Zajištění odolnosti v hybridní architektuře

Hybridní ověřování umožňuje uživatelům přistupovat ke cloudovým prostředkům pomocí místních identit. Hybridní infrastruktura zahrnuje cloudové i místní komponenty.

• Mezi cloudové komponenty patří Microsoft Entra ID, prostředky a služby Azure, cloudové aplikace vaší organizace a aplikace SaaS.
• Místní komponenty zahrnují místní aplikace, prostředky, jako jsou databáze SQL, a zprostředkovatele identity, jako je Windows Server Active Directory.

Důležité

Při plánování odolnosti v hybridní infrastruktuře je klíčem k minimalizaci závislostí a kritických bodů selhání.

Microsoft nabízí tři mechanismy hybridního ověřování. Možnosti jsou uvedené v pořadí odolnosti. Pokud je to možné, doporučujeme implementovat synchronizaci hodnot hash hesel.

• Synchronizace hodnot hash hesel (PHS) používá microsoft Entra Připojení k synchronizaci identity a hodnoty hash hesla do Microsoft Entra ID. Umožňuje uživatelům přihlásit se ke cloudovým prostředkům pomocí místního hesla. PhS má místní závislosti jenom pro synchronizaci, ne pro ověřování.
• Předávací ověřování (PTA) přesměruje uživatele na MICROSOFT Entra ID pro přihlášení. Potom se uživatelské jméno a heslo ověří v místní službě Active Directory prostřednictvím agenta, který je nasazený v podnikové síti. PTA má místní nároky na agenty Microsoft Entra PTA, kteří se nacházejí na místních serverech.
• Federační zákazníci nasazují federační službu, jako je Active Directory Federation Services (AD FS) (ADFS). Potom Microsoft Entra ID ověří kontrolní výraz SAML vytvořený federační službou. Federace má nejvyšší závislost na místní infrastruktuře a proto více bodů selhání.

Ve vaší organizaci možná používáte jednu nebo více těchto metod. Další informace naleznete v tématu Volba správné metody ověřování pro vaše řešení hybridní identity Microsoft Entra. Tento článek obsahuje rozhodovací strom, který vám pomůže rozhodnout se o vaší metodologii.

Synchronizace hodnot hash hesel

Nejjednodušší a nejodolnější možností hybridního ověřování pro Microsoft Entra ID je synchronizace hodnot hash hesel. Při zpracování žádostí o ověření nemá žádnou závislost místní infrastruktury identit. Jakmile se identity s hodnotami hash hesel synchronizují s ID Microsoft Entra, můžou se uživatelé ověřit v cloudových prostředcích bez závislosti na místních komponentách identity.

Pokud zvolíte tuto možnost ověřování, při nedostupnosti místních komponent identit nedojde k přerušení. K místnímu přerušení může dojít z mnoha důvodů, včetně selhání hardwaru, výpadků napájení, přírodních katastrof a malwarových útoků.

Návody implementovat phS?

Pokud chcete implementovat phS, projděte si následující zdroje informací:

• Implementace synchronizace hodnot hash hesel s microsoft entra Připojení
• Povolení synchronizace hodnoty hash hesel

Pokud jsou vaše požadavky takové, že nemůžete použít phS, použijte předávací ověřování.

Předávací ověřování

Předávací ověřování má závislost na ověřovacích agentech, kteří se nacházejí místně na serverech. Mezi ID Microsoft Entra a místními agenty PTA se nachází trvalé připojení nebo sběrnice Service Bus. Brána firewall, servery hostující agenty ověřování a místní služba Windows Server Active Directory (nebo jiný zprostředkovatel identity) jsou všechny potenciální body selhání.

Návody implementovat PTA?

Pokud chcete implementovat předávací ověřování, projděte si následující zdroje informací.

• Jak funguje předávací ověřování

• Podrobné informace o zabezpečení předávacího ověřování

• Instalace předávacího ověřování Microsoft Entra

• Pokud používáte PTA, definujte topologii s vysokou dostupností.

Federace

Federace zahrnuje vytvoření vztahu důvěryhodnosti mezi ID Microsoft Entra a federační službou, která zahrnuje výměnu koncových bodů, podpisových certifikátů tokenů a dalších metadat. Když přijde požadavek na ID Microsoft Entra, přečte konfiguraci a přesměruje uživatele na nakonfigurované koncové body. V tomto okamžiku uživatel komunikuje s federační službou, která vydává kontrolní výraz SAML, který je ověřen pomocí Microsoft Entra ID.

Následující diagram znázorňuje topologii podnikového nasazení služby AD FS, která zahrnuje redundantní federační a proxy servery webových aplikací napříč několika místními datovými centry. Tato konfigurace závisí na komponentách podnikové síťové infrastruktury, jako je DNS, vyrovnávání zatížení sítě s funkcemi geografického spřažení a bran firewall. Všechny místní komponenty a připojení jsou náchylné k selhání. Další informace najdete v dokumentaci k plánování kapacity služby AD FS.

Poznámka:

Federace má nejvyšší počet místních závislostí, a proto největší potenciální body selhání. I když tento diagram znázorňuje službu AD FS, další místní zprostředkovatelé identit podléhají podobným aspektům návrhu, aby bylo dosaženo vysoké dostupnosti, škálovatelnosti a převzetí služeb při selhání.

Návody implementovat federaci?

Pokud implementujete strategii federovaného ověřování nebo chcete, aby byla odolnější, prohlédni si následující zdroje informací.

• Co je federované ověřování
• Jak funguje federace
• Seznam kompatibility federace Microsoft Entra
• Postupujte podle dokumentace k plánování kapacity služby AD FS.
• Nasazení služby AD FS v Azure IaaS
• Povolení PHS spolu s federací

Další kroky

Prostředky odolnosti pro správce a architekty

• Sestavení odolnosti pomocí správy přihlašovacích údajů
• Sestavení odolnosti se stavy zařízení
• Zajištění odolnosti pomocí průběžného vyhodnocování přístupu (CAE)
• Sestavení odolnosti při ověřování externích uživatelů
• Zajištění odolnosti v přístupu k aplikacím pomocí proxy aplikací

Prostředky odolnosti pro vývojáře

• Sestavování odolnosti IAM ve vašich aplikacích
• Zajištění odolnosti v systémech CIAM