Megosztás a következőn keresztül:


Identitás- és hozzáférés-kezelés SaaS-számítási feladatokhoz az Azure-ban

Az alkalmazásidentitás kritikus fontosságú terület az SaaS-számítási feladatok számára, mivel az adatok védelmének első védelmi vonalaként szolgál. Ezt gyakran figyelmen kívül hagyják a projekt késői végéig, de az alkalmazás más elemeivel kapcsolatos számos döntés egy szilárd identitásstratégiától függ. Ne becsülje alá az identitás fontosságát az ügyfelek adatainak védelmében.

Az SaaS-számítási feladatok kontextusában két különböző identitástípus létezik.

  • Az alkalmazásidentitás, más néven ügyfélidentitás és hozzáférés-kezelés (CIAM) lehetővé teszi a végfelhasználók számára az SaaS-alkalmazás hitelesítését és használatát. A felhasználók alkalmazás-identitásszolgáltatóba való bejelentkezésének két fő módja van:

    • Összevont identitások. A felhasználók olyan meglévő hitelesítő adatokkal jelentkeznek be, amelyeket egy másik identitásszolgáltató tart fenn. Ez a szolgáltató lehet egy közösségi identitásszolgáltató, például a Google, a Facebook vagy a LinkedIn, vagy az ügyfelek által használt vállalati identitásszolgáltató, például a Microsoft Entra vagy az Okta. A felhasználói fiók karbantartása az összevont identitásszolgáltató feladata.

    • Helyi identitások. A felhasználók csak az alkalmazáshoz hoznak létre fiókot. A fiókot felhasználónév és jelszó, jelszó vagy más hitelesítési módszer védi. A felhasználó fiókjának karbantartása az Ön feladata.

  • A vállalati identitás az az identitásmegoldás, amellyel belső felhasználókat és számítási feladatokat hitelesíthet az üzleti hatékonyságnövelő eszközök, a belső eszközök vagy szolgáltatások és az Azure-szolgáltatások számára. Vállalati identitáskezelési megoldást használ a belső felhasználók és számítási feladatok számára az üzleti hatékonyságnövelő eszközök, a belső eszközök vagy szolgáltatások és az Azure-szolgáltatások hitelesítéséhez.

    Lásd: SE:05 Identitás- és hozzáférés-kezelés.

Az alkalmazás-identitás és a vállalati identitás közötti kapcsolatot bemutató diagram.

Az alkalmazás- és vállalati identitások különböző célokat szolgálnak, és különböző identitásszolgáltatókat is használhatnak. Ez a cikk az alkalmazásdentitás tervezési szempontjaira összpontosít, bár mindkét típus valószínűleg jelen van az SaaS számítási feladatok környezetében.

Az identitáskezelés két kapcsolódó szempontot foglal magában: a hitelesítést (a felhasználó személyazonosságának ellenőrzését) és az engedélyezést (az identitáson alapuló engedélyek megadását). A cikk első három szakasza az SaaS-hitelesítésre összpontosít. Az utolsó szakasz az SaaS-szolgáltatók engedélyezési szempontjait ismerteti.

Identitás több-bérlős alkalmazásban

A bérlői adatok elkülönítése több-bérlős alkalmazásban kritikus fontosságú. Ezt a szegmentálást a felhasználó hatékony hitelesítésének és engedélyezésének megválasztása vezérli. Emellett a bérlői modell kiválasztása jelentősen befolyásolja az identitásszolgáltatóval kapcsolatos döntéseket. Elsődleges szegélyként rangsorolja az identitást.

Tekintse meg az SE:04 szegmentálásra vonatkozó javaslatait.

Kialakítási szempontok

Megismerheti az alkalmazás bérlői és üzembehelyezési modelljeit. Lehetnek olyan árnyalatok, amelyek befolyásolják az identitásstratégiát. Tévhit például, hogy az üzembehelyezési bélyegek mintához minden egyes bélyeghez identitásszolgáltató szükséges. A legtöbb identitásszolgáltató esetében gyakran használhat alternatív elkülönítési modellt.

Ha több-bérlős identitásszolgáltatót választ, értékelje ki a hibák hatását. A helytelen konfigurációk az összes bérlő teljes alkalmazását leállíthatják. Mérje fel a többletköltségeket a lehetséges hatás sugarának kockázatával szemben.

