Design de arquitetura de identidade

As arquiteturas de IAM (Identity and access management, gerenciamento de identidade e acesso) fornecem estruturas para proteger dados e recursos. As redes internas estabelecem limites de segurança em sistemas locais. Em ambientes de nuvem, redes de perímetro e firewalls não são suficientes para gerenciar o acesso aos aplicativos e aos dados. Em vez disso, os sistemas de nuvem pública dependem de soluções de identidade para segurança de limite.

Uma solução de identidade controla o acesso aos aplicativos e aos dados de uma organização. Os usuários, os dispositivos e os aplicativos têm identidades. Os componentes de IAM dão suporte à autenticação e à autorização dessas e de outras identidades. O processo de autenticação controla quem ou o que usa uma conta. A autorização controla o que esse usuário pode fazer nos aplicativos.

Se você está apenas começando a avaliar as soluções de identidade ou procurando expandir sua implementação atual, o Azure oferece muitas opções. Um exemplo é o Microsoft Entra ID, um serviço em nuvem que fornece recursos de gerenciamento de identidade e controle de acesso. Para decidir qual solução será usada, comece aprendendo mais sobre esse serviço e outros componentes, ferramentas e arquiteturas de referência do Azure.

Introdução à identidade no Azure

Se você não tiver experiência em IAM, o melhor lugar para começar é o Microsoft Learn. Essa plataforma online gratuita oferece vídeos, tutoriais e treinamento prático para vários produtos e serviços.

Os recursos a seguir podem ajudá-lo a aprender os principais conceitos de IAM.

Roteiros de aprendizagem

• Conceitos básicos de segurança, conformidade e identidade da Microsoft: descrever as funcionalidades das soluções de Gerenciamento de Identidades e Acesso da Microsoft
• Implementar a identidade da Microsoft – Associado
• SC-300: Implementar uma solução de gerenciamento de identidades
• MS-500 parte 1 – Implementar e gerenciar a identidade e o acesso

Módulos

• Descrever os conceitos de identidade
• Explorar a plataforma de identidade da Microsoft

Caminho de produção

Depois de ter abordado os fundamentos do gerenciamento de identidade, a próxima etapa é desenvolver sua solução.

Criar

Para explorar opções de soluções de identidade, consulte estes recursos:

• Para obter uma comparação de três serviços que fornecem acesso a uma identidade central, consulte Comparar serviços de domínio do Active Directory autogerenciados, do Microsoft Entra ID e serviços de domínio do Microsoft Entra gerenciados.

• Para saber como tornar o IAM resiliente, consulte Gerenciamento resiliente de identidade e de acesso com o Microsoft Entra ID.

• Para comparar opções para reduzir a latência ao integrar-se com uma rede do Azure, consulte Integrar o AD local ao Azure.

• Para obter informações sobre como associar ofertas de cobrança a um locatário do Microsoft Entra, consulte Ofertas de cobrança do Azure e locatários do Active Directory.

• Para avaliar as opções de uma base de identidade e de acesso, consulte Área de design de gerenciamento de acesso e de identidade do Azure.

• Para explorar maneiras de organizar recursos implantados na nuvem, consulte Organização de recursos.

• Para obter uma comparação de várias opções de autenticação, consulte Escolher o método de autenticação correto para sua solução de identidade híbrida do Microsoft Entra.

• Para obter uma solução de identidade híbrida abrangente, consulte Como o Microsoft Entra ID fornece gerenciamento controlado pela nuvem para cargas de trabalho locais.

• Para saber como o Microsoft Entra Connect integra diretórios locais com o Microsoft Entra ID, consulte O que é o Microsoft Entra Connect?.

Implementação

Quando você decide por uma abordagem, a implementação vem em seguida. Para obter recomendações de implantação, consulte estes recursos:

• Para obter uma série de artigos e exemplos de código para uma solução com vários locatários, consulte Gerenciamento de identidade em aplicativos com vários locatários.

• Para obter informações sobre como implantar o Microsoft Entra ID, consulte estes recursos:

  • Guia de implantação de recursos do Microsoft Entra
  • Planos de implantação do Microsoft Entra
  • Planos de implantação do Azure Active Directory B2C

• Para saber como usar o Microsoft Entra ID para proteger um aplicativo de página única, consulte os tutoriais em Registrar um aplicativo de página única com a plataforma de identidade da Microsoft.

Práticas recomendadas

• Com recursos como automação, autoatendimento e logon único, o Microsoft Entra ID pode aumentar a produtividade. Para obter informações gerais sobre como se beneficiar desse serviço, consulte Quatro etapas para uma base de identidade sólida com o Microsoft Entra ID.

• Para verificar se sua implementação do Microsoft Entra está alinhada com o Azure Security Benchmark versão 2.0, consulte Linha de base de segurança do Azure para o Microsoft Entra ID.

• Algumas soluções usam pontos de extremidade privados em locatários para se conectar aos serviços do Azure. Para ver diretrizes para problemas de segurança relacionados a pontos de extremidade privados, consulte Limitar conexões de ponto de extremidade privado entre locatários no Azure.

• Para obter recomendações para os seguintes cenários, consulte Integrar domínios do AD local com o Microsoft Entra ID:

  • Dar aos usuários remotos da sua organização acesso aos seus aplicativos Web do Azure
  • Implementar recursos de autoatendimento para usuários finais
  • Usar uma rede local e uma rede virtual não conectadas por um túnel de uma VPN (virtual private network, rede privada virtual) nem pelo circuito ExpressRoute

• Para obter informações e diretrizes gerais sobre como migrar aplicativos para o Microsoft Entra ID, consulte estes artigos:

  • Mover a autenticação do aplicativo para Microsoft Entra ID
  • A autenticação do aplicativo para o Microsoft Entra ID
  • Revisar o relatório de atividade do aplicativo
  • Recursos para migrar aplicativos para a ID do Microsoft Entra

Pacote de implementações de linha de base

Essas arquiteturas de referência fornecem implementações de linha de base para vários cenários:

• Criar uma floresta de recursos do AD DS no Microsoft Azure
• Implantar o AD DS em uma rede virtual do Azure
• Estender o AD FS local para o Azure

Mantenha-se atualizado sobre a identidade

O Microsoft Entra ID recebe melhorias continuamente.

• Para ficar por dentro dos desenvolvimentos recentes, consulte O que há de novo no Microsoft Entra ID?.
• Para obter um roteiro mostrando os novos recursos e serviços principais, consulte Atualizações do Azure.

Recursos adicionais

Os recursos a seguir fornecem recomendações práticas e informações para cenários específicos.

Microsoft Entra ID em ambientes educacionais

• Introdução aos locatários do Microsoft Entra
• Projetar uma arquitetura com vários locatários para grandes instituições
• Criar uma configuração de locatário
• Criar estratégias de autenticação e de credenciais
• Criar uma estratégia de conta
• Criar a governança de identidade
• Diretrizes atualizadas para a implantação do Microsoft 365 EDU durante a COVID-19

Informações para profissionais da Amazon Web Services (AWS) e do Google Cloud

• Segurança e identidade multinuvem com o Azure e o AWS (Amazon Web Services)
• Gerenciamento de identidade e acesso do Microsoft Entra para AWS
• Comparação entre os serviços do Google Cloud e do Azure – Segurança e identidade