在身分識別和存取管理基礎結構中建置復原能力
Microsoft Entra ID 是全域雲端身分識別和存取管理系統,可提供重要服務,例如驗證和授權給貴組織的資源。 本文提供您瞭解、包含及減輕依賴 Microsoft Entra 識別碼之資源驗證或授權服務中斷的風險的指引。
檔集是專為
- 身分識別架構師
- 身分識別服務擁有者
- 身分識別作業小組
另請參閱應用程式 開發人員 和 Azure AD B2C 系統 的檔。
什麼是復原能力?
在身分識別基礎結構的內容中,復原能力是能夠承受驗證和授權等服務的中斷,或是其他元件的失敗,對企業、使用者和作業的影響最小或根本沒有影響。 中斷的影響可能十分嚴重,而且需要勤奮的規劃。
為什麼要擔心中斷?
如果呼叫的任何元件失敗,驗證系統的每個呼叫都會中斷。 當驗證中斷時,由於基礎元件失敗,您的使用者將無法存取其應用程式。 因此,減少這些呼叫中的驗證呼叫數目和相依性數目,對於復原能力很重要。 應用程式開發人員可以判斷提示對要求權杖頻率的一些控制。 例如,請與您的開發人員合作,以確保他們盡可能針對其應用程式使用 Azure 資源的受控識別。
在 Microsoft Entra ID 之類的權杖型驗證系統中,使用者的應用程式(用戶端)必須先從身分識別系統取得安全性權杖,才能存取應用程式或其他資源。 在有效期間,用戶端可以多次呈現相同的權杖來存取應用程式。
當呈現給應用程式的權杖過期時,應用程式會拒絕權杖,而且用戶端必須從 Microsoft Entra ID 取得新的權杖。 取得新的權杖可能需要使用者互動,例如認證提示或符合驗證系統的其他需求。 減少具有較長存留權杖的驗證呼叫頻率會減少不必要的互動。 不過,您必須平衡權杖存留期與較少的原則評估所建立的風險。 如需管理權杖存留期的詳細資訊,請參閱本文以 優化重新驗證提示 。
增加復原能力的方式
下圖顯示六種可增加復原能力的具體方式。 本文後續步驟部分中的連結文章會詳細說明每個方法。
下一步
系統管理員和架構設計人員的復原資源
- 使用認證管理建置復原能力
- 使用裝置狀態建置復原能力
- 使用持續存取評估建置復原能力 (CAE)
- 在外部使用者驗證中建置復原能力
- 在混合式驗證中建置復原能力
- 使用 應用程式 Proxy 在應用程式存取中建置復原能力