WIN220 Identity and Access Management 微软统一身份管理和访问控制 解决方案(IAM)和产品路线介绍 Feifei Qian Technical Solution Professional Microsoft China ffqian@microsoft.com

内容 为什么需要IAM? IAM如何解决问题 微软IAM解决方案 产品线和未来发展 问题/解答 核心目录服务：Active Directory 统一用户身份和周期管理：MIIS 身份验证和授权：AD/ADAM+AzMan 应用集成和SSO IAM联合(Federation) 产品线和未来发展 问题/解答

内容 为什么需要IAM? IAM如何解决问题 微软IAM解决方案 产品线和未来发展 问题/解答 核心目录服务：Active Directory 统一用户身份和周期管理：MIIS 身份验证和授权：AD/ADAM+AzMan 应用集成和SSO IAM联合(Federation) 产品线和未来发展 问题/解答

企业 IT 应用现状 企业 IT 基础设施已经相对完善 IT 系统在企业中的作用越来越重要 OA MIS 财务系统 MRP / MRPII ERP CRM

您的体系结构是否像这样呢？ 东拼西凑 非端到端基础结构 需要大量人工干预 不确定是否安全

从 IT 角度 IT 挑战 商业影响 太多用户目录 提供新帐户 密码管理 审核用户行为 未经授权的桌面更改 软件限制和分发 外出的公司职员 Web 服务 电子邮件 Netware 文件服务器 VPN Internet UNIX 应用程序 商业影响 人员和时间密集 新职员的访问被延迟 未经授权访问的风险 没有单独的用户视图 B2B 桌面 Account Directory

从用户角度 用户挑战 商业影响 过多的凭据 哪个凭据适用于哪个应用程序呢？ 多重登录 设置新用户需要等待很长时间 未经授权的桌面更改 Web 服务 电子邮件 Netware 文件服务器 VPN Internet 桌面 商业影响 安全威胁的风险增加 生产力降低 helpdesk 费用增加 UNIX 应用程序 B2B 用户帐户/凭证

成本压力 从业务经理角度 商业问题 IT 成本提高 需要更好的远程访问 紧张的预算 需要购买 CRM 系统 需要掌握商业信息 公司数据是否安全？ 需要职员具有更高生产力 网络是否安全？ 成本压力 IT 成本提高 需要更好的远程访问 紧张的预算 需要购买 CRM 系统

商业成本 IT 管理成本提高 用户生产力降低 安全威胁的风险增加 密码重设是一项主要的helpdesk成本 用户信息的手动更新 用户等待访问他们所需的系统或软件 太多的密码导致更多的helpdesk请求 丢失文件需要从磁带进行费时的恢复 安全威胁的风险增加 系统访问没有很快或完全撤销 难以在公司内强制实施安全策略 难以保持最新的安全补丁

管理现状 – 手动的事实 人员密集型的特性决定成本 自动化程度 手动 脚本 自动化工具 62% 14% 25% 10 20 30 40 50 60 70 职员成本 停机时间 培训 软件 硬件 60% 16% 24% 人们在手动任务上 耗费的时间 58% 18% 24% 56% 17% 28% 54% 17% 29% 53% 24% 23% 响应百分比 人员成本在五年周期的 TCO 中占据超过 60% 来源: IDC 2002, Microsoft Primary Quantitative Research。400 个针对 IT 专业人员（拥有 25 台以上服务器的数据中心）的半小时电话调查

内容 为什么需要IAM? IAM如何解决问题 微软IAM解决方案 产品线和未来发展 问题/解答 核心目录服务：Active Directory 统一用户身份和周期管理：MIIS 身份验证和授权：AD/ADAM+AzMan 应用集成和SSO IAM联合(Federation) 产品线和未来发展 问题/解答

IAM:统一身份管理和访问控制 目录和用户标识的简化管理 网络资源的安全访问 利用活动目录实现用户和桌面管理 活动目录和微软标识集成服务器MIIS自动进行标识生命周期管理 利用单一登录SSO降低复杂度 网络资源的安全访问 活动目录支持标识和访问管理 通过活动目录和组策略管理控制台GPMC强制公司策略 利用VPN和无线连接安全访问内部资源

用户身份的生命周期 1 新建用户 - 用户 ID 创建 - 凭据颁发 - 权利 4 离职用户 - 除帐户 - 删除权利 2 3 更改用户 - 升职 - 调动 - 权利更改 3 支持部门 - 密码重置 - 新建权利

