身分識別和存取管理 (IAM) 是程式、原則和技術架構,涵蓋身分識別的管理及其可存取的內容。 IAM 包含元件,可支援系統中使用者和其他帳戶的驗證和授權。
IAM 系統的任何元件都可能導致中斷。 IAM 復原能力是能夠承受 IAM 系統元件的中斷,並且對企業、使用者、客戶和作業的影響最小而復原。 本指南說明建置復原 IAM 系統的方法。
若要提升 IAM 復原能力:
- 假設會發生中斷,並為其進行規劃。
- 減少相依性、複雜度和單一失敗點。
- 確保完整的錯誤處理。
辨識和規劃應變措施很重要。 不過,新增更多身分識別系統及其相依性和複雜性,可能會減少,而不是增加復原能力。
開發人員可以盡可能使用 Microsoft Entra 受控識別,協助管理其應用程式中的 IAM 復原能力。 如需詳細資訊,請參閱 增加您所開發 之驗證和授權應用程式的復原能力。
規劃 IAM 解決方案的復原能力時,請考慮下列元素:
- 依賴 IAM 系統的應用程式。
- 驗證呼叫的公用基礎結構,包括:
- 電信公司。
- 網際網路服務提供者。
- 公開金鑰提供者。
- 您的雲端和內部部署身分識別提供者。
- 依賴 IAM 的其他服務,以及聯機服務的 API。
- 系統中的任何其他內部部署元件。
架構
此圖顯示數種方式可增加 IAM 復原能力。 連結的文章會詳細說明方法。
管理相依性並減少驗證呼叫
如果呼叫的任何元件失敗,每個驗證呼叫都會中斷。 因為基礎元件失敗而中斷驗證時,使用者無法存取其應用程式。 因此,減少驗證呼叫的數目,以及這些呼叫中的相依性數目對於復原至關重要。
使用長期可撤銷的權杖
在 Microsoft Entra ID 之類的權杖型驗證系統中,使用者的用戶端應用程式必須先從身分識別系統取得安全性權杖,才能存取應用程式或其他資源。 在權杖有效期間,用戶端可以多次呈現相同的權杖來存取應用程式。
如果有效期間在使用者會話期間到期,應用程式會拒絕權杖,而且用戶端必須從 Microsoft Entra ID 取得新的權杖。 取得新的權杖可能需要使用者互動,例如認證提示或其他需求。 使用較長的權杖減少驗證呼叫頻率會減少不必要的互動。 不過,您必須平衡權杖存留期與較少的原則評估所建立的風險。
- 使用長期可撤銷的權杖。
- 使用持續存取評估 (CAE) 建置復原能力。
如需管理權杖存留期的詳細資訊,請參閱 優化重新驗證提示,並瞭解 Microsoft Entra 多重要素驗證 的會話存留期。
混合式和內部部署復原能力
- 在混合式架構 中建置復原能力,以定義來自內部部署的 Active Directory或其他識別提供者 (IdP) 的復原驗證。
- 若要管理外部身分識別, 請在外部使用者驗證 中建置復原功能。
- 若要存取內部部署應用程式, 請使用 應用程式 Proxy 在應用程式存取中建置復原能力。