在混合体系结构中构建复原能力
混合身份验证允许用户使用其在本地管理的标识来访问基于云的资源。 混合基础结构包括云组件和本地组件。
- 云组件包括 Microsoft Entra ID、Azure 资源和服务、组织的基于云的应用和 SaaS 应用程序。
- 本地组件包括本地应用程序、资源(例如 SQL 数据库)和标识提供者(例如 Windows Server Active Directory)。
重要
规划混合基础结构的复原能力时,关键是要尽量减少依赖项和单一故障点。
Microsoft 提供三种混合身份验证机制。 这些选项按复原能力顺序列出。 建议尽可能实现密码哈希同步。
- 密码哈希同步 (PHS) 使用 Microsoft Entra Connect 将标识和密码的哈希同步到 Microsoft Entra ID。 它使用户能够使用在本地管理的密码登录到基于云的资源。 PHS 具有本地依赖项,仅用于同步,不用于身份验证。
- 直通份验证 (PTA) 可将用户重定向到 Microsoft Entra ID 进行登录。 然后,通过部署在企业网络中的代理,根据本地 Active Directory 来验证用户名和密码。 PTA 在本地占用了驻留在本地服务器上的 Microsoft Entra PTA 代理。
- 联合身份验证客户部署联合身份验证服务,例如 Active Directory 联合身份验证服务 (ADFS)。 Microsoft Entra ID 验证联合身份验证服务生成的 SAML 断言。 联合身份验证对本地基础结构的依赖性最高,因此故障点更多。
你可能会在组织中使用这些方法中的一种或多种。 有关详细信息,请参阅为 Microsoft Entra 混合标识解决方案选择正确的身份验证方法。 本文包含一个决策树,可帮助你决定如何选择这些方法。
密码哈希同步
Microsoft Entra ID 的最简单、最灵活的混合身份验证方式是密码哈希同步。 处理身份验证请求时,它没有任何本地标识基础结构依赖项。 在将具有密码哈希的标识同步到 Microsoft Entra ID 后,用户即可不依赖本地标识组件,向云资源进行身份验证。
如果选择此身份验证选项,当本地标识组件不可用时,不会出现中断。 发生本地中断的原因有很多,包括硬件故障、电源中断、自然灾害和恶意软件攻击。
如何实现 PHS?
若要实现 PHS,请参阅以下资源:
如果你的某些要求导致你不能使用 PHS,则可以使用直通身份验证。
直通身份验证
直通身份验证依赖于位于服务器上本地的身份验证代理。 持久性连接(或称为服务总线)存在于 Microsoft Entra ID 与本地 PTA 代理之间。 防火墙、承载身份验证代理的服务器以及本地 Windows Server Active Directory(或其他标识提供者)都是潜在的故障点。
如何实现 PTA?
为了实现直通身份验证,请参阅以下资源。
如果使用的是 PTA,请定义一个高度可用的拓扑。
联合
联合身份验证涉及在 Microsoft Entra ID 与联合身份验证服务之间创建信任关系,其中包括终结点、令牌签名证书和其他元数据的交换。 请求进入 Microsoft Entra ID 时,它会读取配置,并将用户重定向到配置的终结点。 此时,用户将与联合身份验证服务进行交互,后者会发出由 Microsoft Entra ID 验证的 SAML 断言。
下图显示了企业 AD FS 部署的拓扑,该部署包含跨多个本地数据中心的冗余联合身份验证和 Web 应用程序代理服务器。 此配置依赖于企业网络基础结构组件,例如 DNS、具有地理关联功能的网络负载均衡和防火墙。 所有本地组件和连接都容易出现故障。 有关详细信息,请访问 AD FS 产能规划文档。
注意
联合身份验证的本地依赖项最多,因此潜在的故障点也最多。 虽然此图显示的是 AD FS,但其他本地标识提供者可能会根据类似的设计注意事项来实现高可用性、可伸缩性和故障转移。
如何实现联合身份验证?
如果要实现联合身份验证策略,或者想使其更易复原,请参阅以下资源。
- 什么是联合身份验证
- 联合身份验证的工作原理
- Microsoft Entra 联合身份验证兼容性一览
- 遵循 AD FS 产能规划文档
- 在 Azure IaaS 中部署 AD FS
- 同时启用 PHS 和联合