IAM主要应用场景 企业与员工 B2E Business to Employees 企业与客户 B2C Business to 减少登录次数 用户设置 / 取消注销 口令管理 企业与客户 B2C Business to Customers 客户门户 – Web 单一登录 客户自服务 口令重置 企业与企业 B2B Business to Business 合作伙伴门户 – Web 单一登录 委派管理 合作伙伴自服务

企业与员工 B2E 集成 Windows 单一登录 Exchange Web 服务 登录到 Windows 活动目录 文件共享 Windows 集成应用程序 灵活的验证 Kerberos X509 v3/智能卡 生物鉴定 单一登录到: Windows 文件服务器 Windows Web 应用程序 Exchange email SQL Server BizTalk Server 其他微软应用程序 第三方集成应用程序

企业与员工 B2E 将单一登录扩展到网络 集成网络登录服务 Internet 远程用户 集成 VPN 单一登录 集成无线网单一登录 Exchange IAS/RADIUS Web Service VPN / 远程访问网关 活动目录 Internet 公司网络 文件共享 集成网络登录服务 集成 VPN 单一登录 集成无线网单一登录 证书与智能卡登录 基于标准的互操作 L2TP/IPSEC VPN 802.1x 无线与有线局域网 RADIUS EAP PEAP (Windows .NET) ERP/CRM 远程用户

企 业 业 务 扩展 Windows 单一登录 登录到 活动目录 Kerberos Services for UNIX 应用程序 登录到 活动目录 活动目录 UNIX 390/AS400 Kerberos 内置的验证协议 兼容 MIT v5 支持 PAC 组信息 Windows PAC 开放 Services for UNIX NIS Server for AD NIS-AD 目录同步 口令同步 用户名映射 Host Integration Server Windows to RACF 账户 Windows to AS/400 安全系统 双向口令同步

企 业 业 务 LDAP 验证与目录集成 通过AD集成 LDAP 微软标识集成服务器 MIIS LDAP (例如 iPlanet 等) 兼容 LDAP v3 单一 AD 与 LDAP 用户帐户 AD/AM 个性化数据 微软标识集成服务器 MIIS 目录同步 LDAP (例如 iPlanet 等) 关系数据库 应用程序特定 账户预置 自动账户创建 自动账户取消预置 口令管理 (MIIS 2003) 口令重置自服务 Exchange Web 服务 文件共享 应用程序 活动目录 LDAP SQL 企业应用 账户目录

企业与客户 B2C 在B2C环境中使用 Active Directory 和 Passport 活动目录 (第三步) Web 应用程序验证激活代码并将PUID映射到活动目录账户 (第二步) Passport 验证用户凭据并向 Web 站点返回一个 PUID (第四步) 用户通过活动目录账户得到授权 Windows Server 2003 IIS Web 服务器 应用程序 Passport 管理用户凭据 Passport 管理用户验证 管理员管理用户访问控制 (第一步) 客户使用标准的浏览器访问 Web 站点

企业到企业 B2B 通过活动目录实现 Extranet 访问管理 “信任的” 业务伙伴 Cookie Web 应用 1 授权检测 SSO 代理 SSL会话 EAM Web SSO 企业标识 Web 应用 2 活动目录 SSO 代理 委派管理 SSO 代理 活动目录 验证 LDAP 绑定 合作伙伴标识

内容 为什么需要IAM? IAM如何解决问题 微软IAM解决方案 产品线和未来发展 问题/解答 核心目录服务：Active Directory 统一用户身份和周期管理：MIIS 身份验证和授权：AD/ADAM+AzMan 应用集成和SSO IAM联合(Federation) 产品线和未来发展 问题/解答

微软IAM解决方案框架 Microsoft and Non-Microsoft Web Clients Web Servers Smart Services 微软身份管理和访问控制平台 Smart client SSO, web SSO, claims-based access control, federation 自服务和管理授权 Metadata publication Integration Services (MIIS) Directory Services (AD, ADAM) Access Services (ADFS) 身份管理和访问控制 Policy management, compliance assessment, reporting, enforcement 生命周期管理 与其它系统的连接和互操作

解决方案结构图 Sync Infrastructure Active Directory Web portal Server ADAM Store / retrieve Data Authentication Other Directories and User Info Store Sync Web Client Rich Client

议题 为什么需要IAM? IAM如何解决问题 微软IAM解决方案 客户案例和合作伙伴解决方案 未来发展 核心目录服务：Active Directory 统一用户身份和周期管理：MIIS 身份验证和授权：AD/ADAM+AzMan 应用集成和SSO IAM联合(Federation) 客户案例和合作伙伴解决方案 未来发展

