Designområde för identitets- och åtkomsthantering

Designområdet för identitets- och åtkomsthantering innehåller metodtips som du kan använda för att upprätta grunden för din säkra och fullständigt kompatibla offentliga molnarkitektur.

Företag kan ha komplexa och heterogena tekniska landskap, så säkerheten är kritisk. Robust identitets- och åtkomsthantering utgör grunden för modernt skydd genom att skapa en säkerhetsperimeter i ett offentligt moln. Auktoriserings- och åtkomstkontroller säkerställer att endast autentiserade användare med verifierade enheter kan komma åt och administrera program och resurser. Det säkerställer att rätt person kan komma åt rätt resurser vid rätt tidpunkt och av rätt anledning. Det ger också tillförlitlig revisionsloggning och obestidlighet av åtgärder för användar- eller arbetsbelastningsidentitet. Du bör tillhandahålla konsekvent åtkomstkontroll för företag, inklusive användaråtkomst, kontroll- och hanteringsplan, extern åtkomst och privilegierad åtkomst, för att förbättra produktiviteten och minska risken för obehörig behörighetseskalering eller dataexfiltrering.

Azure erbjuder en omfattande uppsättning tjänster, verktyg och referensarkitekturer som hjälper din organisation att skapa mycket säkra och driftseffektiva miljöer. Det finns flera alternativ för att hantera identiteter i en molnmiljö. Varje alternativ varierar i kostnad och komplexitet. Bestäm dina molnbaserade identitetstjänster baserat på hur mycket du behöver för att integrera dem med din befintliga lokala identitetsinfrastruktur. För mer information, se identitetsbeslutsguide.

Identitets- och åtkomsthantering i Azure-landningszoner

Identitets- och åtkomsthantering är en viktig faktor i både plattforms- och programlandningszoner. Enligt designprincipen för prenumerationsdemokratiseringbör programägare ha självständighet att hantera sina egna program och resurser med minimala åtgärder från plattformsteamet. Landningszoner är en säkerhetsgräns, och identitets- och åtkomsthantering är ett sätt att styra separationen av en landningszon från en annan, tillsammans med komponenter som nätverk och Azure Policy. Använd en robust design för identitets- och åtkomsthantering för att uppnå isolering av programlandningszoner.

Plattformsteamet ansvarar för grunden för identitets- och åtkomsthantering, inklusive distribution och hantering av centraliserade katalogtjänster, till exempel Microsoft Entra ID, Microsoft Entra Domain Services och Active Directory Domain Services (AD DS). Administratörer och användare i programlandningszonen som har åtkomst till program använder dessa tjänster.

Programteamet ansvarar för identitets- och åtkomsthanteringen för sina program, inklusive att skydda användaråtkomst till program och mellan programkomponenter, till exempel Azure SQL Database, virtuella datorer och Azure Storage. I en väl implementerad arkitektur för landningszoner kan programteamet enkelt använda tjänster som plattformsteamet tillhandahåller.

Många av de grundläggande begreppen för identitets- och åtkomsthantering är desamma i både plattforms- och programlandningszoner, till exempel rollbaserad åtkomstkontroll (RBAC) och principen om minsta behörighet.

Designområdesgranskning

Functions: Identitets- och åtkomsthantering kräver stöd för en eller flera av följande funktioner. De roller som utför dessa funktioner kan hjälpa dig att fatta och implementera beslut.

• Molnplattformsfunktioner
• Moln-kompetenscenters funktioner
• Molnsäkerhetsteamets funktioner

Omfattning: Målet med det här designområdet är att hjälpa dig att utvärdera alternativ för din identitet och åtkomstgrund. När du utformar din identitetsstrategi bör du utföra följande uppgifter:

• Autentisera användare och arbetsbelastningsidentiteter.
• Tilldela åtkomst till resurser.
• Fastställ grundläggande krav för uppdelning av uppgifter.
• Synkronisera hybrididentiteter med Microsoft Entra-ID.

Utanför omfånget: identitets- och åtkomsthantering utgör en grund för korrekt åtkomstkontroll, men den omfattar inte mer avancerade aspekter som:

• Zero Trust-modellen.
• Driftshantering av utökade privilegier.
• Automatiserade skyddsräcken för att förhindra vanliga identitets- och åtkomstmisstag.

Efterlevnadsdesignområdena för säkerhet och styrning åtgärdar aspekter utanför omfattningen. Omfattande rekommendationer för identitets- och åtkomsthantering finns i metodtips för azure-identitetshantering och åtkomstkontroll.

Översikt över designområde

Identiteten utgör grunden för en mängd olika säkerhetsgarantier. Den ger åtkomst baserat på identitetsautentisering och auktoriseringskontroller i molntjänster. Åtkomstkontroll skyddar data och resurser och hjälper till att avgöra vilka begäranden som ska tillåtas.

Identitets- och åtkomsthantering hjälper till att skydda de interna och externa gränserna för en offentlig molnmiljö. Det är grunden för alla säkra och fullständigt kompatibla offentliga molnarkitekturer.

Följande artiklar undersöker designöverväganden och rekommendationer för identitets- och åtkomsthantering i en molnmiljö:

• Hybrididentitet med Active Directory och Microsoft Entra ID
• Identitets- och åtkomsthantering i landningszonen
• Programidentitet och åtkomsthantering

Vägledning om hur du utformar lösningar i Azure med hjälp av etablerade mönster och metoder finns i design av identitetsarkitektur.

Tips

Om du har flera Microsoft Entra ID-klienter kan du läsa Azure-landningszoner och flera Microsoft Entra-klienter.

Nästa steg

Hybrididentitet med Active Directory och Microsoft Entra ID