Ha a megoldást egy ügyfél Azure-környezetében helyezi üzembe, és a nevükben kezeli, előfordulhat, hogy integrálnia kell a vállalati identitásszolgáltatójával. Tisztában van az alábbi szempontokat:

  • A felhasználók típusai és hozzáférési igényei az alkalmazás bérlőivel való interakció során. Előfordulhat például, hogy az A felhasználónak csak az 1. bérlőbe való bejelentkezéshez van szüksége, a B felhasználónak azonban hozzáférésre lehet szüksége az 1. és a 2. bérlőbe való bejelentkezéshez.
  • Az adattárolási előírásoknak való megfelelés, ha azok az identitásszolgáltatóra vonatkoznak. Bizonyos esetekben az identitásszolgáltató által tárolt adatokra szabályozás vonatkozhat. Számos identitásszolgáltató nyújt konkrét útmutatást és képességeket ehhez a forgatókönyvhöz. Mérje fel, hogy ez a forgatókönyv releváns-e Ön számára, és tegye meg a szükséges lépéseket a megfelelőség biztosítása érdekében.

Tervezési javaslatok

Ajánlás Juttatás
Kövesse az identitásszolgáltató ajánlott eljárásait és irányelveit a megoldás több bérlőhöz való particionálásához. A bérlői elkülönítés segít elérni a biztonsági és megfelelőségi célokat.
Ne használjon több fiókot ugyanahhoz a felhasználóhoz. Egy felhasználónak egyetlen fiókkal kell rendelkeznie egy hitelesítő adatokkal, még akkor is, ha több bérlőhöz kell hozzáférnie. Adjon hozzáférést az egyes bérlőknek ahelyett, hogy több fiókot hoz létre ugyanahhoz a felhasználóhoz. Több fiók létrehozása ugyanahhoz a felhasználóhoz növeli a biztonsági kockázatokat, és összezavarhatja azokat a felhasználókat, akiknek több felhasználónevet és jelszót kell megjegyeznie ugyanazon szoftverhez.
Ha figyelembe veszi az adattárolást, tervezze meg, hogyan tárolhatja a felhasználói adatokat külön helyeken. Ha más földrajzi helyeken külön üzembehelyezési bélyeget helyez üzembe a felhasználók számára, akkor szükség lehet külön identitásszolgáltatókra is.

Győződjön meg arról, hogy rendelkezik olyan módszerrel, amellyel azonosíthatja a felhasználók adatait, hogy szükség esetén a megfelelő régióba irányíthassa őket a bejelentkezéshez.
A megfelelőségi követelmények támogatásával és a felhasználói élmény növelésével a felhasználókat a tartózkodási helyüknek megfelelő bejelentkezési felületre irányíthatja.

Identitásszolgáltató kiválasztása

Minden identitásszolgáltató egyedi funkciókat, korlátozásokat, díjszabási modelleket és megvalósítási mintákat kínál. A Microsoft Entra és az Okta népszerű identitásszolgáltatásként (IDaaS) érhető el. Vannak más nyílt forráskód szolgáltatók is, például a Keycloak és az Authentik.

Kialakítási szempontok

  • Dokumentálja az identitásra vonatkozó követelményeket. Első lépésként sorolja fel azokat a funkciókat, amelyekre az alkalmazásnak szüksége van, és amelyekre a jövőben szüksége lesz. Az alábbiakat érdemes figyelembe venni:

    • Összevont identitásszolgáltatói támogatás az ügyfelek identitásmegoldásaival való integrációhoz. Ezzel a funkcióval elkerülheti az új identitások létrehozását.
    • Testre szabható bejelentkezési/regisztrációs folyamat, amely módosítja a megjelenést, és úgy érzi, hogy megtartja a márkajelzést. Ezzel a funkcióval egyéni üzleti logikát is injektálhat a bejelentkezési/regisztrációs folyamatba.
    • A bérlői adatok elkülönítése különálló silókra a bérlői elkülönítés fenntartása érdekében.
    • Naplózási támogatás a bejelentkezési naplók biztonsági felügyelethez való megőrzéséhez vagy exportálásához.

    Fontos

    Fontolja meg a felhasználók tervezett növekedését, amikor kiértékeli egy identitásmegoldás költségeit. Előfordulhat, hogy egy megoldás hosszú távon nem marad költséghatékony vagy skálázható, de egyelőre hasznos lehet. Rendelkezik egy migrálási tervvel, amelyet szükség esetén használhat.

    Egy megoldás például 500 felhasználó számára lehet megfizethető, de 5 millióért nem fenntartható. Ha minimális beállítást igényel, és felhasználóbarát és könnyen migrálható, akkor is jó választás lehet, amíg a skálázási költségek nem indokolják a váltást egy másik megoldásra.