Active Directory 是什么? 提供管理、安全性和互操作性的焦点 焦点 Windows 服务器 Windows 客户端 管理配置文件 网络信息 服务 打印机 文件共享 策略 Windows 用户 帐户信息 优先级 配置文件 策略 Windows 客户端 管理配置文件 网络信息 策略 其他 目录 白皮书 电子商务 Active Directory 焦点 可管理性 安全性 互操作性 网络设备 配置 QoS 策略 安全策略 其他 NOS 用户注册表 安全性 策略 防火墙服务 配置 安全策略 VPN 策略 Internet 电子邮件服务器 邮箱信息 地址簿 应用程序 服务器配置 单点配置 应用程序专用的目录信息 策略 提供管理、安全性和互操作性的焦点

Active Directory 分布式存储库 集成安全性 灵活的访问 简化的管理 数字 ID 和属性 公司组 安全组 应用程序和服务位置 管理和安全策略 数字证书 网络访问策略 集成安全性 Kerberos x509 数字证书 基本的和摘要身份验证 单点登录 网络身份验证 基于角色的访问 灵活的访问 LDAP v3 – 基于标准的访问 ADSI – 基于简单 COM 的接口 DSML – XML 接口 简化的管理 委派的管理 Windows 桌面管理 组策略

内容 为什么需要IAM? IAM如何解决问题 微软IAM解决方案 产品线和未来发展 问题/解答 核心目录服务：Active Directory 统一用户身份和周期管理：MIIS 身份验证和授权：AD/ADAM+AzMan 应用集成和SSO IAM联合(Federation) 产品线和未来发展 问题/解答

需求: 身份生命周期管理 生命周期(Lifecycle)管理: 应用需求: Manage data through various phases during its useful life 应用需求: Automated provisioning and de-provisioning Keep data in ADAM in sync with corporate AD installation Simple setup and maintenance

可选方案：身份生命周期管理 ADAM Sync IIFP MIIS 2003 One way, incremental sync of configurable subset of data from AD to ADAM Limited transformations (users to proxy) IIFP Same features as MIIS 2003 Works with AD, ADAM and Exchange MIIS 2003 Provisioning, de-provisioning, aggregation and sync solution Can work with 30+ data stores

解决方案: 身份生命周期管理 ADAM Sync/IIFP MIIS Infrastructure Active Directory Web portal Server Store/ Retrieve Data Az Man App Data ADAM Authentication MIIS Web Client Rich Client Other Directories and User Info Store

内容 为什么需要IAM? IAM如何解决问题 微软IAM解决方案 产品线和未来发展 问题/解答 核心目录服务：Active Directory 统一用户身份和周期管理：MIIS 身份验证和授权：AD/ADAM+AzMan 应用集成和SSO IAM联合(Federation) 产品线和未来发展 问题/解答

需求: 身份验证 Authentication 身份验证: Means to verify the person is who they say they are 应用需求: Must not require new user ID and password for this application, adding to Identity Management problems Must be flexible and extensible to allow new users access to the app

可选方案: 身份验证 Authentication SSO from workstation logon Basic/Digest HTTP specific authentication methods Basic sends clear passwords Forms-based User types in name and password in app form Cookie written back to browser LDAP binds

推荐做法 集成身份验证 Strong authentication support Single Sign On: Windows OS built-in features allow single sign on (SSO) when client and server joined to domain or forest. Non-windows clients can also get single sign on using partner products Extends effect of Windows Integrated Authentication and Authorization across domains or forests Ability to federate identity across organizations thru ADFS. Thick clients as well as web apps can take advantage IIS integrated No coding needed - Simple checkbox 推荐做法

解决方案: 身份验证 Authentication Sync Infrastructure Active Directory Web portal ADAM Store / retrieve Data Integrated Authentication 集成身份验证 Server Other Directories and User Info Store Sync Web Client Rich Client

需求: 授权 Authorization 授权: grant or deny permission to perform tasks based on identity 应用需求: Entitlements not hard-coded in apps Admin must be able to grant/deny access Both apps must use the same scheme

可选方案: 授权 Authorization Authorization Manager (AzMan) ADFS claims Windows ACL model Fine grained access control LDAP authorization Authorization info is stored as data in store The app server makes sense of the data and provides appropriate access COM+ and ASP.NET roles

Authorization Manager Web portal authorization ADAM Az Man Authentication AzMan Mary (Admin) Bob (User) 推荐做法 Server Infrastructure Directory Roles based Authorization API Manage roles, not object ACLs Simplify entitlement reporting & auditing Query-based groups capture business dynamics App does authorization using roles defined in AzMan Establish role-policy at app design time

