Navigation überspringen

Verbesserte Dienstresilienz in Azure Active Directory durch den Sicherungsauthentifizierungsdienst

Veröffentlicht am 22 November, 2021

Chief Technology Officer and Technical Fellow, Microsoft Azure

„Wir führen hiermit unser Blogreihe Advancing Reliability fort, in der wichtige Updates und Initiativen zur Verbesserung der Zuverlässigkeit der Azure-Plattform und -Dienste vorgestellt werden. Heute liegt der thematische Schwerpunkt auf Azure Active Directory (Azure AD). Die wichtigsten Verfügbarkeitsprinzipien für Azure AD haben wir in dieser Reihe bereits im Jahr 2019 behandelt. Ich habe Nadim Abdo, den Corporate Vice President of Engineering, deshalb um ein Update gebeten, wie unsere Engineeringteams derzeit für die Zuverlässigkeit unserer Identitäts- und Zugriffsverwaltungsdienste sorgen, auf die sich unsere Kunden und Partner verlassen.“ – Mark Russinovich, CTO, Azure


 

Das wichtigste Leistungsversprechen für unsere Identitätsdienste ist, dass alle Benutzer*innen stets unterbrechungsfrei auf die benötigten Apps und Dienste zugreifen können. Diesem Versprechen kommen wir durch einen mehrschichtigen Ansatz nach, wodurch wir eine auf 99,99 % verbesserte Authentifizierungsuptime für Azure Active Directory (Azure AD) erzielt haben. Heute freue ich mich, Ihnen die allgemein verfügbare Technologie vorzustellen, mit der eine noch höhere Resilienz in Azure AD erreicht wird.

Der Sicherungsauthentifizierungsdienst von Azure AD verarbeitet Authentifizierungen für unterstützte Workloads transparent und automatisch, wenn der primäre Azure AD-Dienst nicht verfügbar ist. So werden die Redundanzschichten in Azure AD durch eine zusätzliche Resilienzschicht ergänzt. Sie können sich das wie ein Notstromaggregat oder eine unterbrechungsfreie Stromversorgung vorstellen, die für verbesserte Fehlertoleranz sorgt, ohne die Transparenz oder Automatisierung zu beeinträchtigen. Das System wird in der Microsoft-Cloud betrieben. Die zugrunde liegenden Systeme und Netzwerkpfade sind jedoch vom primären Azure AD-System getrennt und korrelieren nicht mit diesem. Dadurch kann der Betrieb auch bei Dienst-, Netzwerk- oder Kapazitätsproblemen in Azure AD-Diensten und abhängigen Azure-Diensten aufrechterhalten werden.

Welche Workloads werden vom Dienst abgedeckt?

Der Dienst wird seit 2019 zum Schutz von Outlook Web Access- und SharePoint Online-Workloads eingesetzt. Anfang dieses Jahres haben wir die Sicherungsunterstützung für Anwendungen umgesetzt, die auf Desktops und mobilen Geräten ausgeführt werden – also für sogenannte native Apps. Alle nativen Microsoft-Apps, einschließlich Office 365 und Teams, sowie nicht von Microsoft stammende und kundeneigene Anwendungen, die nativ auf Geräten ausgeführt werden, werden jetzt abgedeckt. Es sind keine Maßnahmen oder Konfigurationsänderungen nötig, um die Sicherungsauthentifizierung zu nutzen.

Ab Ende 2021 beginnen wir mit dem Rollout der Unterstützung für weitere webbasierte Anwendungen. Dabei beginnen wir mit Apps, die OpenID Connect verwenden, angefangen bei Microsoft-Web-Apps wie Teams Online und Office 365. Anschließend folgen kundeneigene Web-Apps, die OpenID Connect und SAML (Security Assertion Markup Language) verwenden.

Wie funktioniert der Dienst?

Wenn ein Ausfall des primären Azure AD-Diensts erkannt wird, wird der Sicherungsauthentifizierungsdienst automatisch aktiv, damit die Anwendungen der Benutzer*innen weiterhin funktionieren. Nach der Wiederherstellung des primären Diensts werden Authentifizierungsanforderungen wieder an den primären Azure AD-Dienst umgeleitet. Für den Sicherungsauthentifizierungsdienst gibt es zwei Betriebsmodi:

  • Normaler Modus: Der Sicherungsdienst speichert wichtige Authentifizierungsdaten unter normalen Betriebsbedingungen. Erfolgreiche Authentifizierungsantworten von Azure AD an abhängige Apps generieren sitzungsspezifische Daten, die vom Sicherungsdienst für bis zu drei Tage sicher gespeichert werden. Die Authentifizierungsdaten gelten nur für eine bestimmte Kombination aus Gerät, Benutzer*in, App und Ressource und stellen eine Momentaufnahme einer erfolgreichen Authentifizierung zu einem bestimmten Zeitpunkt dar.
  • Ausfallmodus: Jedes Mal, wenn eine Authentifizierungsanforderung unerwartet fehlschlägt, leitet das Azure AD-Gateway sie automatisch an den Sicherungsdienst weiter. Anschließend authentifiziert dieser die Anforderung, überprüft die Gültigkeit der dargestellten Artefakte (z. B. Aktualisierungstoken und Sitzungscookie) und sucht nach einer genauen Sitzungsübereinstimmung in den zuvor gespeicherten Daten. Dann wird eine Authentifizierungsantwort an die Anwendung gesendet, die mit der Antwort konsistent ist, die vom primären Azure AD-System generiert worden wäre. Nach der Wiederherstellung wird der Datenverkehr dynamisch zurück an den primären Azure AD-Dienst umgeleitet.

