Creare resilienza nell'architettura ibrida
L'autenticazione ibrida consente agli utenti di accedere alle risorse basate sul cloud con le identità gestite in locale. Un'infrastruttura ibrida include componenti cloud e locali.
- I componenti cloud includono Microsoft Entra ID, risorse e servizi di Azure, app basate sul cloud dell'organizzazione e applicazioni SaaS.
- I componenti locali includono applicazioni locali, risorse come i database SQL e un provider di identità come Windows Server Active Directory.
Importante
Durante la pianificazione della resilienza nell'infrastruttura ibrida, è fondamentale ridurre al minimo le dipendenze e i singoli punti di errore.
Microsoft offre tre meccanismi per l'autenticazione ibrida. Le opzioni sono elencate in ordine di resilienza. Se possibile, è consigliabile implementare la sincronizzazione dell'hash delle password.
- La sincronizzazione dell'hash delle password usa Microsoft Entra Connessione per sincronizzare l'identità e un hash-of-the-hash della password con Microsoft Entra ID. Consente agli utenti di accedere alle risorse basate sul cloud con la password mastered in locale. PHS ha dipendenze locali solo per la sincronizzazione, non per l'autenticazione.
- L'autenticazione pass-through reindirizza gli utenti a Microsoft Entra ID per l'accesso. Il nome utente e la password vengono quindi convalidati in Active Directory in locale tramite un agente distribuito nella rete aziendale. PTA ha un footprint locale degli agenti PTA Di Microsoft Entra che risiedono nei server locali.
- I clienti della federazione distribuiscono un servizio federativo, ad esempio Active Directory Federation Services (ADFS). Quindi, Microsoft Entra ID convalida l'asserzione SAML prodotta dal servizio federativo. La federazione ha la dipendenza più elevata dall'infrastruttura locale e, pertanto, più punti di errore.
È possibile usare uno o più di questi metodi nell'organizzazione. Per altre informazioni, vedere Scegliere il metodo di autenticazione corretto per la soluzione di gestione delle identità ibrida di Microsoft Entra. Questo articolo contiene un albero delle decisioni che consente di decidere la metodologia.
Sincronizzazione dell'hash delle password
L'opzione di autenticazione ibrida più semplice e resiliente per Microsoft Entra ID è la sincronizzazione dell'hash delle password. Non ha alcuna dipendenza dell'infrastruttura di identità locale durante l'elaborazione delle richieste di autenticazione. Dopo che le identità con hash delle password vengono sincronizzate con Microsoft Entra ID, gli utenti possono eseguire l'autenticazione alle risorse cloud senza dipendenze dai componenti di identità locali.
Se si sceglie questa opzione di autenticazione, non si verificano interruzioni quando i componenti di identità locali non sono più disponibili. L'interruzione locale può verificarsi per molti motivi, tra cui errori hardware, interruzioni dell'alimentazione, calamità naturali e attacchi malware.
Ricerca per categorie implementare PHS?
Per implementare phs, vedere le risorse seguenti:
- Implementare la sincronizzazione dell'hash delle password con Microsoft Entra Connessione
- Abilitare la sincronizzazione dell'hash delle password
Se i requisiti sono tali che non è possibile usare PHS, usare l'autenticazione pass-through.
Autenticazione pass-through
L'autenticazione pass-through ha una dipendenza da agenti di autenticazione che risiedono in locale nei server. Una connessione permanente, o un bus di servizio, è presente tra microsoft Entra ID e gli agenti PTA locali. Il firewall, i server che ospitano gli agenti di autenticazione e Windows Server Active Directory locale (o altri provider di identità) sono tutti potenziali punti di errore.
Ricerca per categorie implementare il PTA?
Per implementare l'autenticazione pass-through, vedere le risorse seguenti.
Approfondimento di sicurezza sull'autenticazione pass-through
Se si usa il PTA, definire una topologia a disponibilità elevata.
Federazione
La federazione prevede la creazione di una relazione di trust tra Microsoft Entra ID e il servizio federativo, che include lo scambio di endpoint, certificati di firma dei token e altri metadati. Quando una richiesta arriva a Microsoft Entra ID, legge la configurazione e reindirizza l'utente agli endpoint configurati. A questo punto, l'utente interagisce con il servizio federativo, che emette un'asserzione SAML convalidata da Microsoft Entra ID.
Il diagramma seguente illustra una topologia di una distribuzione di AD FS aziendale che include server proxy applicazione Web e federazione ridondanti in più data center locali. Questa configurazione si basa su componenti dell'infrastruttura di rete aziendale come DNS, Bilanciamento carico di rete con funzionalità di affinità geografica e firewall. Tutti i componenti e le connessioni locali sono soggetti a errori. Per altre informazioni, vedere la documentazione relativa alla pianificazione della capacità di AD FS.
Nota
La federazione ha il maggior numero di dipendenze locali e, pertanto, i punti di errore più potenziali. Anche se questo diagramma mostra AD FS, altri provider di identità locali sono soggetti a considerazioni di progettazione simili per ottenere disponibilità elevata, scalabilità e failover.
Ricerca per categorie implementare la federazione?
Se si implementa una strategia di autenticazione federata o si vuole renderla più resiliente, vedere le risorse seguenti.
- Che cos'è l'autenticazione federata
- Funzionamento della federazione
- Elenco di compatibilità della federazione di Microsoft Entra
- Seguire la documentazione relativa alla pianificazione della capacità di AD FS
- Distribuzione di AD FS in Azure IaaS
- Abilitare PHS insieme alla federazione
Passaggi successivi
Risorse di resilienza per amministratori e architetti
- Creare resilienza con la gestione delle credenziali
- Creare resilienza con gli stati del dispositivo
- Creare resilienza usando la valutazione dell'accesso continuo (CAE)
- Creare resilienza nell'autenticazione utente esterna
- Creare resilienza nell'accesso alle applicazioni con il proxy di applicazione