WIN220 Identity and Access Management 微软统一身份管理和访问控制 解决方案(IAM)和产品路线介绍

Slides:



Advertisements
Similar presentations
第五章 网络服务组件.
Advertisements

云计算辅助教学风云录 黎加厚 上海师范大学教育技术系 2010年8月9日.
Notes (hidden) 檔案請存成 Power Point 2010 可讀之格式 字體規範:中文字型請用微軟正黑體,
微软与高校信息化 李 志 霄 博士 首席技术官 微软(中国)有限公司.
企業如何建置安全的作業系統 Windows XP 網路安全
陕西凝远绿色建材实业有限责任公司网络系统工程
第6章 資料庫管理系統 6-1 關聯式資料庫管理系統 6-2 SQL Server資料庫管理系統
Windows 2000/XP网络组建与系统管理 李燕 中南分校.
大專院校校園e 化 PKI、智慧卡應用與整合.
寻找适合您的工业4.0 Dell/曾峰.
Third Party Authentication/Authorization
Microsoft WLAN tech. 中正通訊 卓瑩鎗.
CJLR PDM&SRM 单点登录指南 场景一:在CJLR公司网络中(CJLR办公室/由VPN拨入),使用CJLR公司电脑登录:
Exchange 2013搶先預覽: 新功能快速導覽與解析
Microsoft .NET 第4組 十月15, 2002 B 陳東傑 B 蔣佳勳
第 19 章 遠端管理.
国家“十一五”规划教材 数据库原理与应用教程(第3版).
国家“十一五”规划教材 数据库原理与应用教程(第3版).
IIS網站的安全性管理 羅英嘉 2007年4月.
精誠資訊的企業電子化支援系統 指導老師: 王淑卿 教授 第六組組員名單: 許瑋麟 張勝彥 蔡孟翰
利用 ISA Server 2004 建置應用層防護機制
Windows Vista 操作系统最新安全特性
从企业即时通讯到统一消息 GoCom Instant Messaging 企业即时通讯
课程代号: SVR-312 基于活动目录建设企业身份认证基础架构
Arena System Technology Architecture 系统技术架构 1、Database V2(Lotus Notes)V3(Oracle8i) 2、Application Server SilverStream2.53 (Java as server side programming.
Microsoft Project 2003 Gibson New Microsoft Enterprise Project
Windows Server 2003 R2 的简介 Mark Harris 项目经理 Microsoft Corporation.
Draft Amendment to STANDARD FOR Information Technology -Telecommunications and Information Exchange Between Systems - LAN/: R: Fast BSS.
计算机网络管理技术 第1章 网络管理技术概述 第2章 SNMP网络管理架构 第3章 网络流量监控技术与方法 第4章 磁盘管理
第1章 SQL Server 2005 关系数据库简介.
第5章 方案工程(Solutions Engineering)
OFC351 利用Office System开发复杂的商务解决方案 架构、模式、场景
SAP 架構及基本操作 SAP前端軟體安裝與登入 Logical View of the SAP System SAP登入 IDES
TechNet Welcome.
授課老師: 林娟娟 教授 報告人 : 黃聖峯 黃崑源
「寬頻匯流網路管理」教材 模組四: 第一章 網路管理架構
建设 21 世纪 具有国际先进水平的 教育与科研计算机网
顧武雄 Jovi Ku Microsoft特約資深講師
課程名稱:_____________ 指導教授:_____________
AZR303 雲端整合企業識別 進行單一簽入 張書源 資深開發技術經理 台灣微軟.
企業e化的藍圖 陳銓鑛 知識長 艾爾法科技公司.
IBM SWG Overall Introduction
Breaking and Fixing Authentication over TLS
微软云计算 --Windows Azure platform
基于.NET的需求分析和解决方案设计 第1章 商务解决方案设计 第2章 收集和分析信息 第3章 解决方案的构思 第4章 概念设计的创建
SAP R/3架構及前端軟體安裝 Logical View of the R/3 System SAP Frontend 6.2安裝
企業導入客戶關係管理(CRM) 執行計劃與效益分析(BSC)