  • Alaposan vizsgálja meg az identitásszolgáltató képességeit. Győződjön meg arról, hogy az identitásmegoldás megfelel a szükséges funkciók listájának. Még ha jelenleg nincs is szüksége olyan összetett forgatókönyvekre, mint az összevont identitás, fontolja meg a jövőbeli igényeket. A vállalatközi (B2B) SaaS-megoldások esetében valószínűleg szükség lesz az összevont identitásra.

  • A felügyeleti többletterhelés tényezője. A különböző identitásszolgáltatók különböző szintű felügyeleti többletterhelést igényelnek. A jól ismert IDaaS-megoldások általában kevesebb többletterheléssel rendelkeznek, mivel az üzemeltetést, a karbantartást és a biztonságot kezelik. Egy nyílt forráskód megoldás többletterhelése azonban érdemes lehet, ha a megoldás jobban megfelel a speciális igényeknek.

Tervezési javaslatok

Ajánlás Juttatás
Ne hozzon létre saját identitásmegoldást. Az identitás egy nagyon speciális terület, és az identitásmegoldás létrehozása összetett és költséges. Nehéz biztonságos és megbízható identitásmegoldást létrehozni. Elkerülheti a saját szolgáltató létrehozásának és a megoldás biztonságának, megbízhatóságának és működési hatékonyságának növelését.
Hozzon létre egy képességmátrixot az identitásszolgáltatók által kínált funkciókról, és megfeleltetheti az identitáskövetelményeknek. Biztosíthatja a fejlődést anélkül, hogy az identitásfunkciók korlátozott halmaza korlátozta őket.
Az IDaaS-beállításokat részesítse előnyben nyílt forráskód megoldásokkal szemben.

Az nyílt forráskód megoldás üzemeltetése jelentős üzemeltetési többletterhelést és biztonsági kockázatot jelent. Ezt a lehetőséget azonban úgy is választhatja, hogy megfeleljen a szolgáltató által nem teljesíthető megfelelőségi, adattárolási vagy megbízhatósági követelményeknek. További információ: IDaaS-identitásszolgáltatók.
IDaaS-identitásszolgáltató használatával elkerülheti a szükségtelen bonyolultságot, és az alapvető üzleti tevékenységére összpontosíthat.

Összevont identitások

Az összevont identitás, más néven egyszeri bejelentkezés (SSO) lehetővé teszi a felhasználók számára, hogy máshol már használt hitelesítő adatokkal jelentkezzenek be. Az összevont identitás engedélyezéséhez hozzon létre megbízhatósági kapcsolatot az alkalmazás-identitásszolgáltató és az ügyfél meglévő identitásszolgáltatója között. Az összevont identitás gyakori követelmény az SaaS-megoldásokhoz, különösen a B2B-ben, mivel az ügyfelek inkább az alkalmazottaikat részesítik előnyben a vállalati hitelesítő adatok használatához. Számos előnnyel jár a B2B-megoldásokhoz, például a központosított identitáskezeléshez és az automatikus életciklus-kezeléshez. A B2C SaaS-termékekben gyakori, hogy a közösségi identitásszolgáltatókkal való integráció lehetővé teszi a felhasználók számára a meglévő hitelesítő adatokkal való bejelentkezést.

Kompromisszum: Összetettség és működési hatékonyság. Az összevont identitásszolgáltatókkal való együttműködéssel kivezetheti a felhasználói identitások kezelésének összetettségét. Azonban a másik identitásszolgáltatóval való integráció költségeit is figyelembe kell vennie. Döntse el, hogy hová szeretné összpontosítani az operatív erőfeszítéseket.

Bár az összevont identitás implementálása kezdetben egyszerű, a támogatott identitásszolgáltatók számának növekedésével egyre összetettebbé válik. A gondos tervezés elengedhetetlen, különösen akkor, ha minden ügyfél egyedi identitásszolgáltatót használ. Még akkor is, ha ugyanazt az identitásszolgáltatót használják, az egyes ügyfelekhez gyakran egyedi megbízhatósági kapcsolatokra van szükség a konfiguráció részletei miatt.

Ez a kép az alkalmazás, az alkalmazás identitásszolgáltatója és az identitás-összevonással implementálandó alárendelt identitásszolgáltatók közötti kapcsolatot mutatja be.

Az egyetlen identitásszolgáltatóban megbízható alkalmazásokat ábrázoló diagram, amely több ügyfélidentitás-szolgáltatót is összevon.

