《基于微软身份管理和访问控制平台的解决方案开发.ppt》由会员分享,可在线阅读,更多相关《基于微软身份管理和访问控制平台的解决方案开发.ppt(33页珍藏版)》请在三一办公上搜索。
1、基于微软身份管理和访问控制平台的解决方案开发,李英歌技术专家微软中国技术中心,场景:业务需求,企业使用活动目录作为主要的目录服务企业希望能够记录资产使用情况利用现有基础架构开发人员被要求开发:一个web应用提供资产管理的基本功能,供普通用户使用一个全功能应用提供提供资产管理的全部功能,供部门管理员使用,应用需求,访问控制验证鉴权身份存储用户凭证(credentials)及配置信息(profile data)对数据生命周期的管理,应用需求:验证,验证:用户是谁?需求:为减少身份管理问题,不能为该应用增添新的一套用户ID及密码。必须足够灵活以便于新用户访问应用,验证:可选方案,与工作站登录集成的单
2、点登录Basic/DigestHTTP协议相关的验证方式Basic发送明文密码基于Form的 用户在form中输入用户名和密码Cookie被写回浏览器,认证强度高单点登录Windows内置功能允许域或森林内的单点登录可扩展至跨域或森林的验证通过ADFS可实现跨组织机构的身份认证Rich client及web应用都可以使用与IIS集成无需编码,验证:集成验证,建议使用,验证:实现,实现Web client:无需代码Rich client:Winsock:SSPIRPC:已集成DCOM:已集成Web Service:WSE满足需求利用现有活动目录验证用户单点登录易于添加新用户,Server,Aut
3、hentication,验证:解决方案,Sync,应用需求,访问控制验证 鉴权存储用户凭证(credentials)及配置信息(profile data)对身份数据生命周期的管理,应用需求:鉴权,鉴权:基于用户身份赋予或拒绝完成某一任务的权限需求:授权不能硬编码在应用中Admin must be able to grant/deny access两种应用共享配置,鉴权:可选方案,Authorization Manager(AzMan)ADFS claimsWindows ACL model细粒度控制应用程序专用方式鉴权信息与数据共同存储应用使用私有方法使用鉴权信息COM+角色ASP.NET角色
4、,Mary(Admin),Bob(User),基于角色的鉴权基于查询的组保证业务灵活性应用程序设计时定义角色策略,InfrastructureDirectory,authorization,Server,Authentication,鉴权:Authorization Manager,建议使用,鉴权:AzMan,AzMan:Windows Server 2003,Windows 2000(需下载)高可伸缩性的角色和策略存储:AD/ADAM,-at application boot-AzPol.Initialize 0,“msldap:/Server:port/CN=MyStore,DC=App=
5、AzStore.OpenApplication(“AssetTracker)-at client Connect-Context=App.InitializeClientContextFromName-on request-Context.AccessCheck(“ViewRpt,Scope,Operations,Names,Values)Context.GetRoles(),鉴权:实现,满足需求一致的角色映射,可在多个应用间重用角色分配可由管理员指定,未硬编码入应用,Authorization Manager,鉴权:解决方案,Authentication,ADAM,AuthZ,Sync,应用
6、需求,访问控制 验证 鉴权 身份存储用户凭证(credentials)及配置信息(profile data)对身份数据生命周期的管理,身份存储用户凭证(credentials)用户配置信息(profile data)需求利用现有基础架构及数据可伸缩性、可用性Seamless setup&configuration易于管理,需求:身份存储,身份存储:可选方案,数据库目录,身份存储:活动目录,活动目录是为身份存储而设计的基本用户profile数据已经存在于活动目录中(phone number,cost center)标准认证协议支持:Kerberos,SSL,Digest,建议使用,Infrast
7、ructure Active Directory,Client,Server,App partition,LDAP,AD 用于企业范围内的身份及配置数据ADAM 用于应用范围内的身份及配置数据,Sync,身份存储:活动目录,身份存储:实现,Managed code:System.DirectoryServices:较高层次的接口,易用System.DirectoryServices.Protocols:提供较低层的LDAP访问,适用于高性能的应用ADO.NET:部分功能Native code:Active Directory Service Interfaces(ADSI)LDAP Win32
8、 API set for C and C+,身份存储:解决方案,AD&ADAM满足需求:利用现有基础架构可伸缩性、可靠性、可管理性,身份存储:解决方案,Authentication,ADAM,Store/Retrieve Data,Sync,应用需求,访问控制 验证 鉴权 身份存储 用户凭证(credentials)及配置信息(profile data)对身份数据生命周期的管理,需求:生命周期管理,生命周期管理在身份数据被使用的整个周期中进行管理应用需求自动化数据同步易于维护,生命周期管理:可选方案,ADAM Sync单向、增量从AD同步数据到ADAMMIIS 2003全面的解决方案支持30+
9、种身份存储,生命周期管理:解决方案,ADAMSync满足需求:ADAM与AD之间的同步简单且易于维护,objectDC=contoso,DC=comdc=contoso,dc=com dc=contoso,dc=com(samaccountname=xxxxxxxx)reports,生命周期管理:解决方案,Authentication,ADAM,Store/Retrieve Data,ADAMSync,应用需求,访问控制验证:Windows Integrated鉴权:Authorization Manager身份存储用户凭证(credentials)及配置信息(profile data):AD
10、&ADAM对身份数据生命周期的管理:ADAMSync,资源,AD Portal:http:/portal:http:/Portal:http:/Management Portal:http:/Solution Accelerator for Identity and Access Management:http:/Management Solution Technologies:http:/,2005 Microsoft Corporation.All rights reserved.This presentation is for informational purposes only.Microsoft makes no warranties,express or implied,in this summary.,
