Identitets- och åtkomsthantering (IAM) är det process-, princip- och teknikramverk som omfattar hantering av identiteter och vad de kan komma åt. IAM innehåller komponenter som stöder autentisering och auktorisering av användare och andra konton i ett system.
Alla komponenter i ett IAM-system kan orsaka avbrott. IAM-motståndskraft är möjligheten att hantera störningar i IAM-systemkomponenter och återställa med minimal påverkan på företag, användare, kunder och drift. Den här guiden beskriver hur du skapar ett motståndskraftigt IAM-system.
Så här främjar du IAM-motståndskraft:
- Anta att störningar kommer att inträffa och planera för dem.
- Minska beroenden, komplexitet och enskilda felpunkter.
- Se till att felhanteringen är omfattande.
Det är viktigt att känna igen och planera för oförutsedda händelser. Men att lägga till fler identitetssystem, med deras beroenden och komplexitet, kan minska snarare än öka motståndskraften.
Utvecklare kan hjälpa till att hantera IAM-motståndskraft i sina program med hjälp av Microsoft Entra-hanterade identiteter där det är möjligt. Mer information finns i Öka motståndskraften för autentiserings- och auktoriseringsprogram som du utvecklar.
När du planerar för motståndskraft för en IAM-lösning bör du överväga följande element:
- De program som förlitar sig på ditt IAM-system.
- De offentliga infrastrukturer som dina autentiseringsanrop använder, inklusive:
- telekomföretag.
- Internetleverantörer.
- Offentliga nyckelleverantörer.
- Dina moln- och lokala identitetsprovidrar.
- Andra tjänster som förlitar sig på din IAM och API:er som ansluter tjänsterna.
- Alla andra lokala komponenter i systemet.
Arkitektur
Det här diagrammet visar flera sätt att öka IAM-motståndskraften. De länkade artiklarna förklarar metoderna i detalj.
Hantera beroenden och minska autentiseringsanrop
Varje autentiseringsanrop kan störas om någon komponent i anropet misslyckas. När autentiseringen avbryts på grund av underliggande komponentfel kan användarna inte komma åt sina program. Därför är det viktigt att minska antalet autentiseringsanrop och antalet beroenden i dessa anrop för motståndskraft.
- Hantera beroenden. Skapa motståndskraft med hantering av autentiseringsuppgifter.
- Minska autentiseringsanrop. Skapa motståndskraft med enhetstillstånd.
- Minska externa API-beroenden.
Använda långlivade återkallningsbara token
I ett tokenbaserat autentiseringssystem som Microsoft Entra-ID måste en användares klientprogram hämta en säkerhetstoken från identitetssystemet innan det kan komma åt ett program eller en annan resurs. Under tokens giltighetsperiod kan klienten presentera samma token flera gånger för att få åtkomst till programmet.
Om giltighetsperioden upphör att gälla under användarens session avvisar programmet token och klienten måste hämta en ny token från Microsoft Entra-ID. För att hämta en ny token krävs potentiellt användarinteraktion som uppmaningar om autentiseringsuppgifter eller andra krav. Om du minskar autentiseringsanropsfrekvensen med token med längre livslängd minskar onödiga interaktioner. Du måste dock balansera tokens livslängd med den risk som skapas av färre principutvärderingar.
- Använd långlivade återkallningsbara token.
- Skapa motståndskraft med hjälp av kontinuerlig åtkomstutvärdering (CAE).
Mer information om hur du hanterar tokenlivslängder finns i Optimera omautentiseringsprompter och förstå sessionslivslängden för Microsoft Entra-multifaktorautentisering.
Hybrid- och lokal motståndskraft
- Skapa motståndskraft i din hybridarkitektur för att definiera elastisk autentisering från lokal Active Directory eller andra identitetsprovidrar (IP-adresser).
- Om du vill hantera externa identiteter skapar du motståndskraft vid extern användarautentisering.
- För åtkomst till lokala appar skapar du motståndskraft i programåtkomst med Programproxy.
Nästa steg
- Öka motståndskraften för autentiserings- och auktoriseringsprogram som du utvecklar
- Skapa motståndskraft i din IAM-infrastruktur
- Skapa motståndskraft i dina kundinriktade programsystem (CIAM) med Azure Active Directory B2C