Construa resiliência em sua arquitetura híbrida
A autenticação híbrida permite que os usuários acessem recursos baseados em nuvem com suas identidades dominadas localmente. Uma infraestrutura híbrida inclui componentes na nuvem e no local.
- Os componentes de nuvem incluem o Microsoft Entra ID, recursos e serviços do Azure, aplicativos baseados em nuvem da sua organização e aplicativos SaaS.
- os componentes locais incluem aplicativos locais, recursos como bancos de dados SQL e um provedor de identidade como o Ative Directory do Windows Server.
Importante
Ao planejar a resiliência em sua infraestrutura híbrida, é fundamental minimizar dependências e pontos únicos de falha.
A Microsoft oferece três mecanismos para autenticação híbrida. As opções são listadas por ordem de resiliência. Recomendamos que você implemente a sincronização de hash de senha, se possível.
- A sincronização de hash de senha (PHS) usa o Microsoft Entra Connect para sincronizar a identidade e um hash da senha com o Microsoft Entra ID. Ele permite que os usuários entrem em recursos baseados em nuvem com sua senha dominada localmente. O PHS tem dependências locais apenas para sincronização, não para autenticação.
- A Autenticação de Passagem (PTA) redireciona os utilizadores para o Microsoft Entra ID para iniciar sessão. Em seguida, o nome de usuário e a senha são validados em relação ao Ative Directory local por meio de um agente implantado na rede corporativa. O PTA tem uma pegada local de seus agentes do Microsoft Entra PTA que residem em servidores locais.
- Os clientes de federação implantam um serviço de federação, como os Serviços de Federação do Ative Directory (ADFS). Em seguida, o Microsoft Entra ID valida a asserção SAML produzida pelo serviço de federação. A federação tem a maior dependência da infraestrutura local e, portanto, mais pontos de falha.
Você pode estar usando um ou mais desses métodos em sua organização. Para obter mais informações, consulte Escolher o método de autenticação certo para sua solução de identidade híbrida do Microsoft Entra. Este artigo contém uma árvore de decisão que pode ajudá-lo a decidir sobre sua metodologia.
Sincronização de hash de palavra-passe
A opção de autenticação híbrida mais simples e resiliente para o Microsoft Entra ID é a Sincronização de Hash de Senha. Ele não tem nenhuma dependência de infraestrutura de identidade local ao processar solicitações de autenticação. Depois que as identidades com hashes de senha são sincronizadas com o ID do Microsoft Entra, os usuários podem se autenticar em recursos de nuvem sem dependência dos componentes de identidade locais.
Se você escolher essa opção de autenticação, não sofrerá interrupções quando os componentes de identidade locais ficarem indisponíveis. A interrupção no local pode ocorrer por muitos motivos, incluindo falha de hardware, falta de energia, desastres naturais e ataques de malware.
Como implementar o PHS?
Para implementar o PHS, consulte os seguintes recursos:
- Implementar sincronização de hash de senha com o Microsoft Entra Connect
- Ativar a sincronização do hash de palavras-passe
Se os seus requisitos forem tais que você não pode usar o PHS, use a Autenticação de passagem.
Autenticação pass-through
A Autenticação de Passagem depende de agentes de autenticação que residem no local em servidores. Uma conexão persistente, ou barramento de serviço, está presente entre o ID do Microsoft Entra e os agentes PTA locais. O firewall, os servidores que hospedam os agentes de autenticação e o Ative Directory do Windows Server local (ou outro provedor de identidade) são pontos de falha potenciais.
Como implementar o PTA?
Para implementar a Autenticação de Passagem, consulte os seguintes recursos.
Informações detalhadas sobre a segurança na Autenticação Pass-through
Se você estiver usando PTA, defina uma topologia altamente disponível.
Federação
A federação envolve a criação de uma relação de confiança entre o Microsoft Entra ID e o serviço de federação, que inclui a troca de pontos de extremidade, certificados de assinatura de token e outros metadados. Quando uma solicitação chega ao Microsoft Entra ID, ele lê a configuração e redireciona o usuário para os pontos de extremidade configurados. Nesse ponto, o usuário interage com o serviço de federação, que emite uma asserção SAML que é validada pelo Microsoft Entra ID.
O diagrama a seguir mostra uma topologia de uma implantação do AD FS empresarial que inclui federação redundante e servidores proxy de aplicativos Web em vários data centers locais. Essa configuração depende de componentes de infraestrutura de rede corporativa, como DNS, balanceamento de carga de rede com recursos de afinidade geográfica e firewalls. Todos os componentes e conexões locais são suscetíveis a falhas. Visite a Documentação de Planejamento de Capacidade do AD FS para obter mais informações.
Nota
A federação tem o maior número de dependências locais e, portanto, os pontos potenciais de falha. Embora este diagrama mostre o AD FS, outros provedores de identidade locais estão sujeitos a considerações de design semelhantes para obter alta disponibilidade, escalabilidade e failover.
Como implementar a federação?
Se você estiver implementando uma estratégia de autenticação federada ou quiser torná-la mais resiliente, consulte os recursos a seguir.
- O que é autenticação federada
- Como funciona a federação
- Lista de compatibilidade de federação do Microsoft Entra
- Siga a documentação de planejamento de capacidade do AD FS
- Implantando o AD FS na IaaS do Azure
- Habilite o PHS junto com sua federação
Próximos passos
Recursos de resiliência para administradores e arquitetos
- Construa resiliência com o gerenciamento de credenciais
- Crie resiliência com estados de dispositivo
- Construa resiliência usando a Avaliação de Acesso Contínuo (CAE)
- Crie resiliência na autenticação de usuários externos
- Crie resiliência no acesso ao aplicativo com o Proxy de Aplicativo