Kialakítási szempontok

  • Becsülje meg a támogatni kívánt identitásszolgáltatók típusait és számát. Előfordulhat, hogy statikus számú közösségi identitásszolgáltatóra van szüksége, vagy szükség lehet egyedi összevont identitásszolgáltatókra az egyes ügyfelek számára. Tudnia kell, hogy az ügyfelek az OpenID Connect (OIDC), a Security Assertion Markup Language (SAML) nyelvet vagy mindkettőt fogják használni az integrációhoz.

  • A bejelentkezési élmény leképezése. A regisztrációs és bejelentkezési folyamat felhasználói folyamatának megjelenítése. Jegyezze fel azokat a speciális követelményeket, amelyek megváltoztathatják a felhasználói folyamat kialakítását. Példa:

    • Egyéni védjegyzés. Fehér címkézés vagy egyéni bejelentkezési tartományok ügyfélenként.

    • Egyéni adatok. További felhasználói adatok gyűjtése a regisztráció vagy a bejelentkezés során, például bérlőválasztás több bérlőhöz hozzáféréssel rendelkező felhasználók számára.

    • Identitásszolgáltató kiválasztása. Ha egyetlen olyan alkalmazás-identitásszolgáltatót használ, amelyben számos összevont identitásszolgáltató bízik meg, döntse el, hogyan válasszon ki egy szolgáltatót. Ez a kijelölés manuálisan, egy gombon keresztül vagy az ismert felhasználói adatok alapján automatikusan elvégezhető. A szolgáltatók számának növekedésével az automatikus kiválasztás gyakorlatiasabbá válik. Ezt a képességet Home Realm Discovery-nek nevezzük.

Tervezési javaslatok

Ajánlás Juttatás
Válasszon egy identitásszolgáltatót, amely méretezhető a szükséges összevont identitásszolgáltatók számának megfelelően.

Vegye figyelembe a szolgáltató szigorú korlátait, amelyeket nem lehet túllépni.
Gondoskodni fog arról, hogy az identitásmegoldás méretezhető legyen a növekedéskor.
Tervezze meg az egyes összevont identitásszolgáltatók előkészítését, és a lehető legnagyobb mértékben automatizálja a folyamatot.

A szervezet és az ügyfelek közötti együttműködés magában foglalja az információk cseréjét a megbízhatósági kapcsolat kialakításához, általában OIDC vagy SAML protokollokkal.
Az identitásintegráció időt és energiát vehet igénybe Mind Ön, mind az ügyfelek számára. A folyamat tervezésével javíthatja a működési hatékonyságot.
Az összevont identitás összetettségét és költségeit tükrözi a díjszabási és üzleti modellben.

Ha lehetővé teszi az ügyfelek számára, hogy saját identitásszolgáltatójukat használják, növelik a működési összetettségüket és a költségeket, mivel több összevont identitásmegbízhatósági kapcsolat fenntartásának többlettere van. Az SaaS-megoldásokban gyakran előfordul, hogy a vállalatok magasabb szintű fizetést biztosítanak, amely lehetővé teszi az összevont bejelentkezést.
Az ügyfél identitásszolgáltatójával való összevonás rejtett költség lehet az SaaS-megoldásokban. A tervezéssel elkerülheti a váratlan költségeket a megvalósítás során.
Tervezze meg, hogyan lesz kiválasztva egy felhasználó identitásszolgáltatója a bejelentkezési folyamat során. Fontolja meg a Home Realm Discovery használatát.

A Microsoft Entra ID beépített Home Realm Discoveryt biztosít.
Egyszerűbbé teheti az ügyfélélményt, és gondoskodhat arról, hogy a felhasználók a megfelelő bejelentkezési folyamathoz legyenek irányítva.

Engedélyezés

A felhasználói engedélyezés kulcsfontosságú az SaaS-alkalmazások esetében, amelyek gyakran több bérlő adatait tárolják. Egyértelműen megadhatja, hogy a felhasználók hogyan férhetnek hozzá csak az adataikhoz anélkül, hogy véletlenül más bérlők adataihoz férnek hozzá. Emellett részletes engedélyezést is biztosíthat egy bérlőn belül, lehetővé téve a felhasználók számára bizonyos információk olvasását vagy elérését, miközben korlátozzák a frissítéseket vagy más adatokhoz való hozzáférést.

