Обеспечение устойчивости инфраструктуры управления удостоверениями и доступом
Azure Active Directory (Azure AD) — это глобальная облачная система управления удостоверениями и доступом, которая предоставляет критически важные службы, такие как проверка подлинности и авторизация для ресурсов вашей организации. В этой статье содержатся рекомендации по пониманию, сдерживанию и снижению риска прерывания работы служб проверки подлинности или авторизации для ресурсов, которые используют Azure AD.
Набор документов предназначен для:
- архитекторов удостоверений;
- владельцев службы удостоверений;
- служб, обеспечивающих работу с удостоверениями.
См. также документацию для разработчиков приложений и Azure AD систем B2C.
Что такое устойчивость?
В контексте инфраструктуры удостоверений устойчивость — это возможность терпеть перебои в работе служб, таких как проверка подлинности и авторизация, или сбой других компонентов, с минимальным влиянием или без каких-либо последствий для бизнеса, пользователей и операций. Последствия сбоя могут быть серьезными, и устойчивость требует тщательного планирования.
Зачем беспокоиться о перебоях в работе служб?
Каждое обращение к системе проверки подлинности может завершиться сбоем при отказе какого-либо компонента. При нарушении проверки подлинности из-за сбоев базовых компонентов пользователи не будут обращаться к своим приложениям. Таким образом, уменьшение числа обращений для проверки подлинности и количества зависимостей в этих обращениях — важный фактор устойчивости. Разработчики приложений могут в определенной степени контролировать частоту запроса маркеров. Например, вместе с разработчиками сделайте так, чтобы управляемые удостоверения Azure AD использовались в приложениях везде, где это возможно.
В системе проверки подлинности на основе маркеров, такой как Azure AD, приложение пользователя (клиент) должно получить маркер безопасности из системы удостоверений, прежде чем получить доступ к приложению или другому ресурсу. Клиент может несколько раз использовать один и тот же маркер для доступа к приложению в течение периода действия этого маркера.
По истечении срока действия приложение отклоняет этот маркер, и клиент должен получить в Azure AD новый. Для получения нового маркера может требоваться взаимодействие с пользователем, например запросы учетных данных или выполнение других требований системы проверки подлинности. Снижение частоты вызовов для проверки подлинности с помощью долгосрочных маркеров уменьшает число ненужных взаимодействий. При этом необходимо соотносить жизненный цикл маркера с риском из-за меньшего числа проверок на соответствие политике. Дополнительные сведения об управлении жизненным циклом маркеров см. в статье, посвященной оптимизации запросов повторной проверки подлинности.
Способы повышения устойчивости
На схеме ниже показаны шесть конкретных способов повышения устойчивости. Каждый метод подробно описан в статьях, связанных с разделом Дальнейшие действия этой статьи.
Дальнейшие действия
Ресурсы по устойчивости для администраторов и архитекторов
- Повышение устойчивости за счет управления учетными данными
- Повышение устойчивости за счет использования состояний устройств
- Повышение устойчивости за счет непрерывной оценки доступа (CAE)
- Повышение устойчивости при проверке подлинности внешних пользователей
- Обеспечение устойчивости гибридной проверки подлинности
- Обеспечение устойчивости доступа к приложениям с помощью Application Proxy