Progettazione dell'architettura di gestione delle identità

Le architetture di gestione delle identità e degli accessi (IAM) forniscono framework per la protezione di dati e risorse. Le reti interne stabiliscono limiti di sicurezza nei sistemi locali. Negli ambienti cloud, le reti perimetrali e i firewall non sono sufficienti per gestire l'accesso alle app e ai dati. I sistemi cloud pubblici si basano invece sulle soluzioni di gestione delle identità per la sicurezza dei limiti.

Una soluzione di gestione delle identità controlla l'accesso alle app e ai dati di un'organizzazione. A ogni utente, dispositivo e applicazione corrisponde un'identità. I componenti IAM supportano l'autenticazione e l'autorizzazione di queste e di altre identità. Il processo di autenticazione controlla chi o cosa usa un account. L'autorizzazione controlla ciò che tale utente può fare nelle applicazioni.

Che si stia iniziando a valutare le soluzioni di gestione delle identità o cercando di espandere l'implementazione corrente, Azure offre molte opzioni. Un esempio è Microsoft Entra ID, un servizio cloud che fornisce funzionalità di gestione delle identità e di controllo di accesso. Per scegliere una soluzione, iniziare a esaminare questo servizio e altri componenti, strumenti e architetture di riferimento di Azure.

Introduzione all'identità in Azure

Se non si ha familiarità con IAM, il posto migliore per iniziare è Microsoft Learn. Questa piattaforma online gratuita offre video, esercitazioni e formazione pratica per vari prodotti e servizi.

Le risorse seguenti consentono di apprendere i concetti di base di IAM.

Percorsi di apprendimento

• Nozioni fondamentali sulla sicurezza, la conformità e l'identità Microsoft: descrivere le funzionalità delle soluzioni di gestione delle identità e degli accessi Di Microsoft
• Implementare l'identità Microsoft - Associa
• SC-300: Implementare una soluzione di gestione delle identità
• MS-500 parte 1 - Implementare e gestire identità e accesso

moduli

• Descrivere i concetti relativi all'identità
• Esplorare Microsoft Identity Platform

Percorso di produzione

Dopo aver trattato i concetti fondamentali della gestione delle identità, il passaggio successivo consiste nello sviluppare la soluzione.

Progettazione

Per esplorare le opzioni per le soluzioni di gestione delle identità, consultare queste risorse:

• Per un confronto di tre servizi che forniscono l'accesso a un'identità centrale, vedere Confrontare i servizi di Dominio di Active Directory autogestito, Microsoft Entra ID e Microsoft Entra Domain Services gestito.

• Per informazioni su come rendere resiliente IAM, vedere Resilient Identity and Access Management with Microsoft Entra ID (Gestione resiliente delle identità e degli accessi con Microsoft Entra ID).

• Per confrontare le opzioni per ridurre la latenza durante l'integrazione con una rete di Azure, vedere Integrare AD locale con Azure.

• Per informazioni sull'associazione delle offerte di fatturazione a un tenant di Microsoft Entra, vedere Offerte di fatturazione di Azure e tenant di Active Directory.

• Per valutare le opzioni per un'identità e una base di accesso, vedere Area di progettazione della gestione delle identità e degli accessi di Azure.

• Per esplorare i modi per organizzare le risorse distribuite nel cloud, vedere Organizzazione delle risorse.

• Per un confronto tra varie opzioni di autenticazione, vedere Scegliere il metodo di autenticazione appropriato per la soluzione di gestione delle identità ibrida Di Microsoft Entra.

• Per una soluzione di gestione completa delle identità ibride, vedere Come Microsoft Entra ID offre la gestione governata dal cloud per i carichi di lavoro locali.

• Per informazioni su come Microsoft Entra Connect integra le directory locali con Microsoft Entra ID, vedere Che cos'è Microsoft Entra Connect?.

Implementazione

Dopo aver deciso un approccio, l'implementazione sarà successiva. Per indicazioni sulla distribuzione, vedere le risorse seguenti:

• Per una serie di articoli ed esempi di codice per una soluzione multi-tenant, vedere Gestione delle identità nelle applicazioni multi-tenant.

• Per informazioni sulla distribuzione di Microsoft Entra ID, vedere queste risorse:

  • Guida alla distribuzione delle funzionalità di Microsoft Entra
  • Piani di distribuzione di Microsoft Entra
  • Piani di distribuzione di Azure Active Directory B2C

• Per informazioni su come usare Microsoft Entra ID per proteggere un'applicazione a pagina singola, vedere le esercitazioni in Registrare un'applicazione a pagina singola con Microsoft Identity Platform.

Procedure consigliate

• Con funzionalità come automazione, self-service e Single Sign-On, Microsoft Entra ID può migliorare la produttività. Per informazioni generali sui vantaggi offerti da questo servizio, vedere Quattro passaggi per una solida base di identità con Microsoft Entra ID.

• Per verificare se l'implementazione di Microsoft Entra è allineata con Azure Security Benchmark versione 2.0, vedere Baseline di sicurezza di Azure per Microsoft Entra ID.

• Alcune soluzioni usano endpoint privati nei tenant per connettersi ai servizi di Azure. Per visualizzare le linee guida per i problemi di sicurezza relativi agli endpoint privati, vedere Limitare le connessioni di endpoint privati tra tenant in Azure.

• Per consigli per gli scenari seguenti, vedere Integrare domini AD locali con Microsoft Entra ID:

  • Concedere agli utenti remoti dell'organizzazione l'accesso alle app Web di Azure
  • Implementazione di funzionalità self-service per gli utenti finali
  • Uso di una rete locale e di una rete virtuale non connessa da un tunnel di rete privata virtuale (VPN) o da un circuito ExpressRoute

• Per informazioni generali e linee guida sulla migrazione di applicazioni a Microsoft Entra ID, vedere questi articoli:

  • Spostare l’autenticazione dell'applicazione a Microsoft Entra ID
  • Eseguire la migrazione dell'autenticazione dell'applicazione all'ID Microsoft Entra
  • Esaminare il report attività dell'applicazione
  • Risorse per la migrazione di applicazioni a Microsoft Entra ID

Suite di implementazioni di base

Queste architetture di riferimento forniscono implementazioni di base per diversi scenari:

• Creare una foresta di risorse di Active Directory Domain Services in Azure
• Distribuire Active Directory Domain Services in una rete virtuale di Azure
• Estensione di AD FS locali in Azure

Rimanere aggiornati con l'identità

Microsoft Entra ID riceve miglioramenti in modo continuativo.

• Per restare al centro degli sviluppi recenti, vedere Novità di Microsoft Entra ID?.
• Per una roadmap che illustra le nuove funzionalità e i servizi chiave, vedere Aggiornamenti di Azure.

Risorse aggiuntive

Le risorse seguenti forniscono consigli pratici e informazioni per scenari specifici.

MICROSOFT Entra ID in ambienti didattici

• Introduzione ai tenant di Microsoft Entra
• Progettare un'architettura a più directory per istituti di grandi dimensioni
• Progettare la configurazione del tenant
• Progettare strategie di autenticazione e credenziali
• Progettare una strategia di account
• Progettare la governance delle identità
• Linee guida aggiornate per la distribuzione EDU di Microsoft 365 durante COVID-19

Informazioni per i professionisti di Amazon Web Services (AWS) e Google Cloud

• Sicurezza e identità multi-cloud con Azure e Amazon Web Services (AWS)
• Gestione delle identità e degli accessi di Microsoft Entra per AWS
• Confronto tra google cloud e servizi di Azure: sicurezza e identità