Systém záložního ověřování Microsoft Entra ID

Organizace po celém světě závisí na vysoké dostupnosti ověřování Microsoft Entra pro uživatele a služby 24 hodin denně, sedm dní v týdnu. Slibujeme 99,99% dostupnost na úrovni služby pro ověřování a neustále se snažíme zlepšit tím, že zvýšíme odolnost naší ověřovací služby. Kvůli dalšímu zlepšení odolnosti během výpadků jsme implementovali záložní systém v roce 2021.

Systém ověřování zálohování Microsoft Entra se skládá z několika zálohovaných služeb, které spolupracují na zvýšení odolnosti ověřování, pokud dojde k výpadku. Tento systém transparentně a automaticky zpracovává ověřování pro podporované aplikace a služby, pokud primární služba Microsoft Entra není k dispozici nebo je degradovaná. Přidá další vrstvu odolnosti nad několika úrovněmi stávající redundance. Tato odolnost je popsána v blogovém příspěvku Zlepšení odolnosti služeb v Microsoft Entra ID s jeho zálohovací ověřovací službou. Tento systém synchronizuje metadata ověřování, když je systém zdravý, a používá je, aby uživatelé mohli nadále přistupovat k aplikacím během výpadků primární služby, zatímco systém nadále vynucuje řízení zásad.

Během výpadku primární služby můžou uživatelé dál pracovat se svými aplikacemi, pokud k nim během posledních tří dnů přistupovali ze stejného zařízení a neexistují žádné blokující zásady, které by omezily jejich přístup:

Kromě aplikací Microsoftu podporujeme:

• Nativní e-mailové klienty v iOSu a Androidu
• Aplikace Typu Software jako služba (SaaS) dostupné v galerii aplikací, jako jsou ADP, Atlassian, AWS, GoToMeeting, Kronos, Marketo, SAP, Trello, Workday a další.
• Vybrané obchodní aplikace založené na vzorech ověřování

Ověřování mezi službami, které závisí na spravovaných identitách pro prostředky Azure, nebo které využívají služeb Azure, jako jsou virtuální počítače, cloudové úložiště, služby Azure AI a App Service, získává zvýšenou odolnost od systému pro záložní ověřování.

Microsoft neustále rozšiřuje počet podporovaných scénářů.

Které úlohy jiné společnosti než Microsoft jsou podporované?

Systém ověřování záloh automaticky poskytuje přírůstkovou odolnost vůči desítkám tisíc podporovaných aplikací jiných společností než Microsoft na základě jejich vzorů ověřování. V dodatku najdete seznam nejběžnějších aplikací, které nejsou od Microsoftu, a jejich stav pokrytí. Podrobné vysvětlení podporovaných vzorů ověřování najdete v článku Principy podpory aplikací pro systém ověřování zálohování.

• Nativní aplikace používající protokol Open Authorization (OAuth) 2.0 pro přístup k aplikacím zdrojů, jako jsou oblíbené e-mailové klienty a chatové aplikace jiných společností než Microsoft, jako jsou Apple Mail, Aqua Mail, Gmail, Samsung Email a Spark.
• Obchodní webové aplikace nakonfigurované pro ověřování pomocí OpenID Connect s využitím pouze tokenů ID.
• Webové aplikace ověřující pomocí protokolu SAML (Security Assertion Markup Language) při konfiguraci jednotného přihlašování iniciovaného protokolem IDP, jako jsou ADP, Atlassian Cloud, AWS, GoToMeeting, Kronos, Marketo, Palo Alto Networks, SAP Cloud Identity Services, Trello, Workday a Zscaler.

Typy aplikací jiných společností než Microsoft, které nejsou chráněné

V současné době se nepodporují následující vzory autentizace:

• Webové aplikace, které se ověřují pomocí OpenID Connect a požadují přístupové tokeny
• Webové aplikace, které k ověřování používají protokol SAML, pokud jsou nakonfigurované jako SSO iniciované poskytovatelem služby.

Co umožňuje, aby byl uživatel podporován systémem záložního ověřování?

Během výpadku se uživatel může ověřit pomocí systému ověřování zálohování, pokud jsou splněny následující podmínky:

1. Uživatel se během posledních tří dnů úspěšně ověřil pomocí stejné aplikace a zařízení.
2. Uživatel není vyžadován pro interaktivní ověřování.
3. Uživatel přistupuje k prostředku jako člen svého domovského tenanta a nevyužívá scénář B2B nebo B2C.
4. Na uživatele se nevztahují zásady podmíněného přístupu, které omezují systém ověřování zálohování, jako je zakázání výchozích hodnot odolnosti.
5. Od posledního úspěšného ověření nebyl uživatel vystaven události zrušení, například změně přihlašovacích údajů.