OFC321 InfoPath在企业解决方案中应用的最佳实践
橫跨電腦、手機與軟體的全方位端點管控解決方案
Windows server 2008系列- IIS 7.0 架構與建置技巧
CON223 UDDI:服务的发现和搜索.
從 ER 到 Logical Schema ──兼談Schema Integration
期未報告:公眾無線網路的架構,比較 通訊所 鍾國麟 主要的內容還是S.Y.
TechNet 技術講座 Entry Slide 0
模式与实践:Windows Mobile 5.0应用程序架构
交通大學 運輸科技與管理學系 博士班二年級 朱佑旌
2004年湖北省高校图书馆 自动化和数字图书馆工作研讨会
SAP 架構及基本操作 SAP前端軟體安裝與登入 Logical View of the SAP System SAP登入 IDES
IEEM 5352 Enterprise Integration
Print Security Audit System
新一代信息安全的门户产品 安盟身份认证管理系统7.0
蔺华 ISV开发合作经理 平台及开发技术部 微软(中国)有限公司
案例分析: THE NEXTGEN POS SYSTEM
SAP 架構及前端軟體安裝 Logical View of the SAP System SAP Frontend 7.1安裝 SAP登入
Microsoft SharePoint Portal Server 2003 的部署、建置 與系統整合(上)
強化 Windows 平台 唐任威 資深講師.
高擴充高穩定高安全 企業級資料管理平台 Report Builder概論 錢曉明 資策會 資深講師 台灣微軟 資深講師.
Presentation transcript:

WIN220 Identity and Access Management 微软统一身份管理和访问控制 解决方案(IAM)和产品路线介绍 Feifei Qian Technical Solution Professional Microsoft China ffqian@microsoft.com

内容 为什么需要IAM? IAM如何解决问题 微软IAM解决方案 产品线和未来发展 问题/解答 核心目录服务:Active Directory 统一用户身份和周期管理:MIIS 身份验证和授权:AD/ADAM+AzMan 应用集成和SSO IAM联合(Federation) 产品线和未来发展 问题/解答

内容 为什么需要IAM? IAM如何解决问题 微软IAM解决方案 产品线和未来发展 问题/解答 核心目录服务:Active Directory 统一用户身份和周期管理:MIIS 身份验证和授权:AD/ADAM+AzMan 应用集成和SSO IAM联合(Federation) 产品线和未来发展 问题/解答

企业 IT 应用现状 企业 IT 基础设施已经相对完善 IT 系统在企业中的作用越来越重要 OA MIS 财务系统 MRP / MRPII ERP CRM

您的体系结构是否像这样呢? 东拼西凑 非端到端基础结构 需要大量人工干预 不确定是否安全

从 IT 角度 IT 挑战 商业影响 太多用户目录 提供新帐户 密码管理 审核用户行为 未经授权的桌面更改 软件限制和分发 外出的公司职员 Web 服务 电子邮件 Netware 文件服务器 VPN Internet UNIX 应用程序 商业影响 人员和时间密集 新职员的访问被延迟 未经授权访问的风险 没有单独的用户视图 B2B 桌面 Account Directory

从用户角度 用户挑战 商业影响 过多的凭据 哪个凭据适用于哪个应用程序呢? 多重登录 设置新用户需要等待很长时间 未经授权的桌面更改 Web 服务 电子邮件 Netware 文件服务器 VPN Internet 桌面 商业影响 安全威胁的风险增加 生产力降低 helpdesk 费用增加 UNIX 应用程序 B2B 用户帐户/凭证

成本压力 从业务经理角度 商业问题 IT 成本提高 需要更好的远程访问 紧张的预算 需要购买 CRM 系统 需要掌握商业信息 公司数据是否安全? 需要职员具有更高生产力 网络是否安全? 成本压力 IT 成本提高 需要更好的远程访问 紧张的预算 需要购买 CRM 系统

