在混合体系结构中构建复原能力

混合身份验证允许用户使用其在本地管理的标识来访问基于云的资源。 混合基础结构包括云组件和本地组件。

  • 云组件包括 Microsoft Entra ID、Azure 资源和服务、组织的基于云的应用和 SaaS 应用程序。
  • 本地组件包括本地应用程序、资源(例如 SQL 数据库)和标识提供者(例如 Windows Server Active Directory)。

重要

规划混合基础结构的复原能力时,关键是要尽量减少依赖项和单一故障点。

Microsoft 提供三种混合身份验证机制。 这些选项按复原能力顺序列出。 建议尽可能实现密码哈希同步。

  • 密码哈希同步 (PHS) 使用 Microsoft Entra Connect 将标识和密码的哈希同步到 Microsoft Entra ID。 它使用户能够使用在本地管理的密码登录到基于云的资源。 PHS 具有本地依赖项,仅用于同步,不用于身份验证。

  • 联合身份验证客户部署联合身份验证服务,例如 Active Directory 联合身份验证服务 (ADFS)。 Microsoft Entra ID 验证联合身份验证服务生成的 SAML 断言。 联合身份验证对本地基础结构的依赖性最高,因此故障点更多。

你可能会在组织中使用这些方法中的一种或多种。 本文包含一个决策树,可帮助你决定如何选择这些方法。

密码哈希同步

Microsoft Entra ID 的最简单、最灵活的混合身份验证方式是密码哈希同步。 处理身份验证请求时,它没有任何本地标识基础结构依赖项。 在将具有密码哈希的标识同步到 Microsoft Entra ID 后,用户即可不依赖本地标识组件,向云资源进行身份验证。

PHS 体系结构关系图

如果选择此身份验证选项,当本地标识组件不可用时,不会出现中断。 发生本地中断的原因有很多,包括硬件故障、电源中断、自然灾害和恶意软件攻击。

如何实现 PHS?

若要实现 PHS,请参阅以下资源:

联合

联合身份验证涉及在 Microsoft Entra ID 与联合身份验证服务之间创建信任关系,其中包括终结点、令牌签名证书和其他元数据的交换。 请求进入 Microsoft Entra ID 时,它会读取配置,并将用户重定向到配置的终结点。 此时,用户将与联合身份验证服务进行交互,后者会发出由 Microsoft Entra ID 验证的 SAML 断言。

下图显示了企业 AD FS 部署的拓扑,该部署包含跨多个本地数据中心的冗余联合身份验证和 Web 应用程序代理服务器。 此配置依赖于企业网络基础结构组件,例如 DNS、具有地理关联功能的网络负载均衡和防火墙。 所有本地组件和连接都容易出现故障。 有关详细信息,请访问 AD FS 产能规划文档

注意

联合身份验证的本地依赖项最多,因此潜在的故障点也最多。 虽然此图显示的是 AD FS,但其他本地标识提供者可能会根据类似的设计注意事项来实现高可用性、可伸缩性和故障转移。

联合身份验证的体系结构关系图

如何实现联合身份验证?

如果要实现联合身份验证策略,或者想使其更易复原,请参阅以下资源。

后续步骤

面向管理员和架构师的复原能力资源

面向开发人员的复原能力资源