《基于微软身份管理和访问控制平台的解决方案开发.ppt》由会员分享,可在线阅读,更多相关《基于微软身份管理和访问控制平台的解决方案开发.ppt(33页珍藏版)》请在三一文库上搜索。
1、基于微软身份管理和访问控制平台的解决方案开发,李英歌 技术专家 微软中国技术中心,场景: 业务需求,企业使用活动目录作为主要的目录服务 企业希望能够记录资产使用情况 利用现有基础架构 开发人员被要求开发: 一个web应用提供资产管理的基本功能,供普通用户使用 一个全功能应用提供提供资产管理的全部功能,供部门管理员使用,应用需求,访问控制 验证 鉴权 身份存储 用户凭证(credentials)及配置信息(profile data) 对数据生命周期的管理,应用需求: 验证,验证: 用户是谁? 需求: 为减少身份管理问题,不能为该应用增添新的一套用户ID及密码。 必须足够灵活以便于新用户访问应用,
2、验证:可选方案,与工作站登录集成的单点登录 Basic/Digest HTTP协议相关的验证方式 Basic发送明文密码 基于Form的 用户在form中输入用户名和密码 Cookie被写回浏览器,认证强度高 单点登录 Windows内置功能允许域或森林内的单点登录 可扩展至跨域或森林的验证 通过ADFS可实现跨组织机构的身份认证 Rich client及web应用都可以使用 与IIS集成 无需编码,验证:集成验证,建议使用,验证:实现,实现 Web client: 无需代码 Rich client: Winsock: SSPI RPC: 已集成 DCOM: 已集成 Web Service:
3、WSE 满足需求 利用现有活动目录验证用户 单点登录 易于添加新用户,Server,Authentication,验证: 解决方案,Sync,应用需求,访问控制 验证 鉴权 存储 用户凭证(credentials)及配置信息(profile data) 对身份数据生命周期的管理,应用需求: 鉴权,鉴权: 基于用户身份赋予或拒绝完成某一任务的权限 需求: 授权不能硬编码在应用中 Admin must be able to grant/deny access 两种应用共享配置,鉴权:可选方案,Authorization Manager (AzMan) ADFS claims Windows ACL
4、 model 细粒度控制 应用程序专用方式 鉴权信息与数据共同存储 应用使用私有方法使用鉴权信息 COM+角色 ASP.NET角色,Mary (Admin),Bob (User),基于角色的鉴权 基于查询的组保证业务灵活性 应用程序设计时定义角色策略,Infrastructure Directory,authorization,Server,Authentication,鉴权:Authorization Manager,建议使用,鉴权:AzMan,AzMan: Windows Server 2003, Windows 2000 (需下载) 高可伸缩性的角色和策略存储: AD / ADAM,-
5、at application boot - AzPol.Initialize 0,“msldap:/Server:port/CN=MyStore,DC= App = AzStore.OpenApplication(“AssetTracker“) - at client Connect - Context = App.InitializeClientContextFromName - on request - Context.AccessCheck(“ViewRpt“,Scope,Operations,Names,Values) Context.GetRoles (),鉴权:实现,满足需求 一致
6、的角色映射,可在多个应用间重用 角色分配可由管理员指定,未硬编码入应用,Authorization Manager,鉴权:解决方案,Authentication,ADAM,AuthZ,Sync,应用需求,访问控制 验证 鉴权 身份存储 用户凭证(credentials)及配置信息(profile data) 对身份数据生命周期的管理,身份存储 用户凭证(credentials) 用户配置信息(profile data) 需求 利用现有基础架构及数据 可伸缩性、可用性 Seamless setup & configuration 易于管理,需求:身份存储,身份存储:可选方案,数据库 目录,身份存
7、储: 活动目录,活动目录是为身份存储而设计的 基本用户profile数据已经存在于活动目录中(phone number, cost center) 标准认证协议支持: Kerberos, SSL, Digest,建议使用,Infrastructure Active Directory,Client,Server,App partition,LDAP,AD 用于企业范围内的身份及配置数据 ADAM 用于应用范围内的身份及配置数据,Sync,身份存储: 活动目录,身份存储: 实现,Managed code: System.DirectoryServices : 较高层次的接口,易用 System.
8、DirectoryServices.Protocols : 提供较低层的LDAP访问,适用于高性能的应用 ADO.NET : 部分功能 Native code: Active Directory Service Interfaces (ADSI) LDAP Win32 API set for C and C+,身份存储: 解决方案,AD & ADAM 满足需求: 利用现有基础架构 可伸缩性、可靠性、可管理性,身份存储: 解决方案,Authentication,ADAM,Store/ Retrieve Data,Sync,应用需求,访问控制 验证 鉴权 身份存储 用户凭证(credentials
9、)及配置信息(profile data) 对身份数据生命周期的管理,需求: 生命周期管理,生命周期管理 在身份数据被使用的整个周期中进行管理 应用需求 自动化 数据同步 易于维护,生命周期管理:可选方案,ADAM Sync 单向、增量从AD同步数据到ADAM MIIS 2003 全面的解决方案 支持30+种身份存储,生命周期管理:解决方案,ADAMSync 满足需求: ADAM与AD之间的同步 简单且易于维护, object DC=contoso,DC=com dc=contoso,dc=com dc=contoso,dc=com (samaccountname=xxxxxxxx) repor
10、ts ,生命周期管理:解决方案,Authentication,ADAM,Store/ Retrieve Data,ADAM Sync,应用需求,访问控制 验证: Windows Integrated 鉴权: Authorization Manager 身份存储 用户凭证(credentials)及配置信息(profile data): AD & ADAM 对身份数据生命周期的管理: ADAMSync,资源,AD Portal: http:/ ADAM portal: http:/ MIIS Portal: http:/ Identity Management Portal: http:/ Solution Accelerator for Identity and Access Management: http:/ Identity Management Solution Technologies: http:/ 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.,