商业成本 IT 管理成本提高 用户生产力降低 安全威胁的风险增加 密码重设是一项主要的helpdesk成本 用户信息的手动更新 用户等待访问他们所需的系统或软件 太多的密码导致更多的helpdesk请求 丢失文件需要从磁带进行费时的恢复 安全威胁的风险增加 系统访问没有很快或完全撤销 难以在公司内强制实施安全策略 难以保持最新的安全补丁

管理现状 – 手动的事实 人员密集型的特性决定成本 自动化程度 手动 脚本 自动化工具 62% 14% 25% 10 20 30 40 50 60 70 职员成本 停机时间 培训 软件 硬件 60% 16% 24% 人们在手动任务上 耗费的时间 58% 18% 24% 56% 17% 28% 54% 17% 29% 53% 24% 23% 响应百分比 人员成本在五年周期的 TCO 中占据超过 60% 来源: IDC 2002, Microsoft Primary Quantitative Research。400 个针对 IT 专业人员(拥有 25 台以上服务器的数据中心)的半小时电话调查

内容 为什么需要IAM? IAM如何解决问题 微软IAM解决方案 产品线和未来发展 问题/解答 核心目录服务:Active Directory 统一用户身份和周期管理:MIIS 身份验证和授权:AD/ADAM+AzMan 应用集成和SSO IAM联合(Federation) 产品线和未来发展 问题/解答

IAM:统一身份管理和访问控制 目录和用户标识的简化管理 网络资源的安全访问 利用活动目录实现用户和桌面管理 活动目录和微软标识集成服务器MIIS自动进行标识生命周期管理 利用单一登录SSO降低复杂度 网络资源的安全访问 活动目录支持标识和访问管理 通过活动目录和组策略管理控制台GPMC强制公司策略 利用VPN和无线连接安全访问内部资源

用户身份的生命周期 1 新建用户 - 用户 ID 创建 - 凭据颁发 - 权利 4 离职用户 - 除帐户 - 删除权利 2 3 更改用户 - 升职 - 调动 - 权利更改 3 支持部门 - 密码重置 - 新建权利

IAM主要应用场景 企业与员工 B2E Business to Employees 企业与客户 B2C Business to 减少登录次数 用户设置 / 取消注销 口令管理 企业与客户 B2C Business to Customers 客户门户 – Web 单一登录 客户自服务 口令重置 企业与企业 B2B Business to Business 合作伙伴门户 – Web 单一登录 委派管理 合作伙伴自服务

企业与员工 B2E 集成 Windows 单一登录 Exchange Web 服务 登录到 Windows 活动目录 文件共享 Windows 集成应用程序 灵活的验证 Kerberos X509 v3/智能卡 生物鉴定 单一登录到: Windows 文件服务器 Windows Web 应用程序 Exchange email SQL Server BizTalk Server 其他微软应用程序 第三方集成应用程序

企业与员工 B2E 将单一登录扩展到网络 集成网络登录服务 Internet 远程用户 集成 VPN 单一登录 集成无线网单一登录 Exchange IAS/RADIUS Web Service VPN / 远程访问网关 活动目录 Internet 公司网络 文件共享 集成网络登录服务 集成 VPN 单一登录 集成无线网单一登录 证书与智能卡登录 基于标准的互操作 L2TP/IPSEC VPN 802.1x 无线与有线局域网 RADIUS EAP PEAP (Windows .NET) ERP/CRM 远程用户

企 业 业 务 扩展 Windows 单一登录 登录到 活动目录 Kerberos Services for UNIX 应用程序 登录到 活动目录 活动目录 UNIX 390/AS400 Kerberos 内置的验证协议 兼容 MIT v5 支持 PAC 组信息 Windows PAC 开放 Services for UNIX NIS Server for AD NIS-AD 目录同步 口令同步 用户名映射 Host Integration Server Windows to RACF 账户 Windows to AS/400 安全系统 双向口令同步

