Skapa motståndskraft i din infrastruktur för identitets- och åtkomsthantering

Microsoft Entra ID är ett globalt molnidentitets- och åtkomsthanteringssystem som tillhandahåller viktiga tjänster som autentisering och auktorisering till organisationens resurser. Den här artikeln innehåller vägledning för att förstå, innehålla och minska risken för avbrott i autentiserings- eller auktoriseringstjänster för resurser som förlitar sig på Microsoft Entra-ID.

Dokumentuppsättningen är utformad för

• Identitetsarkitekter
• Identitetstjänstägare
• Identity Operations-team

Se även dokumentationen för programutvecklare och för Azure AD B2C-system.

Vad är motståndskraft?

I samband med din identitetsinfrastruktur är motståndskraft möjligheten att uthärda avbrott i tjänster som autentisering och auktorisering, eller fel i andra komponenter, med minimal eller ingen effekt på ditt företag, användare och åtgärder. Effekten av störningar kan vara allvarlig och motståndskraft kräver noggrann planering.

Varför oroa sig för störningar?

Varje anrop till autentiseringssystemet kan avbrytas om någon komponent i anropet misslyckas. När autentiseringen avbryts kommer användarna inte åt sina program på grund av de underliggande komponentfelen. Därför är det viktigt för din motståndskraft att minska antalet autentiseringsanrop och antalet beroenden i dessa anrop. Programutvecklare kan kontrollera hur ofta token begärs. Du kan till exempel arbeta med dina utvecklare för att se till att de använder hanterade identiteter för Azure-resurser för sina program där det är möjligt.

I ett tokenbaserat autentiseringssystem som Microsoft Entra-ID måste en användares program (klient) hämta en säkerhetstoken från identitetssystemet innan det kan komma åt ett program eller en annan resurs. Under giltighetsperioden kan en klient presentera samma token flera gånger för att få åtkomst till programmet.

När token som visas för programmet upphör att gälla avvisar programmet token och klienten måste hämta en ny token från Microsoft Entra-ID. För att hämta en ny token krävs eventuellt användarinteraktion, till exempel uppmaningar om autentiseringsuppgifter eller uppfylla andra krav i autentiseringssystemet. Att minska frekvensen för autentiseringsanrop med token med längre livslängd minskar onödiga interaktioner. Du måste dock balansera tokens livslängd med den risk som skapas av färre principutvärderingar. Mer information om hur du hanterar tokenlivslängder finns i den här artikeln om hur du optimerar omautentiseringsprompter.

Sätt att öka motståndskraften

Följande diagram visar sex konkreta sätt att öka motståndskraften. Varje metod förklaras i detalj i artiklarna som är länkade i följande nästa steg-del av den här artikeln.

Nästa steg

Motståndskraftsresurser för administratörer och arkitekter

• Skapa motståndskraft med hantering av autentiseringsuppgifter
• Skapa motståndskraft med enhetstillstånd
• Skapa motståndskraft med hjälp av kontinuerlig åtkomstutvärdering (CAE)
• Skapa motståndskraft vid extern användarautentisering
• Skapa motståndskraft i din hybridautentisering
• Skapa motståndskraft i programåtkomst med Programproxy

Motståndskraftsresurser för utvecklare

• Skapa IAM-motståndskraft i dina program
• Skapa motståndskraft i dina CIAM-system