Identitäts- und Zugriffsverwaltung (IAM) ist das Prozess-, Richtlinien- und Technologie-Framework, das die Verwaltung von Identitäten und deren Zugriff umfasst. IAM umfasst Komponenten, die die Authentifizierung und Autorisierung von Benutzer- und anderen Konten in einem System unterstützen.
Jede Komponente eines IAM-Systems kann zu Unterbrechungen führen. IAM-Resilienz ist die Fähigkeit, Unterbrechungen von IAM-Systemkomponenten zu überstehen und sich mit minimalen Auswirkungen auf Unternehmen, Benutzer, Kunden und Betrieb wiederherzustellen. In diesem Leitfaden werden Möglichkeiten zum Erzielen eines belastbaren IAM-Systems beschrieben.
IAM-Resilienz fördern:
- Gehen Sie davon aus, dass Störungen auftreten werden, und planen Sie diese ein.
- Reduzieren Sie Abhängigkeiten, Komplexität und einzelne Ausfallpunkte.
- Stellen Sie eine umfassende Fehlerbehandlung sicher.
Das Erkennen und Planen von Eventualitäten ist wichtig. Das Hinzufügen von mehr Identitätssystemen mit ihren Abhängigkeiten und ihrer Komplexität könnte jedoch die eher Resilienz verringern als erhöhen.
Entwickler können helfen die IAM-Resilienz in ihren Anwendungen zu verwalten, indem sie möglichst von Microsoft Entra verwaltete Identitäten verwenden. Details hierzu finden Sie unter Erhöhen der Resilienz bei der Authentifizierung und Autorisierung in von Ihnen entwickelten Anwendungen.
Wenn Resilienz für IAM-Lösung geplant wird, sollten die folgenden Elemente berücksichtigt werden:
- Die Anwendungen, die auf Ihrem IAM-System basieren.
- Die öffentlichen Infrastrukturen, die Ihre Authentifizierungsaufrufe verwenden, einschließlich:
- Telekommunikationsunternehmen.
- Internetdienstanbieter (ISP).
- Anbieter öffentlicher Keys.
- Ihre Cloud- und lokalen Identitätsanbieter.
- Andere Dienste, die auf IAM basieren, sowie die APIs, die sie miteinander verbinden.
- Alle anderen lokalen Komponenten in Ihrem System.
Aufbau
Dieses Diagramm zeigt mehrere Möglichkeiten, die IAM-Resilienz zu erhöhen. In den verlinkten Artikeln werden die Methoden ausführlich erläutert.
Verwalten von Abhängigkeiten und Reduzieren von Authentifizierungsaufrufen
Jeder Authentifizierungsaufruf unterliegt einer Unterbrechung, wenn eine Komponente des Aufrufs ausfällt. Wenn die Authentifizierung aufgrund von Ausfällen der zugrundeliegenden Komponenten unterbrochen wird, können Benutzer nicht auf ihre Anwendungen zugreifen. Daher ist die Reduzierung der Anzahl der Authentifizierungsaufrufe und der Anzahl der Abhängigkeiten in diesen Aufrufen für die Resilienz unerlässlich.
- Verwalten von Abhängigkeiten: Erzielen von Resilienz durch die Verwaltung von Anmeldeinformationen.
- Reduzieren von Authentifizierungsaufrufen. Erzielen von Resilienz mithilfe des Gerätestatus.
- Reduzieren von externen API-Abhängigkeiten.
Verwenden langlebiger widerrufbarer Tokens
In einem tokenbasierten Authentifizierungssystem wie Microsoft Entra ID muss die Clientanwendung eines Benutzers ein Sicherheitstoken aus dem Identitätssystem abrufen, bevor auf eine Anwendung oder eine andere Ressource zugegriffen werden kann. Während der Gültigkeitsdauer kann ein Client dasselbe Token mehrmals verwenden, um auf die Anwendung zuzugreifen.
Wenn die Gültigkeitsdauer während der Sitzung des Benutzers abläuft, lehnt die Anwendung das Token ab und der Client muss ein neues Token von Microsoft Entra ID abrufen. Das Abrufen eines neuen Tokens erfordert eventuell eine Benutzerinteraktion wie z. B. die Abfrage von Anmeldeinformationen oder andere Anforderungen. Indem die Häufigkeit von Authentifizierungsaufrufen durch Tokens mit längerer Lebensdauer reduziert wird, wird die Anzahl von unnötigen Interaktionen verringert. Sie müssen jedoch die Lebensdauer des Tokens gegen das Risiko abwägen, das durch weniger Richtlinienauswertungen entsteht.
- Verwenden langlebiger widerrufbarer Tokens.
- Schaffen Sie Resilienz durch die Nutzung fortlaufender Zugriffsevaluierung (CAE).
Weitere Informationen zum Verwalten der Token-Lebensdauer finden Sie unter Optimieren von Aufforderungen zur erneuten Authentifizierung und Grundlegendes zur Sitzungslebensdauer für die Multi-Faktor-Authentifizierung von Microsoft Entra.
Hybride und lokale Resilienz
- Schaffen Sie Resilienz in Ihrer Hybridarchitektur, um eine belastbare Authentifizierung vom lokalen Active Directory oder anderen Identitätsanbietern (IdPs) zu definieren.
- Schaffen Sie Resilienz in der externen Benutzerauthentifizierung, um External Identities zu verwalten.
- Schaffen Sie Resilienz beim Anwendungszugriff mit Anwendungsproxy für den Zugriff auf lokale Anwendungen.
Nächste Schritte
- Erhöhen der Resilienz bei der Authentifizierung und Autorisierung in von Ihnen entwickelten Anwendungen
- Erzielen von Resilienz in der IAM-Infrastruktur
- Schaffen Sie Resilienz in Ihren CIAM-Systemen (Customer Facing Applications) mit Azure Active Directory B2C