企 业 业 务 LDAP 验证与目录集成 通过AD集成 LDAP 微软标识集成服务器 MIIS LDAP (例如 iPlanet 等) 兼容 LDAP v3 单一 AD 与 LDAP 用户帐户 AD/AM 个性化数据 微软标识集成服务器 MIIS 目录同步 LDAP (例如 iPlanet 等) 关系数据库 应用程序特定 账户预置 自动账户创建 自动账户取消预置 口令管理 (MIIS 2003) 口令重置自服务 Exchange Web 服务 文件共享 应用程序 活动目录 LDAP SQL 企业应用 账户目录

企业与客户 B2C 在B2C环境中使用 Active Directory 和 Passport 活动目录 (第三步) Web 应用程序验证激活代码并将PUID映射到活动目录账户 (第二步) Passport 验证用户凭据并向 Web 站点返回一个 PUID (第四步) 用户通过活动目录账户得到授权 Windows Server 2003 IIS Web 服务器 应用程序 Passport 管理用户凭据 Passport 管理用户验证 管理员管理用户访问控制 (第一步) 客户使用标准的浏览器访问 Web 站点

企业到企业 B2B 通过活动目录实现 Extranet 访问管理 “信任的” 业务伙伴 Cookie Web 应用 1 授权检测 SSO 代理 SSL会话 EAM Web SSO 企业标识 Web 应用 2 活动目录 SSO 代理 委派管理 SSO 代理 活动目录 验证 LDAP 绑定 合作伙伴标识

内容 为什么需要IAM? IAM如何解决问题 微软IAM解决方案 产品线和未来发展 问题/解答 核心目录服务:Active Directory 统一用户身份和周期管理:MIIS 身份验证和授权:AD/ADAM+AzMan 应用集成和SSO IAM联合(Federation) 产品线和未来发展 问题/解答

微软IAM解决方案框架 Microsoft and Non-Microsoft Web Clients Web Servers Smart Services 微软身份管理和访问控制平台 Smart client SSO, web SSO, claims-based access control, federation 自服务和管理授权 Metadata publication Integration Services (MIIS) Directory Services (AD, ADAM) Access Services (ADFS) 身份管理和访问控制 Policy management, compliance assessment, reporting, enforcement 生命周期管理 与其它系统的连接和互操作

解决方案结构图 Sync Infrastructure Active Directory Web portal Server ADAM Store / retrieve Data Authentication Other Directories and User Info Store Sync Web Client Rich Client

议题 为什么需要IAM? IAM如何解决问题 微软IAM解决方案 客户案例和合作伙伴解决方案 未来发展 核心目录服务:Active Directory 统一用户身份和周期管理:MIIS 身份验证和授权:AD/ADAM+AzMan 应用集成和SSO IAM联合(Federation) 客户案例和合作伙伴解决方案 未来发展

Active Directory 是什么? 提供管理、安全性和互操作性的焦点 焦点 Windows 服务器 Windows 客户端 管理配置文件 网络信息 服务 打印机 文件共享 策略 Windows 用户 帐户信息 优先级 配置文件 策略 Windows 客户端 管理配置文件 网络信息 策略 其他 目录 白皮书 电子商务 Active Directory 焦点 可管理性 安全性 互操作性 网络设备 配置 QoS 策略 安全策略 其他 NOS 用户注册表 安全性 策略 防火墙服务 配置 安全策略 VPN 策略 Internet 电子邮件服务器 邮箱信息 地址簿 应用程序 服务器配置 单点配置 应用程序专用的目录信息 策略 提供管理、安全性和互操作性的焦点

Active Directory 分布式存储库 集成安全性 灵活的访问 简化的管理 数字 ID 和属性 公司组 安全组 应用程序和服务位置 管理和安全策略 数字证书 网络访问策略 集成安全性 Kerberos x509 数字证书 基本的和摘要身份验证 单点登录 网络身份验证 基于角色的访问 灵活的访问 LDAP v3 – 基于标准的访问 ADSI – 基于简单 COM 的接口 DSML – XML 接口 简化的管理 委派的管理 Windows 桌面管理 组策略

