Gerar resiliência em sua infraestrutura de gerenciamento de identidade e acesso
O Microsoft Entra ID é um sistema de gerenciamento de acesso e identidade de nuvem global que fornece serviços críticos como autenticação e autorização para os recursos da sua organização. Esse artigo fornece orientação para entender, conter e reduzir o risco de interrupção dos serviços de autenticação ou autorização para recursos que dependem do Microsoft Entra ID.
O conjunto de documentos foi projetado para
- Arquitetos de identidade
- Proprietários de serviços de identidade
- Equipes de operações de identidade
Consulte, também, a documentação para desenvolvedores de aplicativos e para sistemas do Azure AD B2C.
O que é resiliência?
No contexto da sua infraestrutura de identidade, a resiliência é a capacidade de suportar a interrupção de serviços, como autenticação e autorização ou falha de outros componentes, com mínimo ou nenhum efeito em seus negócios, usuários e operações. O efeito da interrupção pode ser grave e a resiliência exige planejamento.
Por que se preocupar com interrupções?
Todas as chamadas para o sistema de autenticação estão sujeitas a interrupção se algum componente da chamada falhar. Quando a autenticação é interrompida, devido às falhas do componente subjacente, os usuários não acessarão os aplicativos deles. Portanto, a redução do número de chamadas de autenticação e o número de dependências nessas chamadas é importante para sua resiliência. Os desenvolvedores de aplicativos podem declarar algum controle sobre a frequência com que os tokens são solicitados. Por exemplo, trabalhe com seus desenvolvedores para garantir que eles estejam usando identidades gerenciadas para recursos do Azure para seus aplicativos sempre que possível.
Em um sistema de autenticação baseado em token, como o Microsoft Entra ID, o aplicativo (cliente) do usuário deve adquirir um token de segurança do sistema de identidade antes de poder acessar um aplicativo ou outro recurso. Durante o período de validade, um cliente pode apresentar o mesmo token várias vezes para acessar o aplicativo.
Quando o token apresentado ao aplicativo expira, o aplicativo rejeita o token e o cliente deve adquirir um novo token do Microsoft Entra ID. Adquirir um novo token requer, possivelmente, interação com o usuário, como prompts de credenciais ou atender a outros requisitos do sistema de autenticação. Reduzir a frequência de chamadas de autenticação com tokens de vida mais longa diminui interações desnecessárias. No entanto, é necessário equilibrar a vida útil do token com o risco criado por menos avaliações de política. Para obter mais informações sobre como gerenciar o tempo de vida do token, consulte este artigo sobre como otimizar os prompts de reautenticação.
Maneiras de aumentar a resiliência
O diagrama a seguir mostra seis maneiras concretas de aumentar a resiliência. Cada método é explicado em detalhes nos artigos vinculados na parte Próximas etapas a seguir neste artigo.
Próximas etapas
Recursos de resiliência para administradores e arquitetos
- Criar resiliência com o gerenciamento de credenciais
- Criar resiliência com os Estados do dispositivo
- Criar resiliência usando a Avaliação contínua de acesso (CAE)
- Criar resiliência na autenticação de usuário externa
- Criar resiliência na autenticação híbrida
- Criar resiliência no acesso do aplicativo com o Proxy de Aplicativo