Karma mimarinizde dayanıklılık oluşturma

Karma kimlik doğrulaması, kullanıcıların şirket içinde ana kimlikleriyle bulut tabanlı kaynaklara erişmesini sağlar. Hibrit altyapı hem bulut hem de şirket içi bileşenleri içerir.

• Bulut bileşenleri Arasında Microsoft Entra Id, Azure kaynakları ve hizmetleri, kuruluşunuzun bulut tabanlı uygulamaları ve SaaS uygulamaları bulunur.
• şirket içi bileşenleri şirket içi uygulamaları, SQL veritabanları gibi kaynakları ve Windows Server Active Directory gibi bir kimlik sağlayıcısını içerir.

Önemli

Karma altyapınızda dayanıklılığı planladığınızda bağımlılıkları ve tek hata noktalarını en aza indirmek önemlidir.

Microsoft, karma kimlik doğrulaması için üç mekanizma sunar. Seçenekler dayanıklılık sırasına göre listelenir. Mümkünse parola karması eşitlemesi gerçekleştirmenizi öneririz.

• Parola karması eşitlemesi (PHS), kimliği ve parola karması karmasını Microsoft Entra Kimliği ile eşitlemek için Microsoft Entra Bağlan kullanır. Kullanıcıların şirket içinde parolaları ile bulut tabanlı kaynaklarda oturum açmasına olanak tanır. PHS,kimlik doğrulaması için değil yalnızca eşitleme için şirket içi bağımlılıklara sahiptir.
• Doğrudan Kimlik Doğrulaması (PTA), oturum açmak için kullanıcıları Microsoft Entra Id'ye yönlendirir. Ardından, şirket ağına dağıtılan bir aracı aracılığıyla kullanıcı adı ve parola şirket içi Active Directory'de doğrulanır. PTA, şirket içi sunucularda bulunan Microsoft Entra PTA aracılarının şirket içi ayak izine sahiptir.
• Federasyon müşterileri Active Directory Federasyon Hizmetleri (AD FS) (ADFS) gibi bir federasyon hizmeti dağıtır. Ardından Microsoft Entra Id, federasyon hizmeti tarafından üretilen SAML onayını doğrular. Federasyon, şirket içi altyapıya en yüksek bağımlılığa ve dolayısıyla daha fazla hata noktasına sahiptir.

Kuruluşunuzda bu yöntemlerden birini veya daha fazlasını kullanıyor olabilirsiniz. Daha fazla bilgi için bkz . Microsoft Entra karma kimlik çözümünüz için doğru kimlik doğrulama yöntemini seçme. Bu makale, metodolojinize karar vermenize yardımcı olabilecek bir karar ağacı içerir.

Parola karması eşitleme

Microsoft Entra Id için en basit ve en dayanıklı karma kimlik doğrulama seçeneği Parola Karması Eşitleme'dir. Kimlik doğrulama isteklerini işlerken şirket içi kimlik altyapısı bağımlılığı yoktur. Parola karmaları olan kimlikler Microsoft Entra Id ile eşitlendikten sonra, kullanıcılar şirket içi kimlik bileşenlerine bağımlılık olmadan bulut kaynaklarında kimlik doğrulaması yapabilir.

Bu kimlik doğrulama seçeneğini belirlerseniz, şirket içi kimlik bileşenleri kullanılamaz duruma geldiğinde kesinti yaşamazsınız. Şirket içi kesintiler donanım arızası, güç kesintileri, doğal afetler ve kötü amaçlı yazılım saldırıları gibi birçok nedenden kaynaklanabilir.

PHS'Nasıl yaparım? uygulanıyor mu?

PHS uygulamak için aşağıdaki kaynaklara bakın:

• Microsoft Entra Bağlan ile parola karması eşitlemesi uygulama
• Parola karması eşitlemeyi etkinleştirme

Gereksinimleriniz PHS'yi kullanamıyorsanız Doğrudan Kimlik Doğrulama'yı kullanın.

