Microsoft Entra使你能够安全地管理对服务和资源的用户访问。 Microsoft Entra随附的是一系列标识管理和网络访问功能。 有关Microsoft Entra功能的信息,请参阅 什么是 Microsoft Entra?
使用Microsoft Entra,可以创建和管理用户和组,并启用允许和拒绝对企业资源的访问权限。 有关标识管理的信息,请参阅 标识管理的基础知识。
Microsoft Entra体系结构
Microsoft Entra ID结合了其地理分布式体系结构中的广泛监视、自动重新路由、故障转移和恢复功能,以提供公司范围的可用性和性能。
本文介绍以下体系结构元素:
- 服务体系结构设计
- 可伸缩性
- 连续可用性
- 数据中心
服务体系结构设计
构建可访问、可用且数据丰富的系统的最常见方法是使用独立的构建块或缩放单元。 对于Microsoft Entra数据层,缩放单元称为分区。
数据层包含多个可提供读写功能的前端服务。 下图显示了单目录分区的组件在整个地理分布式数据中心内的交付方式。
Microsoft Entra体系结构的组件包括主要副本和次要副本。
主副本
主要副本接收它所属的分区的所有写入操作。 在向调用方返回成功消息之前,任何写入操作将立即复制到不同数据中心内的次要副本,从而确保写入操作具有异地冗余的持久性。
次要副本
所有目录读取都由位于地理分布式数据中心的次要副本提供服务。 数据跨多个次要副本异步复制。 目录读取操作(例如身份验证请求)通过靠近客户的数据中心提供服务。 次要副本负责提升读取性能的可扩展性。
可伸缩性
可伸缩性是指服务根据不断提高的性能需求进行扩展的能力。 Microsoft Entra分区数据以提升写入的可伸缩性。 要实现读取伸缩性,可将数据从一个分区复制到分发在世界各地的多个次要副本。
来自目录应用程序的请求被路由到最近的数据中心。 写入操作会被透明地重定向到主副本,以确保读写一致性。 由于在大多数情况下目录通常为读取操作提供服务,因此次要副本可以大幅扩展分区的规模。
目录应用程序连接到最靠近的数据中心。 此连接可以改善性能,因此可实现扩展。 由于一个目录分区可以包含许多次要副本,因此,可将次要副本放置在比较靠近目录客户端的位置。 只有写入密集型的内部目录服务组件才直接以活动的主要副本为目标。
连续可用性
可用性(或运行时间)是指系统无中断运行的能力。 Microsoft Entra ID高可用性的关键是,服务可以快速跨多个地理分散的数据中心转移流量。 数据中心彼此独立,因此可以实现互不相干的故障模式。 通过这种高可用性设计,Microsoft Entra ID维护活动无需停机。
与企业 Active Directory 设计相比,Microsoft Entra ID 的分区设计更加简化,采用单一主服务器设计,其中包括经过精心编排和确定性的主副本故障转移过程。
容错
如果系统能够承受硬件、网络和软件故障,则可用性更高。 每个目录分区都有一个高度可用的主副本,用于处理所有写入操作。 系统将持续监视此主副本,如果检测到故障,则会立即将写入操作转移到另一个副本。 此副本将成为新的主节点。 在此故障转移过程中,写入可用性可能会受到暂时影响,持续1到2分钟,但读取可用性仍然不受影响。
读取操作(其数量远超写入操作)只会转到次要副本。 由于次要副本是幂等的,因此,通过将读取操作定向到其他副本(通常在同一数据中心内),即可轻松补偿给定分区中发生的任一副本丢失。
数据持久性
在确认某个写入操作之前,会持续将该操作提交到至少两个数据中心。 系统首先将写入操作提交到主数据中心,然后立即将写入操作复制到其他至少一个数据中心来实现。 此写操作确保即使托管主数据的数据中心发生潜在灾难性损失,也不会导致数据丢失。
Microsoft Entra ID维护零恢复时间目标(RTO),不会在故障转移时丢失数据,包括:
- 令牌颁发和目录读取操作
- 目录写入仅允许大约 5 分钟的 RTO
数据中心
Microsoft Entra副本存储在世界各地的数据中心。 有关详细信息,请参阅 Azure 全局基础结构。