Jaký vliv má interaktivní ověřování a aktivita uživatelů na odolnost?

Systém záložního ověřování spoléhá na metadata z předchozího ověření k tomu, aby znovu ověřil uživatele během výpadku. Z tohoto důvodu musí být uživatel během posledních tří dnů ověřen pomocí stejné aplikace na stejném zařízení, aby služba zálohování byla efektivní. Uživatelé, kteří jsou neaktivní nebo se neověřili v dané aplikaci, nemohou pro danou aplikaci používat záložní autentizační systém.

Jak zásady podmíněného přístupu ovlivňují odolnost?

Některé zásady se nedají vyhodnotit v reálném čase systémem ověřování zálohování a musí se spoléhat na předchozí vyhodnocení těchto zásad. Za podmínek výpadku služba ve výchozím nastavení používá předchozí vyhodnocení k maximalizaci odolnosti. Například přístup, který je podmíněný pro uživatele, který má určitou roli (například správce aplikace), pokračuje během výpadku na základě role, kterou měl uživatel během tohoto nejnovějšího ověřování. Pokud je třeba omezit použití předchozího hodnocení pouze na dobu výpadku, mohou správci nájemníka zvolit přísné hodnocení všech zásad Podmíněného Přístupu, dokonce i během výpadků, zakázáním výchozího nastavení odolnosti. Toto rozhodnutí by mělo být pečlivě přijato, protože zakázání výchozích hodnot odolnosti pro danou zásadu zakáže uživatelům používat ověřování zálohování. Výchozí nastavení odolnosti musí být znovu povoleno, než dojde k výpadku, aby systém zálohování zajistil odolnost.

Některé jiné typy zásad nepodporují použití systému ověřování zálohování. Použití následujících zásad snižuje odolnost:

• Použití prvku pro řízení frekvence přihlašování jako součásti zásad podmíněného přístupu.
• Použití zásad metod ověřování.
• Použití klasických zásad podmíněného přístupu

Odolnost identifikátorů pracovního zatížení v systému záložního ověřování

Kromě ověřování uživatelů zajišťuje systém ověřování záloh odolnost spravovaných identit a další klíč infrastruktury Azure tím, že nabízí geograficky izolovanou ověřovací službu, která je redundantně vrstvená s primární ověřovací službou. Tento systém umožňuje ověřování infrastruktury v rámci oblasti Azure, aby bylo odolné vůči problémům, ke kterým může dojít v jiné oblasti nebo ve větší službě Microsoft Entra. Tento systém doplňuje architekturu Azure mezi oblastmi. Vytváření vlastních aplikací s využitím MI a dodržování osvědčených postupů Azure pro odolnost a dostupnost zajišťuje vysokou odolnost vašich aplikací. Kromě MI tento regionálně odolný systém zálohování chrání klíčovou infrastrukturu a služby Azure, které udržují cloud funkční.

Shrnutí podpory ověřování infrastruktury

• Vaše služby založené na infrastruktuře Azure využívající spravované identity jsou chráněné systémem ověřování záloh.
• Služby Azure, které se vzájemně ověřují, jsou chráněné systémem ověřování záloh.
• Vaše služby postavené na Azure či mimo něj, pokud jsou identity registrovány jako aplikační identitky a nikoliv jako spravované identity, nejsou chráněny systémem pro záložní ověřování.

Cloudová prostředí, která podporují systém ověřování zálohování

Systém ověřování zálohování je podporován ve všech cloudových prostředích s výjimkou Microsoft Azure provozovaný společností 21Vianet. Typy identit podporovaných v cloudu se liší a mají samostatné koncové body ověřování, jak je popsáno v následující tabulce.

Dodatek

Oblíbené nativní klientské aplikace jiných než Microsoftu a aplikace v galerii aplikací

Prostředky Azure a jejich stav

Další kroky

• Požadavky na aplikaci pro systém ověřování záloh
• Úvod do systému ověřování zálohování
• Výchozí nastavení spolehlivosti pro podmíněný přístup
• Výkonnostní zprávy týkající se smlouvy o úrovni služeb (SLA) Microsoft Entra