在混合式架構中建置復原能力
混合式驗證可讓使用者使用其身分識別掌握在內部部署的身分識別來存取雲端式資源。 混合式基礎結構同時包含雲端和內部部署元件。
- 雲端元件包括 Microsoft Entra ID、Azure 資源和服務、組織的雲端式應用程式和 SaaS 應用程式。
- 內部部署元件包括內部部署應用程式、SQL 資料庫等資源,以及 Windows Server Active Directory 等識別提供者。
重要
當您規劃混合式基礎結構中的復原能力時,將相依性和單一失敗點降到最低是關鍵。
Microsoft 提供三種混合式驗證機制。 選項會依復原順序列出。 建議您盡可能實作密碼哈希同步處理。
- 密碼哈希同步處理 (PHS) 會使用 Microsoft Entra 連線,將密碼的哈希與 Microsoft Entra 標識碼的哈希同步處理。 它可讓使用者使用其內部部署主控的密碼登入雲端式資源。 PHS 只有同步處理的內部部署相依性,而不是用於驗證。
- 傳遞驗證 (PTA) 會將使用者重新導向至 Microsoft Entra ID 以進行登入。 然後,使用者名稱和密碼會透過部署在公司網路中的代理程式,針對內部部署的 Active Directory 進行驗證。 PTA 的內部部署使用量是其位於內部部署伺服器上的 Microsoft Entra PTA 代理程式。
- 同盟客戶會部署同盟服務,例如 Active Directory 同盟服務 (ADFS)。 然後 Microsoft Entra ID 會驗證同盟服務所產生的 SAML 判斷提示。 同盟在內部部署基礎結構上具有最高的相依性,因此,更多的失敗點。
您可能會在組織中使用這些方法的一或多個方法。 如需詳細資訊,請參閱 為您的 Microsoft Entra 混合式身分識別解決方案選擇正確的驗證方法。 本文包含可協助您決定方法的判定樹。
密碼雜湊同步處理
Microsoft Entra ID 的最簡單且最具復原性的混合式驗證選項是 密碼哈希同步處理。 處理驗證要求時,它沒有任何內部部署身分識別基礎結構相依性。 將具有密碼哈希的身分識別同步處理至 Microsoft Entra ID 之後,使用者可以向雲端資源進行驗證,而不需要相依於內部部署身分識別元件。
如果您選擇此驗證選項,當內部部署身分識別元件無法使用時,您將不會發生中斷。 內部部署中斷可能會因為許多原因而發生,包括硬體故障、電源中斷、自然災害和惡意代碼攻擊。
如何? 實作 PHS 嗎?
若要實作 PHS,請參閱下列資源:
如果您的需求如此,即無法使用 PHS,請使用傳遞驗證。
傳遞驗證
傳遞驗證相依於位於伺服器內部部署的驗證代理程式。 Microsoft Entra ID 與內部部署 PTA 代理程式之間存在持續性連線或服務總線。 防火牆、裝載驗證代理程式的伺服器,以及內部部署 Windows Server Active Directory(或其他識別提供者)都是潛在的失敗點。
如何? 實作 PTA?
若要實作傳遞驗證,請參閱下列資源。
如果您使用 PTA,請 定義高可用性拓撲。
同盟
同盟牽涉到建立 Microsoft Entra ID 與同盟服務之間的信任關係,其中包括端點交換、令牌簽署憑證和其他元數據。 當要求來到 Microsoft Entra 識別符時,它會讀取設定,並將使用者重新導向至設定的端點。 此時,使用者會與同盟服務互動,這會發出由 Microsoft Entra ID 驗證的 SAML 判斷提示。
下圖顯示企業 AD FS 部署的拓撲,其中包含跨多個內部部署數據中心的備援同盟和 Web 應用程式 Proxy 伺服器。 此設定依賴企業網路基礎結構元件,例如 DNS、網路負載平衡與異地親和性功能,以及防火牆。 所有內部部署元件和連線都容易受到失敗的影響。 如需詳細資訊, 請流覽 AD FS 容量規劃檔 。
注意
同盟的內部部署相依性數目最高,因此,最潛在的失敗點。 雖然此圖表顯示 AD FS,但其他內部部署身分識別提供者受限於類似的設計考慮,以達到高可用性、延展性和故障轉移。
如何? 實作同盟嗎?
如果您要實作同盟驗證策略,或想要讓其更具復原性,請參閱下列資源。