prezentować ten sam token, aby uzyskać dostęp do aplikacji.
Gdy token przedstawiony aplikacji wygaśnie, aplikacja odrzuci token, a klient musi uzyskać nowy token z identyfikatora Entra firmy Microsoft. Uzyskanie nowego tokenu potencjalnie wymaga interakcji użytkownika, na przykład monitów o poświadczenia lub spełnienia innych wymagań systemu uwierzytelniania. Zmniejszenie częstotliwości wywołań uwierzytelniania z dłuższymi tokenami zmniejsza niepotrzebne interakcje. Należy jednak zrównoważyć okres życia tokenu z ryzykiem utworzonym przez mniejszą liczbę ocen zasad. Aby uzyskać więcej informacji na temat zarządzania okresami istnienia tokenów, zobacz ten artykuł dotyczący optymalizowania monitów o ponowne uwierzytelnienie.
Sposoby zwiększania odporności
Na poniższym diagramie przedstawiono sześć konkretnych sposobów zwiększania odporności. Każda metoda jest szczegółowo objaśniona w artykułach połączonych w poniższej części Następne kroki tego artykułu.
Następne kroki
Zasoby odporności dla administratorów i architektów
- Tworzenie odporności przy użyciu zarządzania poświadczeniami
- Budowanie odporności za pomocą stanów urządzeń
- Odporność kompilacji przy użyciu oceny ciągłego dostępu (CAE)
- Budowanie odporności w uwierzytelnianiu użytkowników zewnętrznych
- Budowanie odporności w uwierzytelnianiu hybrydowym
- Budowanie odporności w dostępie do aplikacji za pomocą serwer proxy aplikacji