Kialakítási szempontok

  • Válassza ki a használati esethez megfelelő engedélyezési modellt. Két fő típus létezik:

    • Szerepköralapú engedélyezés. A felhasználók szerepkörökhöz vagy csoportokhoz vannak rendelve, és bizonyos funkciók bizonyos szerepkörökre korlátozódnak. A rendszergazdák például bármilyen műveletet végrehajthatnak, más szerepkörök felhasználói azonban korlátozott engedélyekkel rendelkeznek.
    • Erőforrás-alapú engedélyezés. Minden erőforrás saját engedélykészlettel rendelkezik. Előfordulhat, hogy a felhasználó egy erőforrás rendszergazdája, de nem rendelkezik hozzáféréssel a másikhoz.
  • Döntse el, hol tárolja az engedélyezési adatokat. Az alkalmazás engedélyezési adatai a következő helyen tárolhatók:

    • Az identitásszolgáltatója. Használja ki a beépített csoportokat vagy szerepköröket, és használja ki az engedélyeket jogcímként az alkalmazásnak kibocsátott jogkivonatban. Az alkalmazás ezeket a jogkivonat-jogcímeket használva érvényesítheti az engedélyezési szabályokat.
    • Az alkalmazás. Saját engedélyezési logikát fejleszthet, és felhasználói engedélyeket tárolhat egy adatbázisban vagy hasonló rendszerben, lehetővé téve a szerepköralapú vagy erőforrásszintű engedélyezési vezérlők részletes használatát.

    Kompromisszum: Összetettség, rugalmasság és biztonság. Az engedélyezési adatok tárolása egy identitásszolgáltatóban és a jogkivonat-jogcímeken keresztüli böngészés általában egyszerűbb, mint a saját engedélyezési rendszer kezelése. A jogcímalapú engedélyezés azonban korlátozza a rugalmasságot, és el kell fogadnia, hogy a jogcímek csak akkor frissülnek, ha egy jogkivonatot újra kiadnak, ami késleltetheti a módosított engedélyek alkalmazását.

  • A delegált felügyelet hatásának felmérése. A legtöbb SaaS-alkalmazásban, különösen a B2B-alkalmazásokban, a szerepkör- és engedélykezelés delegálva van az ügyfeleknek. E funkció nélkül növelheti a felügyeleti többletterhelést, ha az ügyfelek gyakran módosítják a felhasználói engedélyeiket.

  • Több-bérlős hozzáférés kiértékelése. Egyes rendszerekben előfordulhat, hogy egyetlen felhasználónak több bérlő adataihoz kell hozzáférnie. Előfordulhat például, hogy a tanácsadóknak több bérlőtől kell hozzáférnie az adatokhoz. Tervezze meg, hogy az ügyfelek hogyan biztosítják a hozzáférést ezekhez a felhasználókhoz, és hogy a bejelentkezési folyamat hogyan támogatja a bérlők közötti választást és váltást.

Tervezési javaslatok

Ajánlás Juttatás
Megakadályozza, hogy a felhasználók hozzáférjenek az adatokhoz a bérlői határok között, kivéve, ha ez a hozzáférés kifejezetten engedélyezett. Egy másik bérlő adataihoz való jogosulatlan hozzáférés, még a véletlen hozzáférés is jelentős biztonsági incidensnek tekinthető, és rontja az ügyfelek bizalmát a platformban. A szükségtelen hozzáférés letiltása segít elkerülni ezeket a helyzeteket.
Ha az adatok statikusak, és ritkán változnak, tárolja azokat az identitásszolgáltatóban. Ha gyakori módosításokra van szükség, amíg a felhasználó használja a szoftvert, tárolja az engedélyezési adatokat az alkalmazásban. A legjobb adattár kiválasztása az engedélyezési adatokhoz növeli a működési hatékonyságot, és segít a méretezhetőségi igények kielégítésében.
Ha engedélykezelést delegál az ügyfeleknek, adjon meg egy egyértelmű módszert az engedélyek kezeléséhez. Hozzon létre például egy olyan webportált, amely csak a bérlői rendszergazdák számára érhető el a felhasználói engedélyek módosításához. Nagyobb felügyeletet fog biztosítani az ügyfeleknek, és elkerülheti a felesleges üzemeltetési terheket a támogatási csapat számára.

További erőforrások

A több-bérlősség az SaaS-számítási feladatok tervezésének alapvető üzleti módszertana. Ezek a cikkek további információt nyújtanak az identitás- és hozzáférés-kezelésről:

Következő lépés

Megismerheti a számítási üzemeltetési modell kiválasztását, az üzemeltetési szempontokat, valamint a technológiai beállítások optimalizálását, hogy segítsen a szolgáltatásiszint-szerződések és célkitűzések teljesítésében.