Doğrudan Kimlik Doğrulama

Doğrudan Kimlik Doğrulaması, sunucularda şirket içinde bulunan kimlik doğrulama aracılarına bağımlıdır. Microsoft Entra Kimliği ile şirket içi PTA aracıları arasında kalıcı bir bağlantı veya hizmet veri yolu bulunur. Güvenlik duvarı, kimlik doğrulama aracılarını barındıran sunucular ve şirket içi Windows Server Active Directory (veya diğer kimlik sağlayıcısı) olası hata noktalarıdır.

PTA Nasıl yaparım? uygulansın mı?

Doğrudan Kimlik Doğrulaması uygulamak için aşağıdaki kaynaklara bakın.

• Doğrudan Kimlik Doğrulaması nasıl çalışır?

• Geçişli kimlik doğrulaması güvenliğine derinlemesine bakış

• Microsoft Entra doğrudan kimlik doğrulamasını yükleme

• PTA kullanıyorsanız, yüksek oranda kullanılabilir bir topoloji tanımlayın.

Federasyon

Federasyon, Microsoft Entra Id ile federasyon hizmeti arasında uç noktaların, belirteç imzalama sertifikalarının ve diğer meta verilerin değişimini içeren bir güven ilişkisi oluşturulmasını içerir. Bir istek Microsoft Entra Id'ye geldiğinde yapılandırmayı okur ve kullanıcıyı yapılandırılan uç noktalara yönlendirir. Bu noktada, kullanıcı federasyon hizmetiyle etkileşime geçerek Microsoft Entra Id tarafından doğrulanan bir SAML onayı verir.

Aşağıdaki diyagramda, birden çok şirket içi veri merkezinde yedekli federasyon ve web uygulaması proxy sunucuları içeren bir kurumsal AD FS dağıtımının topolojisi gösterilmektedir. Bu yapılandırma, DNS, coğrafi benşim özelliklerine sahip Ağ Yükü Dengeleme ve güvenlik duvarları gibi kurumsal ağ altyapısı bileşenlerine dayanır. Tüm şirket içi bileşenler ve bağlantılar hataya açıktır. Daha fazla bilgi için AD FS Kapasite Planlama Belgeleri'ni ziyaret edin.

Not

Federasyon en fazla şirket içi bağımlılık sayısına ve dolayısıyla en olası hata noktalarına sahiptir. Bu diyagram AD FS'yi gösterse de, diğer şirket içi kimlik sağlayıcıları yüksek kullanılabilirlik, ölçeklenebilirlik ve yük devretme elde etmek için benzer tasarım konularına tabidir.

Federasyon uygulamak Nasıl yaparım??

Federasyon kimlik doğrulama stratejisi uyguluyorsanız veya daha dayanıklı olmasını istiyorsanız aşağıdaki kaynaklara bakın.

• Federasyon kimlik doğrulaması nedir?
• Federasyon nasıl çalışır?
• Microsoft Entra federasyon uyumluluk listesi
• AD FS kapasite planlama belgelerini izleyin
• Azure IaaS'de AD FS dağıtma
• Federasyonunuzla birlikte PHS'yi etkinleştirme

Sonraki adımlar

Yöneticiler ve mimarlar için dayanıklılık kaynakları

• Kimlik bilgisi yönetimi ile dayanıklılık oluşturma
• Cihaz durumlarıyla dayanıklılık oluşturma
• Sürekli Erişim Değerlendirmesi (CAE) kullanarak dayanıklılık oluşturma
• Dış kullanıcı kimlik doğrulamasında dayanıklılık oluşturma
• Uygulama Ara Sunucusu ile uygulama erişiminde dayanıklılık oluşturma

Geliştiriciler için dayanıklılık kaynakları

• Uygulamalarınızda IAM dayanıklılığı oluşturma
• CIAM sistemlerinizde dayanıklılık oluşturma