标识和访问管理 (IAM) 是涵盖标识的管理及其可访问的内容的流程、策略和技术框架。 IAM 包括支持对系统中的用户和其他帐户进行身份验证和授权的组件。
IAM 系统的任何组件都可能导致中断。 IAM 复原能力指能经受 IAM 系统组件中断并在对业务、用户、客户和操作影响最小的情况下恢复的能力。 本指南介绍可复原 IAM 系统的构建方法。
提升 IAM 复原能力:
- 假定中断会发生,并为中断做好规划。
- 减少依赖关系、单一故障点并降低复杂性。
- 确保全面性的错误处理。
识别突发事件并为其做好规划非常重要。 但是,添加更多标识系统会增加依赖关系并提高复杂性,因此可能降低而不是提高复原能力。
开发人员可以通过尽量使用 Microsoft Entra 托管标识来帮助管理其应用程序中的 IAM 复原能力。 有关详细信息,请参阅提高开发的身份验证和授权应用程序的复原能力。
规划 IAM 解决方案的复原能力时,请考虑以下要素:
- 依赖于 IAM 系统的应用程序。
- 身份验证调用使用的公共基础结构,包括:
- 电信公司。
- Internet 服务提供商。
- 公钥提供者。
- 云和本地标识提供商。
- 依赖于 IAM 的其他服务,以及连接这些服务的 API。
- 系统中的任何其他本地组件。
体系结构
此图显示了提高 IAM 复原能力的几种方法。 链接的文章详细解释了这些方法。
管理依赖关系并减少身份验证调用
如果调用的任何组件发生故障,则每个身份验证调用都会中断。 当身份验证由于基础组件发生故障而中断时,用户将无法访问他们的应用程序。 因此,减少身份验证调用数和这些调用中的依赖关系数对于复原能力至关重要。
- 管理依赖关系。 使用凭据管理构建复原能力。
- 减少身份验证调用。 使用设备状态构建复原能力。
- 减少外部 API 依赖关系。
使用生存期较长的可撤销令牌
在基于令牌的身份验证系统(如 Microsoft Entra ID)中,用户的客户端应用程序必须先从标识系统获取安全令牌,然后才能访问应用程序或其他资源。 在令牌有效期内,客户端可以多次提供同一令牌来访问应用程序。
如果有效期在用户会话期间过期,则应用程序会拒绝令牌,而客户端必须从 Microsoft Entra ID 获取新令牌。 获取新令牌可能需要用户交互,例如凭据提示或其他要求。 通过使用生存期较长的令牌降低身份验证调用频率,可以减少不必要的交互。 但是,你必须在令牌生存期与策略评估减少所造成的风险之间取得平衡。
- 使用生存期较长的可撤销令牌。
- 使用连续访问评估 (CAE) 构建复原能力。
有关管理令牌生存期的详细信息,请参阅优化重新验证提示并了解 Microsoft Entra 多重身份验证的会话生存期。
混合和本地复原能力
- 在混合体系结构中构建复原能力,以定义来自本地 Active Directory 或其他标识提供者 (IdP) 的可复原身份验证。
- 若要管理外部标识,请在外部用户身份验证中构建复原能力。
- 若要访问本地应用,请使用应用程序代理在应用程序访问中构建复原能力。