Criar resiliência em sua arquitetura híbrida

Uma infraestrutura híbrida inclui componentes de nuvem e locais. A autenticação híbrida permite que os usuários acessem recursos baseados em nuvem com suas identidades originadas no local ou acessem recursos locais com identidades baseadas em nuvem.

• Os componentes da nuvem incluem o Microsoft Entra ID, os recursos e serviços do Azure, os aplicativos baseados em nuvem da sua organização e os aplicativos SaaS.
• Componentes locais incluem aplicativos locais, recursos como bancos de dados SQL e um provedor de identidade como o Windows Server Active Directory.

Importante

Conforme você planeja a resiliência em sua infraestrutura híbrida, é fundamental minimizar as dependências e pontos únicos de falha. A interrupção da conectividade local e na nuvem pode ocorrer por vários motivos, incluindo falha de hardware, interrupções de energia, desastres naturais e ataques de malware.

A Microsoft oferece vários mecanismos de autenticação híbrida para aplicativos conectados ao Microsoft Entra. Se sua organização tiver dependido de senhas do Active Directory e da autenticação ou federação por passagem para autenticar usuários, recomendamos que você implemente a sincronização de hash de senhas, se possível.

• A sincronização de hash de senha (PHS) usa o Microsoft Entra Connect para sincronizar a identidade e um hash da senha do Windows Server AD para o Microsoft Entra ID. Ele permite que os usuários entrem no Microsoft Entra para acessar recursos baseados em nuvem com a mesma senha definida no Active Directory. O PHS tem dependências no AD somente durante a sincronização, não durante a autenticação.
• A Autenticação de passagem (PTA) redireciona os usuários para o Microsoft Entra ID para entrada. Em seguida, o nome de usuário e a senha são validados no Active Directory local, por meio de um agente que é implantado na rede corporativa. O PTA tem uma presença de seus agentes do Microsoft Entra PTA que residem em servidores no local. Esses servidores devem ser acessíveis durante a autenticação e devem ser capazes de alcançar um controlador de domínio.
• Os clientes de federação implantam um serviço de federação, como o AD FS (Serviços de Federação do Active Directory) como um provedor de identidade. A ID do Microsoft Entra redireciona os usuários para se autenticarem no serviço de federação do provedor de identidade e valida a declaração SAML produzida pelo serviço de federação. O usuário deve ser capaz de se conectar ao provedor de identidade e o provedor de identidade também pode depender do Active Directory.
• A CBA (autenticação baseada em certificado) do Microsoft Entra permite que o Microsoft Entra autentique usuários usando certificados X.509 emitidos por uma PKI (Enterprise Public Key Infrastructure) armazenada no Active Directory, microsoft entra ID ou ambos. Usando o Microsoft Entra CBA, os clientes podem simplificar e reduzir as dependências de componentes locais, eliminando a necessidade dos Serviços de Federação do Active Directory (AD FS).

Você pode usar um ou mais desses métodos na sua organização. Para obter mais informações, confira Escolher o método de autenticação correto para sua solução de identidade híbrida Microsoft Entra. Este artigo contém uma árvore de decisão que pode ajudá-lo a decidir sobre sua metodologia.

Sincronização de hash de senha

A opção de autenticação híbrida mais simples e resiliente para o Microsoft Entra ID é a Sincronização de hash de senha. Ela não tem nenhuma dependência de infraestrutura de identidade local ao processar solicitações de autenticação. Depois que as identidades com hashes de senha forem sincronizadas com a ID do Microsoft Entra, os usuários poderão se autenticar no Microsoft Entra e em recursos de nuvem sem dependência dos componentes de identidade locais.

Se você escolher essa opção de autenticação, não terá interrupção para acessar o Microsoft Entra e outros recursos de nuvem quando os componentes de identidade locais ficarem indisponíveis.

Como implemento a PHS?

Para implementar a PHS, veja os seguintes recursos:

• Implementar a sincronização de hash de senha com o Microsoft Entra Connect
• Habilitar a sincronização de hash de senha

Se você não puder usar a PHS por conta de seus requisitos, use a autenticação de passagem.

Autenticação de Passagem

A autenticação de passagem tem uma dependência nos agentes de autenticação que residem localmente nos servidores. Uma conexão persistente, ou barramento de serviço, está presente entre o Microsoft Entra ID e os agentes locais da PTA. O firewall, os servidores que hospedam os agentes de autenticação e o Active Directory do Windows Server local (ou outro provedor de identidade) são todos os pontos de falha potenciais.

Como implemento a PTA?

Para implementar a Autenticação de passagem, veja os recursos a seguir.

• Como funciona a autenticação de passagem

• Aprofundamento em segurança na Autenticação de Passagem

• Instalar a autenticação de passagem do Microsoft Entra

• Se você estiver usando a PTA, defina uma topologia altamente disponível.

Federação

A Federação envolve a criação de uma relação de confiança entre o Microsoft Entra ID e o serviço de Federação, que inclui a troca de pontos de extremidade, certificados de assinatura de token e outros metadados. Quando uma solicitação chega ao Microsoft Entra ID, ele lê a configuração e redireciona o usuário para os pontos de extremidade configurados. Nesse ponto, o usuário interage com o serviço de Federação, que emite uma Asserção SAML validada pelo Microsoft Entra ID.

O diagrama a seguir mostra uma topologia de uma implantação de AD FS empresarial, uma implantação que inclui a federação redundante e servidores proxy de aplicativo Web em vários data centers locais. Essa configuração depende de componentes de infraestrutura de rede corporativa, como DNS, Balanceamento de Carga de Rede com recursos de afinidade geográfica e firewalls. Todos os componentes e conexões locais são suscetíveis a falhas. Visite a Documentação de planejamento de capacidade AD FS para saber mais.

Observação

A federação tem um alto número de dependências locais. Embora este diagrama mostre AD FS, outros provedores de identidade local estão sujeitos a considerações de design semelhantes para obter alta disponibilidade, escalabilidade e failover.

Como implemento a federação?

Se você estiver implementando uma estratégia de autenticação federada ou quiser torná-la mais resiliente, confira os recursos a seguir.

• O que é uma autenticação federada
• Como funciona a federação
• Lista de compatibilidade da federação Microsoft Entra
• Siga a Documentação de planejamento de capacidade AD FS
• Implantar AD FS no Azure IaaS
• Habilitar a PHS juntamente com sua federação

Próximas etapas

Recursos de resiliência para administradores e arquitetos

• Crie resiliência com o gerenciamento de credenciais
• Crie resiliência com os estados do dispositivo
• Criar resiliência usando a CAE (Avaliação Contínua de Acesso)
• Criar resiliência na autenticação de usuário externo
• Criar resiliência para seus aplicativos federados com usuários colocados
• Criar resiliência no acesso do aplicativo com o Proxy de Aplicativo

Recursos de resiliência para desenvolvedores

• Criar resiliência de IAM em seus aplicativos
• Criar resiliência em seus sistemas CIAM