在您的身分識別與存取管理基礎結構中打造復原能力

Microsoft Entra ID 是全域雲端身分識別與存取管理系統，可為貴組織的資源提供驗證和授權等重要服務。 本文提供指引，讓您能夠針對依賴 Microsoft Entra ID 的資源，了解、包含並降低驗證或授權服務中斷的風險。

此文件組的目標對象

• 身分識別結構設計師
• 識別服務擁有者
• 身分識別作業小組

另請參閱適用於應用程式開發人員和 Azure AD B2C 系統的文件。

什麼是復原能力？

在您的身分識別基礎結構內容中，復原能力是忍受服務 (例如驗證和授權) 中斷或其他元件失敗的能力，其對您的業務、使用者和作業的影響最低或沒有影響。 中斷的影響可能很嚴重，而且需要用心規劃復原能力。

為什麼要擔心中斷？

如果呼叫的任何元件都失敗，則每次呼叫驗證系統都會受到中斷影響。 當驗證中斷時，因為基礎元件失敗，您的使用者將無法存取其應用程式。 因此，減少驗證呼叫數量以及那些呼叫中的相依性數量，對您的復原能力很重要。 應用程式開發人員可以對權杖的要求頻率進行一些控制。 例如，與開發人員合作，以確保他們會盡可能針對其應用程式使用 Azure 資源受控識別。

在 Microsoft Entra ID 之類的權杖型驗證系統中，使用者的應用程式 (用戶端) 必須先從身分識別系統中取得安全性權杖，然後才能存取應用程式或其他資源。 在有效期間內，用戶端可以多次出示相同權杖來存取應用程式。

若出示給應用程式的權杖已到期，應用程式就會拒絕該權杖，而用戶端必須從 Microsoft Entra ID 取得新權杖。 取得新權杖可能需要使用者互動，例如認證提示或符合驗證系統的其他需求。 使用存留期更長的權杖來減少驗證呼叫的頻率，可減少不必要的互動。 不過，您必須在權杖存留期與因較少原則評估而產生的風險之間取得平衡。 如需管理權杖存留期的詳細資訊，請參閱這篇有關將重新驗證提示最佳化的文章。

提高復原能力的方式

下圖顯示六個可用來提高復原能力的具體方式。 本文的以下「後續步驟」部分中所連結的文章將會詳細說明每個方法。

下一步

適用於管理員和結構設計師的彈性資源

• 使用認證管理打造恢復功能
• 使用裝置狀態打造復原能力
• 使用持續性存取評估 (CAE) 來打造復原能力
• 在外部使用者驗證中打造復原能力
• 在混合式驗證中打造復原能力
• 使用應用程式 Proxy 來打造應用程式存取的復原能力

適用於開發人員且具復原能力的資源

• 在您的應用程式中打造 IAM 復原能力
• 打造 CIAM 系統的復原能力