Microsoft Entra ID跨数据中心运行具有以下特征:
- 身份验证、Graph 和其他Microsoft Entra ID服务驻留在网关服务后面。 网关将管理负载均衡。 如果事务运行状况探测发现任何服务器运行不正常,该服务会自动对相应服务器进行故障转移。 网关根据这些运行状况探测,将流量动态路由到正常的数据中心。
- 对于读取,目录在多个数据中心中具有采用 Active-Active 配置运行的次要副本和相应的前端服务。 如果一个数据中心出现故障,流量会自动路由到另一个数据中心。
- 对于写入,目录通过计划内(新主要副本与旧主要副本同步)或紧急故障转移过程,跨数据中心对主要副本进行故障转移。 通过将所有提交项复制到至少两个数据中心来实现数据持久性。
数据一致性
目录模型属于最终一致性模型。 分布式异步复制系统的一个典型问题是,从“特定”副本返回的数据可能不是最新的。
Microsoft Entra ID通过将其写入路由到主副本并同步拉回次要副本,为面向辅助副本的应用程序提供读写一致性。
使用 Microsoft Entra ID 的 Microsoft 图形 API 的应用程序在写入时,抽象化地处理与目录副本的关联性,以实现读写一致性。 Microsoft 图形 API服务维护逻辑会话。 会话与用于读取的次要副本关联。 亲和性被捕获在“副本令牌”中,而该令牌由服务在辅助副本数据中心的分布式缓存中缓存。 然后,此令牌可用于同一个逻辑会话中的后续操作。 若要继续使用同一逻辑会话,必须将后续请求路由到同一Microsoft Entra数据中心。 如果目录客户端请求路由到多个Microsoft Entra数据中心,则无法继续逻辑会话。 如果会话被拆分,则客户端具有多个具有独立读写一致性的逻辑会话。
注意事项
写入操作会立即复制到逻辑会话读取操作所发送到的次要副本。
对于仅应用程序请求,Microsoft Entra ID不提供会话一致性。 仅 委托请求 (应用程序+用户令牌流)支持会话一致性。 有关设计能够考虑复制延迟的应用程序的指导,请参阅 Microsoft Entra 的最终一致性设计。
服务级别备份
Microsoft Entra ID实现目录数据的每日备份,如果存在任何服务范围的问题,则可以使用这些备份还原数据。
该目录还针对所选对象类型实施了软删除,而不是硬删除。 租户管理员可以在 30 天内撤销对这些对象的任何意外删除。 有关详细信息,请参阅用于还原已删除对象的 API。
指标和监视器
运行高可用性服务需要一流的指标和监视功能。 Microsoft Entra ID持续分析和报告其每个服务的关键服务运行状况指标和成功条件。 在每个 Microsoft Entra 服务及所有服务中,还在不断开发和优化各个场景的度量指标、监控和警报系统。
如果任何Microsoft Entra服务未按预期工作,则会立即采取措施还原功能。 最重要的指标Microsoft Entra ID跟踪是客户问题检测和迁移的速度。 我们大力投资于监视和警报,以最大限度地减少检测时间 (TTD)(目标:<5 分钟),并做好运营准备以最大限度地减少缓解时间 (TTM)(目标:<30 分钟)。
安全操作
Microsoft Entra ID使用操作控制,例如对所有操作的多重身份验证和审核。 此外,它还使用了即时提升系统,可针对日常的按需操作任务授予必要的临时访问权限。 有关详细信息,请参阅 受信任的云。
后续步骤
若要详细了解如何使用 Microsoft Entra 部署和构建复原能力,请参阅:
- Microsoft Entra部署计划 — 身份验证、应用、设备和混合方案的分步部署指南
- 在混合体系结构中构建复原能力,PHS 和联盟的体系结构关系图,并提供复原指南
- 在标识和访问管理中构建复原能力 - IAM 基础结构和应用程序的复原模式
- Azure 中的身份和访问管理架构 — 参考架构和设计指南
若要了解有关使用 Microsoft Entra 进行开发的详细信息,请参阅 Microsoft Entra 开发人员指南。