解决方案: 授权 Authorization Sync Infrastructure Active Directory Web portal Server AuthZ Az Man App Data ADAM Authentication Other Directories and User Info Store Sync Web Client Rich Client

内容 为什么需要IAM? IAM如何解决问题 微软IAM解决方案 产品线和未来发展 问题/解答 核心目录服务：Active Directory 统一用户身份和周期管理：MIIS 身份验证和授权：AD/ADAM+AzMan 应用集成和SSO IAM联合(Federation) 产品线和未来发展 问题/解答

应用集成和SSO Sync Infrastructure Active Directory Web portal Server ADAM Store / retrieve Data Authentication Authentication Authorization & Other Directories and User Info Store Sync APIs Web Client Rich Client Authentication & Authorization Web SSO Agent Enterprise SSO Agent

内容 为什么需要IAM? IAM如何解决问题 微软IAM解决方案 产品线和未来发展 问题/解答 核心目录服务：Active Directory 统一用户身份和周期管理：…+MIIS 身份验证和授权：AD/ADAM+AzMan 应用集成和SSO IAM联合(Federation) 产品线和未来发展 问题/解答

AD Federation Services (ADFS) 将目录基础架构扩展到企业/组织(Domain)之外 Extranet authentication, authorization, web single sign-on (SSO) B2B/B2C Commerce and Collaboration First step towards AD as a service for SOA 增强安全性，提升IT效率 Delegated user administration, from inside Windows Robust trust management, reusability, and auditing tools Control exactly what data is shared, and with whom Leverages AzMan for extranet-based RBAC 基于标准的互操作性 Based on WS-* specifications (notably WS-Federation) Broad interoperability with other IdM vendors Supports multiple security tokens (e.g. SAML, Kerberos, x509, etc.)

应用场景: Web单点登陆 Resource Side Customers Business Partners Single Sign-on to a Farm of Web Applications Support for browser-based & Smart SOAP Clients Access managed through Authorization Manager Credentials managed in AD at the resource side Employees

应用场景: 身份联合(Federation) Resource Side Cross Organization Namespace Manages: Trust -- Keys Security -- Claims required Privacy -- Claims allowed Audit -- Identities , authorities Account Side Business Partners Single Sign-on across security boundaries (internal & external) Support for browser-based and SOAP clients Interoperable through WS-* Standards Credentials are managed at the “Account Side”

基于ADFS的Web SSO

内容 为什么需要IAM? IAM如何解决问题 微软IAM解决方案 产品线和未来发展 问题/解答 核心目录服务：Active Directory 统一用户身份和周期管理：MIIS 身份验证和授权：AD/ADAM+AzMan 应用集成和SSO IAM联合(Federation) 产品线和未来发展 问题/解答

产品历史和未来发展 Windows Server 2003 Windows Server 2003 R2 Windows Longhorn Active Directory Windows Single Sign-On Enterprise Directory Active Directory Application Mode Application Directory MIIS 2003 Directory synchronization User Lifecycle management Password management HIS 2004 Extend SSO Bi-directional password sync Authorization Manager WebSSO w/Partner Products AD Federation Services in R2 (2H 05) Cross-organizational Identity Federation Web SSO ADAM Synchronizer MIIS 2003 SP1 (CY 04) Broader reach Password Synchronization MA SDK Workflow & Approvals MIIS 3.5 (CY 05) Declarative Provisioning User Self-service Audit/Reporting Module Audit Collection System (CY04) AD manageability, security enhancements Deploy AD alongside rather than upgrade replacement Begin transition to claims-based access management model Simplified and secure digital identity consumer experience

内容 为什么需要IAM? IAM如何解决问题 微软IAM解决方案 产品线和未来发展 问题/解答 核心目录服务：Active Directory 统一用户身份和周期管理：MIIS 身份验证和授权：AD/ADAM+AzMan 应用集成和SSO IAM联合(Federation) 产品线和未来发展 问题/解答

Microsoft Identity & Access Series: http://www. microsoft Microsoft Identity Integration Server 2003: http://microsoft.com/miis Active Directory & ADAM http://microsoft.com/ad http://microsoft.com/adam Microsoft IdM Portal: http://www.microsoft.com/idm MSDN: http://msdn.microsoft.com

使用Active Directory和ADAM构建企业目录基础架构 使用MIIS和其它系统连接 开发基于.Net和IAM架构的应用 参加微软IAM在线社区： http://www.microsoft.com/windowsserver2003/community/centers/directoryservices/default.mspx