ID およびアクセス管理インフラストラクチャで回復性を強化するBuild resilience in your identity and access management infrastructure

Azure Active Directory は、組織のリソースに対する認証や認可などの重要なサービスを提供する、グローバル クラウドの ID およびアクセス管理システムです。Azure Active Directory is a global cloud identity and access management system that provides critical services such as authentication and authorization to your organization’s resources. このドキュメントでは、Azure Active Directory (Azure AD) に依存するリソースの認証または認可サービスが中断されるリスクを理解し、封じ込め、軽減するためのガイダンスを提供します。This document provides you with guidance to understand, contain, and mitigate the risk of disruption of authentication or authorization services for resources that rely on Azure Active Directory (Azure AD).

このドキュメント セットの設計対象The document set is designed for

  • ID アーキテクトIdentity Architects

  • ID サービスの所有者Identity Service Owners

  • ID 運用チームIdentity Operations teams

アプリケーション開発者および Azure AD B2C システムを対象としたドキュメントも参照してください。Please also see the documentation for application developers and for Azure AD B2C systems.

回復性とはWhat is resilience?

ID インフラストラクチャのコンテキストにおいて、回復性とは、ビジネス、ユーザー、および運用への影響を最小限またはゼロに抑えながら、認証や認可などのサービスの中断、または他のコンポーネントの障害に耐える能力のことです。In the context of your identity infrastructure, resilience is the ability to endure disruption to services like authentication and authorization, or failure of other components, with minimal or no impact to your business, users, and operations. 中断の影響は深刻なものになる可能性があり、回復性には入念な計画が必要です。The impact of disruption can be severe, and resilience requires diligent planning.

中断について考慮する理由Why worry about disruption?

認証システムへのすべての呼び出しは、呼び出しのいずれかのコンポーネントで障害が発生すると中断される可能性があります。Every call to the authentication system is subject to disruption if any component of the call fails. 基本コンポーネントのエラーが原因で認証が中断されると、ユーザーはアプリケーションにアクセスできなくなります。When authentication gets disrupted, because of the underlying component failures, your users will not access their applications. したがって、認証呼び出しの回数とそれらの呼び出しに含まれる依存関係の数を減らすことが、回復性にとって重要になります。Therefore, reducing the number of authentication calls and number of dependencies in those calls is important to your resilience. アプリケーション開発者は、トークンの要求頻度に対して何らかの制御をアサートできます。Application developers can assert some control over how often tokens are requested. たとえば、開発者と協力して、可能な限り、アプリケーションに Azure AD マネージド ID が使用されるようにします。For example, work with your developers to ensure they're using Azure AD Managed Identities for their applications wherever possible.

Azure AD のようなトークンベースの認証システムでは、ユーザーのアプリケーション (クライアント) は、アプリケーションやその他のリソースにアクセスする前に、ID システムからセキュリティ トークンを取得する必要があります。In a token-based authentication system like Azure AD, a user’s application (client) must acquire a security token from the identity system before it can access an application or other resource. 有効期間中、クライアントは、アプリケーションにアクセスするために、同じトークンを複数回提示できます。During the validity period, a client can present the same token multiple times to access the application.

アプリケーションに提示されたトークンの有効期限が切れると、そのトークンはアプリケーションによって拒否され、クライアントは Azure AD から新しいトークンを取得する必要があります。When the token presented to the application expires, the application rejects the token, and the client must acquire a new token from Azure AD. 新しいトークンを取得するには、資格情報のプロンプトなどのユーザー操作や、認証システムのその他の要件を満たすことが必要になる場合があります。Acquiring a new token potentially requires user interaction such as credential prompts or meeting other requirements of the authentication system. 有効期間が長いトークンを使用して認証呼び出しの頻度を減らすことで、不要なやりとりが減ります。Reducing the frequency of authentication calls with longer-lived tokens decreases unnecessary interactions. ただし、トークンの有効期間と、ポリシー評価数を減らすことで生じるリスクとのバランスを取る必要があります。However, you must balance token life with the risk created by fewer policy evaluations. トークンの有効期間の管理について詳しくは、再認証プロンプトの最適化に関するこちらの記事を参照してください。For more information on managing token lifetimes, see this article on optimizing reauthentication prompts.

回復性を向上させる方法Ways to increase resilience

次の図は、回復性を向上させるための 6 つの具体的な方法を示しています。The following diagram shows six concrete ways you can increase resilience. 各方法の詳細については、この記事の「次のステップ」部分でリンクされている記事をご覧ください。Each method is explained in detail in the articles linked in the Next steps portion of this article.

管理の回復性の概要を示す図

次の手順Next steps

管理者とアーキテクト向けの回復性に関するリソースResilience resources for administrators and architects

開発者向けの回復性に関するリソースResilience resources for developers