内容 为什么需要IAM? IAM如何解决问题 微软IAM解决方案 产品线和未来发展 问题/解答 核心目录服务:Active Directory 统一用户身份和周期管理:MIIS 身份验证和授权:AD/ADAM+AzMan 应用集成和SSO IAM联合(Federation) 产品线和未来发展 问题/解答

需求: 身份生命周期管理 生命周期(Lifecycle)管理: 应用需求: Manage data through various phases during its useful life 应用需求: Automated provisioning and de-provisioning Keep data in ADAM in sync with corporate AD installation Simple setup and maintenance

可选方案:身份生命周期管理 ADAM Sync IIFP MIIS 2003 One way, incremental sync of configurable subset of data from AD to ADAM Limited transformations (users to proxy) IIFP Same features as MIIS 2003 Works with AD, ADAM and Exchange MIIS 2003 Provisioning, de-provisioning, aggregation and sync solution Can work with 30+ data stores

解决方案: 身份生命周期管理 ADAM Sync/IIFP MIIS Infrastructure Active Directory Web portal Server Store/ Retrieve Data Az Man App Data ADAM Authentication MIIS Web Client Rich Client Other Directories and User Info Store

内容 为什么需要IAM? IAM如何解决问题 微软IAM解决方案 产品线和未来发展 问题/解答 核心目录服务:Active Directory 统一用户身份和周期管理:MIIS 身份验证和授权:AD/ADAM+AzMan 应用集成和SSO IAM联合(Federation) 产品线和未来发展 问题/解答

需求: 身份验证 Authentication 身份验证: Means to verify the person is who they say they are 应用需求: Must not require new user ID and password for this application, adding to Identity Management problems Must be flexible and extensible to allow new users access to the app

可选方案: 身份验证 Authentication SSO from workstation logon Basic/Digest HTTP specific authentication methods Basic sends clear passwords Forms-based User types in name and password in app form Cookie written back to browser LDAP binds

推荐做法 集成身份验证 Strong authentication support Single Sign On: Windows OS built-in features allow single sign on (SSO) when client and server joined to domain or forest. Non-windows clients can also get single sign on using partner products Extends effect of Windows Integrated Authentication and Authorization across domains or forests Ability to federate identity across organizations thru ADFS. Thick clients as well as web apps can take advantage IIS integrated No coding needed - Simple checkbox 推荐做法

解决方案: 身份验证 Authentication Sync Infrastructure Active Directory Web portal ADAM Store / retrieve Data Integrated Authentication 集成身份验证 Server Other Directories and User Info Store Sync Web Client Rich Client

需求: 授权 Authorization 授权: grant or deny permission to perform tasks based on identity 应用需求: Entitlements not hard-coded in apps Admin must be able to grant/deny access Both apps must use the same scheme

可选方案: 授权 Authorization Authorization Manager (AzMan) ADFS claims Windows ACL model Fine grained access control LDAP authorization Authorization info is stored as data in store The app server makes sense of the data and provides appropriate access COM+ and ASP.NET roles

Authorization Manager Web portal authorization ADAM Az Man Authentication AzMan Mary (Admin) Bob (User) 推荐做法 Server Infrastructure Directory Roles based Authorization API Manage roles, not object ACLs Simplify entitlement reporting & auditing Query-based groups capture business dynamics App does authorization using roles defined in AzMan Establish role-policy at app design time

解决方案: 授权 Authorization Sync Infrastructure Active Directory Web portal Server AuthZ Az Man App Data ADAM Authentication Other Directories and User Info Store Sync Web Client Rich Client

内容 为什么需要IAM? IAM如何解决问题 微软IAM解决方案 产品线和未来发展 问题/解答 核心目录服务:Active Directory 统一用户身份和周期管理:MIIS 身份验证和授权:AD/ADAM+AzMan 应用集成和SSO IAM联合(Federation) 产品线和未来发展 问题/解答

