在您的身分識別與存取管理基礎結構中打造復原能力
Microsoft Entra ID 是全域雲端身分識別與存取管理系統,可為貴組織的資源提供驗證和授權等重要服務。 本文提供指引,讓您能夠針對依賴 Microsoft Entra ID 的資源,了解、包含並降低驗證或授權服務中斷的風險。
此文件組的目標對象
- 身分識別結構設計師
- 識別服務擁有者
- 身分識別作業小組
另請參閱適用於應用程式開發人員和 Azure AD B2C 系統的文件。
什麼是復原能力?
在您的身分識別基礎結構內容中,復原能力是忍受服務 (例如驗證和授權) 中斷或其他元件失敗的能力,其對您的業務、使用者和作業的影響最低或沒有影響。 中斷的影響可能很嚴重,而且需要用心規劃復原能力。
為什麼要擔心中斷?
如果呼叫的任何元件都失敗,則每次呼叫驗證系統都會受到中斷影響。 當驗證中斷時,因為基礎元件失敗,您的使用者將無法存取其應用程式。 因此,減少驗證呼叫數量以及那些呼叫中的相依性數量,對您的復原能力很重要。 應用程式開發人員可以對權杖的要求頻率進行一些控制。 例如,與開發人員合作,以確保他們會盡可能針對其應用程式使用 Azure 資源受控識別。
在 Microsoft Entra ID 之類的權杖型驗證系統中,使用者的應用程式 (用戶端) 必須先從身分識別系統中取得安全性權杖,然後才能存取應用程式或其他資源。 在有效期間內,用戶端可以多次出示相同權杖來存取應用程式。
若出示給應用程式的權杖已到期,應用程式就會拒絕該權杖,而用戶端必須從 Microsoft Entra ID 取得新權杖。 取得新權杖可能需要使用者互動,例如認證提示或符合驗證系統的其他需求。 使用存留期更長的權杖來減少驗證呼叫的頻率,可減少不必要的互動。 不過,您必須在權杖存留期與因較少原則評估而產生的風險之間取得平衡。 如需管理權杖存留期的詳細資訊,請參閱這篇有關將重新驗證提示最佳化的文章。
提高復原能力的方式
下圖顯示六個可用來提高復原能力的具體方式。 本文的以下「後續步驟」部分中所連結的文章將會詳細說明每個方法。
下一步
適用於管理員和結構設計師的彈性資源
- 使用認證管理打造恢復功能
- 使用裝置狀態打造復原能力
- 使用持續性存取評估 (CAE) 來打造復原能力
- 在外部使用者驗證中打造復原能力
- 在混合式驗證中打造復原能力
- 使用應用程式 Proxy 來打造應用程式存取的復原能力