Designområde för identitets- och åtkomsthantering

Designområdet för identitets- och åtkomsthantering innehåller metodtips som du kan använda för att upprätta grunden för din säkra och fullständigt kompatibla offentliga molnarkitektur.

Företag kan ha komplexa och heterogena tekniska landskap, så säkerheten är kritisk. Robust identitets- och åtkomsthantering utgör grunden för modernt skydd genom att skapa en säkerhetsperimeter i ett offentligt moln. Auktoriserings- och åtkomstkontroller säkerställer att endast autentiserade användare med verifierade enheter kan komma åt och administrera program och resurser. Det säkerställer att rätt person kan komma åt rätt resurser vid rätt tidpunkt och av rätt anledning. Det ger också tillförlitlig granskningsloggning och icke-förvissning av användar- eller arbetsbelastningsidentitetsåtgärder. Du bör tillhandahålla konsekvent åtkomstkontroll för företag, inklusive användaråtkomst, kontroll- och hanteringsplan, extern åtkomst och privilegierad åtkomst, för att förbättra produktiviteten och minska risken för obehörig behörighetseskalering eller dataexfiltrering.

Azure erbjuder en omfattande uppsättning tjänster, verktyg och referensarkitekturer som hjälper din organisation att skapa mycket säkra och driftseffektiva miljöer. Det finns flera alternativ för att hantera identiteter i en molnmiljö. Varje alternativ varierar i kostnad och komplexitet. Bestäm dina molnbaserade identitetstjänster baserat på hur mycket du behöver för att integrera dem med din befintliga lokala identitetsinfrastruktur. Mer information finns i Beslutsguide för identitet.

Identitets- och åtkomsthantering i Azure-landningszoner

Identitets- och åtkomsthantering är en viktig faktor i både plattforms- och programlandningszoner. Enligt designprincipen för prenumerationsdemokratisering bör programägare ha självständighet att hantera sina egna program och resurser med minimala åtgärder från plattformsteamet. Landningszoner är en säkerhetsgräns, och identitets- och åtkomsthantering är ett sätt att styra separationen av en landningszon från en annan, tillsammans med komponenter som nätverk och Azure Policy. Använd en robust design för identitets- och åtkomsthantering för att uppnå isolering av programlandningszoner.

Plattformsteamet ansvarar för grunden för identitets- och åtkomsthantering, inklusive distribution och hantering av centraliserade katalogtjänster, till exempel Microsoft Entra ID, Microsoft Entra Domain Services och Active Directory-domän Services (AD DS). Administratörer och användare i programlandningszonen som har åtkomst till program använder dessa tjänster.

Programteamet ansvarar för identitets- och åtkomsthanteringen för sina program, inklusive att skydda användaråtkomst till program och mellan programkomponenter, till exempel Azure SQL Database, virtuella datorer och Azure Storage. I en väl implementerad arkitektur för landningszoner kan programteamet enkelt använda tjänster som plattformsteamet tillhandahåller.

Många av de grundläggande begreppen för identitets- och åtkomsthantering är desamma i både plattforms- och programlandningszoner, till exempel rollbaserad åtkomstkontroll (RBAC) och principen om minsta behörighet.

Designområdesgranskning

Funktioner: Identitets- och åtkomsthantering kräver stöd för en eller flera av följande funktioner. De roller som utför dessa funktioner kan hjälpa dig att fatta och implementera beslut.

• Molnplattformsfunktioner
• Molncenter för utmärkta funktioner
• Molnsäkerhetsteamfunktioner

Omfattning: Målet med det här designområdet är att hjälpa dig att utvärdera alternativ för din identitet och åtkomstgrund. När du utformar din identitetsstrategi bör du utföra följande uppgifter:

• Autentisera användare och arbetsbelastningsidentiteter.
• Tilldela åtkomst till resurser.
• Fastställ grundläggande krav för uppdelning av uppgifter.
• Synkronisera hybrididentiteter med Microsoft Entra-ID.

Utanför omfånget: Identitets- och åtkomsthantering utgör en grund för korrekt åtkomstkontroll, men den omfattar inte mer avancerade aspekter som:

• Den Nolltillit modellen.
• Driftshantering av utökade privilegier.
• Automatiserade skyddsräcken för att förhindra vanliga identitets- och åtkomstmisstag.

Områdena för efterlevnadsdesign för säkerhet och styrning tar upp aspekter utanför omfånget. Omfattande rekommendationer för identitets- och åtkomsthantering finns i Metodtips för azure-identitetshantering och åtkomstkontrollsäkerhet.

Översikt över designområde

Identiteten utgör grunden för en mängd olika säkerhetsgarantier. Den ger åtkomst baserat på identitetsautentisering och auktoriseringskontroller i molntjänster. Åtkomstkontroll skyddar data och resurser och hjälper till att avgöra vilka begäranden som ska tillåtas.

Identitets- och åtkomsthantering hjälper till att skydda de interna och externa gränserna för en offentlig molnmiljö. Det är grunden för alla säkra och fullständigt kompatibla offentliga molnarkitekturer.

Följande artiklar undersöker designöverväganden och rekommendationer för identitets- och åtkomsthantering i en molnmiljö:

• Hybrididentitet med Active Directory och Microsoft Entra-ID
• Identitets- och åtkomsthantering för landningszon
• Hantering av programidentitet och åtkomst

Vägledning om hur du utformar lösningar i Azure med hjälp av etablerade mönster och metoder finns i Design av identitetsarkitektur.

Dricks

Om du har flera Microsoft Entra-ID-klienter kan du läsa Azure-landningszoner och flera Microsoft Entra-klienter.

Nästa steg

Hybrididentitet med Active Directory och Microsoft Entra-ID