应用集成和SSO Sync Infrastructure Active Directory Web portal Server ADAM Store / retrieve Data Authentication Authentication Authorization & Other Directories and User Info Store Sync APIs Web Client Rich Client Authentication & Authorization Web SSO Agent Enterprise SSO Agent

内容 为什么需要IAM? IAM如何解决问题 微软IAM解决方案 产品线和未来发展 问题/解答 核心目录服务:Active Directory 统一用户身份和周期管理:…+MIIS 身份验证和授权:AD/ADAM+AzMan 应用集成和SSO IAM联合(Federation) 产品线和未来发展 问题/解答

AD Federation Services (ADFS) 将目录基础架构扩展到企业/组织(Domain)之外 Extranet authentication, authorization, web single sign-on (SSO) B2B/B2C Commerce and Collaboration First step towards AD as a service for SOA 增强安全性,提升IT效率 Delegated user administration, from inside Windows Robust trust management, reusability, and auditing tools Control exactly what data is shared, and with whom Leverages AzMan for extranet-based RBAC 基于标准的互操作性 Based on WS-* specifications (notably WS-Federation) Broad interoperability with other IdM vendors Supports multiple security tokens (e.g. SAML, Kerberos, x509, etc.)

应用场景: Web单点登陆 Resource Side Customers Business Partners Single Sign-on to a Farm of Web Applications Support for browser-based & Smart SOAP Clients Access managed through Authorization Manager Credentials managed in AD at the resource side Employees

应用场景: 身份联合(Federation) Resource Side Cross Organization Namespace Manages: Trust -- Keys Security -- Claims required Privacy -- Claims allowed Audit -- Identities , authorities Account Side Business Partners Single Sign-on across security boundaries (internal & external) Support for browser-based and SOAP clients Interoperable through WS-* Standards Credentials are managed at the “Account Side”

基于ADFS的Web SSO

内容 为什么需要IAM? IAM如何解决问题 微软IAM解决方案 产品线和未来发展 问题/解答 核心目录服务:Active Directory 统一用户身份和周期管理:MIIS 身份验证和授权:AD/ADAM+AzMan 应用集成和SSO IAM联合(Federation) 产品线和未来发展 问题/解答

产品历史和未来发展 Windows Server 2003 Windows Server 2003 R2 Windows Longhorn Active Directory Windows Single Sign-On Enterprise Directory Active Directory Application Mode Application Directory MIIS 2003 Directory synchronization User Lifecycle management Password management HIS 2004 Extend SSO Bi-directional password sync Authorization Manager WebSSO w/Partner Products AD Federation Services in R2 (2H 05) Cross-organizational Identity Federation Web SSO ADAM Synchronizer MIIS 2003 SP1 (CY 04) Broader reach Password Synchronization MA SDK Workflow & Approvals MIIS 3.5 (CY 05) Declarative Provisioning User Self-service Audit/Reporting Module Audit Collection System (CY04) AD manageability, security enhancements Deploy AD alongside rather than upgrade replacement Begin transition to claims-based access management model Simplified and secure digital identity consumer experience

内容 为什么需要IAM? IAM如何解决问题 微软IAM解决方案 产品线和未来发展 问题/解答 核心目录服务:Active Directory 统一用户身份和周期管理:MIIS 身份验证和授权:AD/ADAM+AzMan 应用集成和SSO IAM联合(Federation) 产品线和未来发展 问题/解答

Microsoft Identity & Access Series: http://www. microsoft Microsoft Identity Integration Server 2003: http://microsoft.com/miis Active Directory & ADAM http://microsoft.com/ad http://microsoft.com/adam Microsoft IdM Portal: http://www.microsoft.com/idm MSDN: http://msdn.microsoft.com

使用Active Directory和ADAM构建企业目录基础架构 使用MIIS和其它系统连接 开发基于.Net和IAM架构的应用 参加微软IAM在线社区: http://www.microsoft.com/windowsserver2003/community/centers/directoryservices/default.mspx