Diagramm: Clients und Dienste wie Outlook und Exchange Online beim Zugriff auf Token wie zwischengespeicherte Zugriffstoken vom neuen Sicherungsauthentifizierungsdienst

Das Routing an den Sicherungsdienst erfolgt automatisch, und die Authentifizierungsantworten sind konsistent mit denen, die normalerweise vom primären Azure AD-Dienst gesendet werden. Das bedeutet, dass der Schutz ohne Anwendungsänderungen oder manuellen Eingriff greift.

Die Priorität des Sicherungsauthentifizierungsdiensts liegt bei der Authentifizierung darauf, die Benutzerproduktivität für den Zugriff auf eine App oder Ressource aufrechtzuerhalten, für die vor Kurzem eine Authentifizierung gewährt wurde. Dabei handelt es sich mit 93 % tatsächlich um den größten Teil der Anforderungen an Azure AD. Authentifizierungen, die nach dem dreitägigen Speicherfenster eingehen, wenn der Zugriff nicht vor Kurzem auf dem aktuellen Benutzergerät gewährt wurde, werden bei Ausfällen derzeit nicht unterstützt. Die meisten Benutzer*innen greifen jedoch jeden Tag über dasselbe Gerät auf ihre wichtigsten Anwendungen zu.

Wie werden Sicherheitsrichtlinien und Zugriffskonformität während eines Ausfalls erzwungen?

Der Sicherungsauthentifizierungsdienst überwacht kontinuierlich Sicherheitsereignisse, die sich auf den Benutzerzugriff auswirken. So werden Konten geschützt, auch wenn diese Ereignisse direkt vor einem Ausfall erkannt werden. Mit der fortlaufenden Zugriffsevaluierung wird sichergestellt, dass ungültige Sitzungen sofort widerrufen werden. Zu den Sicherheitsereignissen, bei denen der Sicherungsdienst während eines Ausfalls den Zugriff einschränken würde, zählen beispielsweise Änderungen am Gerätestatus, die Kontodeaktivierung, die Kontolöschung, der Widerruf des Zugriffs durch Administrator*innen oder die Erkennung eines Ereignisses mit hohem Benutzerrisiko. Erst nachdem der primäre Authentifizierungsdienst wiederhergestellt wurde, können Benutzer*innen mit einem Sicherheitsereignis wieder Zugriff erhalten.

Darüber hinaus erzwingt der Sicherungsauthentifizierungsdienst Richtlinien für bedingten Zugriff. Die Richtlinien werden vom Sicherungsdienst vor dem Gewähren des Zugriffs während eines Ausfalls neu ausgewertet. So bestimmt der Dienst, welche Richtlinien angewendet werden und ob die erforderlichen Kontrollkriterien für anwendbare Richtlinien wie die Multi-Faktor-Authentifizierung (MFA) erfüllt wurden. Wenn eine Authentifizierungsanforderung vom Sicherungsdienst empfangen wird und ein Kontrollkriterium wie die MFA nicht erfüllt wurde, wird diese Authentifizierung blockiert.

Richtlinien für bedingten Zugriff, die auf Bedingungen wie Benutzer*in, Anwendung, Geräteplattform und/oder IP-Adresse basieren, werden mithilfe von Echtzeitdaten erzwungen, die vom Sicherungsauthentifizierungsdienst erkannt werden. Bestimmte Richtlinienbedingungen (z. B. Anmelderisiko und Rollenmitgliedschaft) können jedoch nicht in Echtzeit ausgewertet werden. Daher werden sie basierend auf Resilienzeinstellungen ausgewertet. Durch die Standardeinstellungen für die Resilienz kann Azure AD die Produktivität auf sichere Weise maximieren, wenn eine Bedingung wie die Gruppenmitgliedschaft während eines Ausfalls nicht in Echtzeit verfügbar ist. Der Dienst wertet eine Richtlinie unter der Annahme aus, dass sich die Bedingung seit dem letzten Zugriff direkt vor dem Ausfall nicht geändert hat.

Es wird Kunden dringend empfohlen, die Standardeinstellungen für die Resilienz zu übernehmen. In einigen Fällen blockieren Administrator*innen den Zugriff jedoch während eines Ausfalls, wenn die Zugriffsbedingung nicht in Echtzeit ausgewertet werden kann. In seltenen Fällen können Administrator*innen die Standardeinstellungen für die Resilienz beim bedingten Zugriff durch eine Richtlinie deaktivieren. Wenn die Standardeinstellungen für die Resilienz durch eine Richtlinie deaktiviert werden, verarbeitet der Sicherungsauthentifizierungsdienst keine Anforderungen, für die Richtlinienbedingungen mit Echtzeitdaten erforderlich sind. Benutzer*innen werden bei einem Ausfall des primären Azure AD-Diensts dann ggf. blockiert.

Wie geht es weiter?

Mit dem Sicherungsauthentifizierungsdienst von Azure AD können Benutzer*innen die Produktivität im unwahrscheinlichen Szenario eines Ausfalls der primären Azure AD-Authentifizierungssysteme aufrechterhalten. Der Dienst fügt eine zusätzliche, transparente Redundanzschicht ohne Korrelation zur Microsoft-Cloud oder zu den Netzwerkpfaden hinzu. Für die Zukunft haben wir geplant, die Protokoll- und Szenariounterstützung sowie die Abdeckung über öffentliche Clouds hinaus weiter auszubauen. Außerdem soll die Transparenz des Diensts für erfahrene Kunden verbessert werden.

Wir danken Ihnen für Ihr anhaltendes Vertrauen und Ihre Partnerschaft.