Redigera

Dela via


Elastisk identitets- och åtkomsthantering med Microsoft Entra-ID

Microsoft Entra ID
Externt ID för Microsoft Entra

Identitets- och åtkomsthantering (IAM) är det process-, princip- och teknikramverk som omfattar hantering av identiteter och vad de kan komma åt. IAM innehåller komponenter som stöder autentisering och auktorisering av användare och andra konton i ett system.

Alla komponenter i ett IAM-system kan orsaka avbrott. IAM-motståndskraft är möjligheten att hantera störningar i IAM-systemkomponenter och återställa med minimal påverkan på företag, användare, kunder och drift. Den här guiden beskriver hur du skapar ett motståndskraftigt IAM-system.

Så här främjar du IAM-motståndskraft:

  • Anta att störningar kommer att inträffa och planera för dem.
  • Minska beroenden, komplexitet och enskilda felpunkter.
  • Se till att felhanteringen är omfattande.

Det är viktigt att känna igen och planera för oförutsedda händelser. Men att lägga till fler identitetssystem, med deras beroenden och komplexitet, kan minska snarare än öka motståndskraften.

Utvecklare kan hjälpa till att hantera IAM-motståndskraft i sina program med hjälp av Microsoft Entra-hanterade identiteter där det är möjligt. Mer information finns i Öka motståndskraften för autentiserings- och auktoriseringsprogram som du utvecklar.

När du planerar för motståndskraft för en IAM-lösning bör du överväga följande element:

  • De program som förlitar sig på ditt IAM-system.
  • De offentliga infrastrukturer som dina autentiseringsanrop använder, inklusive:
    • telekomföretag.
    • Internetleverantörer.
    • Offentliga nyckelleverantörer.
  • Dina moln- och lokala identitetsprovidrar.
  • Andra tjänster som förlitar sig på din IAM och API:er som ansluter tjänsterna.
  • Alla andra lokala komponenter i systemet.

Arkitektur

Diagram showing an overview of administering IAM resilience.

Det här diagrammet visar flera sätt att öka IAM-motståndskraften. De länkade artiklarna förklarar metoderna i detalj.

Hantera beroenden och minska autentiseringsanrop

Varje autentiseringsanrop kan störas om någon komponent i anropet misslyckas. När autentiseringen avbryts på grund av underliggande komponentfel kan användarna inte komma åt sina program. Därför är det viktigt att minska antalet autentiseringsanrop och antalet beroenden i dessa anrop för motståndskraft.

Använda långlivade återkallningsbara token

I ett tokenbaserat autentiseringssystem som Microsoft Entra-ID måste en användares klientprogram hämta en säkerhetstoken från identitetssystemet innan det kan komma åt ett program eller en annan resurs. Under tokens giltighetsperiod kan klienten presentera samma token flera gånger för att få åtkomst till programmet.

Om giltighetsperioden upphör att gälla under användarens session avvisar programmet token och klienten måste hämta en ny token från Microsoft Entra-ID. För att hämta en ny token krävs potentiellt användarinteraktion som uppmaningar om autentiseringsuppgifter eller andra krav. Om du minskar autentiseringsanropsfrekvensen med token med längre livslängd minskar onödiga interaktioner. Du måste dock balansera tokens livslängd med den risk som skapas av färre principutvärderingar.

Mer information om hur du hanterar tokenlivslängder finns i Optimera omautentiseringsprompter och förstå sessionslivslängden för Microsoft Entra-multifaktorautentisering.

Hybrid- och lokal motståndskraft

Nästa steg