Identitásarchitektúra tervezése

Microsoft Entra ID

Microsoft Entra Külső ID

Az identitás- és hozzáférés-kezelési (IAM-) architektúrák keretrendszereket biztosítanak az adatok és erőforrások védelméhez. A belső hálózatok biztonsági határokat hoznak létre a helyszíni rendszerekben. Felhőkörnyezetekben a szegélyhálózatok és tűzfalak nem elegendőek az alkalmazásokhoz és adatokhoz való hozzáférés kezeléséhez. A nyilvános felhőrendszerek ehelyett identitásmegoldásokra támaszkodnak a határbiztonság érdekében.

Az identitáskezelési megoldás szabályozza a szervezeti alkalmazásokhoz és adatokhoz való hozzáférést. A felhasználók, eszközök és alkalmazások identitásokkal rendelkeznek. Az IAM-összetevők támogatják ezeknek és más identitásoknak a hitelesítését és engedélyezését. A hitelesítés folyamata szabályozza, hogy ki vagy mi használ fiókot. Az engedélyezés szabályozza, hogy a felhasználó mit tehet az alkalmazásokban.

Akár csak most kezdi kiértékelni az identitásmegoldásokat, akár a jelenlegi implementációt szeretné bővíteni, az Azure számos lehetőséget kínál. Ilyen például a Microsoft Entra ID, egy felhőalapú szolgáltatás, amely identitáskezelési és hozzáférés-vezérlési képességeket biztosít. A megoldás kiválasztásához először ismerkedjen meg ezzel a szolgáltatással és más Azure-összetevőkkel, eszközökkel és referenciaarchitektúrákkal.

Architecture diagram that shows Microsoft Entra ID in a cloud environment. Connections to apps, devices, and other components are also visible.

Bevezetés az identitás használatába az Azure-ban

Ha még nem ismerkedik az IAM szolgáltatásával, a legjobb kiindulópont a Microsoft Learn. Ez az ingyenes online platform videókat, oktatóanyagokat és gyakorlati képzéseket kínál különböző termékekhez és szolgáltatásokhoz.

Az alábbi források segítséget nyújtanak az IAM alapfogalmainak megismerésében.

Képzési tervek

Modulok

Az éles környezet elérési útja

Miután megismerte az identitáskezelés alapjait, a következő lépés a megoldás fejlesztése.

Tervezés

Az identitásmegoldások lehetőségeinek megismeréséhez tekintse meg az alábbi forrásokat:

A központi identitáshoz hozzáférést biztosító három szolgáltatás összehasonlításához tekintse meg a saját kezelésű Active Directory tartományi szolgáltatások, a Microsoft Entra-azonosító és a felügyelt Microsoft Entra Domain Services összehasonlítása című témakört.
Az IAM rugalmasságának biztosításáról a Rugalmas identitás- és hozzáférés-kezelés a Microsoft Entra ID-val című témakörben olvashat.
Az Azure-hálózattal való integráció során a késés csökkentésének lehetőségeinek összehasonlításához lásd : Helyszíni AD integrálása az Azure-ral.
A számlázási ajánlatok Microsoft Entra-bérlőkkel való társításával kapcsolatos információkért tekintse meg az Azure számlázási ajánlatait és az Active Directory-bérlőket.
Az identitás- és hozzáférés-alapbeállítások kiértékeléséhez tekintse meg az Azure identitás- és hozzáférés-kezelési tervezési területét.
A felhőben üzembe helyezhető erőforrások rendszerezésének módjait az Erőforrás-szervezet című témakörben tekintheti meg.
A különböző hitelesítési lehetőségek összehasonlításához tekintse meg a Microsoft Entra hibrid identitáskezelési megoldás megfelelő hitelesítési módszerének kiválasztása című témakört.
Átfogó hibrid identitáskezelési megoldásért tekintse meg a Microsoft Entra ID felhőalapú felügyeletét a helyszíni számítási feladatokhoz.
A Microsoft Entra Csatlakozás hogyan integrálja a helyszíni könyvtárakat a Microsoft Entra ID azonosítójával, lásd: Mi a Microsoft Entra Csatlakozás?.

Implementáció

Amikor egy megközelítés mellett döntött, a megvalósítás következik. Az üzembe helyezési javaslatokért tekintse meg az alábbi erőforrásokat:

Több-bérlős megoldásokhoz kapcsolódó cikkek és kódminták sorozatát lásd : Identitáskezelés több-bérlős alkalmazásokban.
A Microsoft Entra ID telepítésével kapcsolatos információkért tekintse meg az alábbi erőforrásokat:
Ha tudni szeretné, hogyan használhatja a Microsoft Entra ID-t egyoldalas alkalmazások védelmére, tekintse meg az egyoldalas alkalmazás regisztrálása a Microsoft Identitásplatform című oktatóanyagot.

Ajánlott eljárások

Az olyan képességek, mint az automatizálás, az önkiszolgáló és az egyszeri bejelentkezés, a Microsoft Entra ID növelheti a termelékenységet. A szolgáltatás előnyeinek kihasználásával kapcsolatos általános információkért tekintse meg a Microsoft Entra ID-val való erős identitásalapozás négy lépését.
Annak ellenőrzéséhez, hogy a Microsoft Entra-implementáció összhangban van-e az Azure Security Benchmark 2.0-s verziójával, tekintse meg a Microsoft Entra ID Azure biztonsági alapkonfigurációját.
Egyes megoldások privát végpontokat használnak a bérlőkben az Azure-szolgáltatásokhoz való csatlakozáshoz. A privát végpontokkal kapcsolatos biztonsági problémákra vonatkozó irányelvekért lásd: A bérlők közötti privát végpontkapcsolatok korlátozása az Azure-ban.
A következő forgatókönyvekre vonatkozó javaslatokért lásd : Helyszíni AD-tartományok integrálása a Microsoft Entra-azonosítóval:
- Hozzáférés biztosítása a szervezet távoli felhasználóinak az Azure-webalkalmazásokhoz
- Önkiszolgáló képességek megvalósítása végfelhasználók számára
- Helyszíni hálózat és virtuális hálózat használata, amelyet nem virtuális magánhálózati alagút vagy ExpressRoute-kapcsolatcsoport kapcsol össze
Az alkalmazások Microsoft Entra-azonosítóra való migrálásával kapcsolatos általános információkért és irányelvekért tekintse meg az alábbi cikkeket:

Alapkonfigurációk csomagja

Ezek a referenciaarchitektúrák alapkonfigurációkat biztosítanak különböző forgatókönyvekhez:

Maradjon naprakész az identitással

A Microsoft Entra ID folyamatosan kap fejlesztéseket.

A legújabb fejlesztésekről a Microsoft Entra ID újdonságai című témakörben olvashat.
Az új fő funkciókat és szolgáltatásokat bemutató ütemtervért tekintse meg az Azure-frissítéseket.

További erőforrások

Az alábbi források gyakorlati javaslatokat és információkat nyújtanak adott forgatókönyvekhez.