TechNet Welcome

蘇建榮 alan_su@uuu.com.tw 恆逸教育訓練中心(精誠資訊) 同盟企業與異質平台識別整合 蘇建榮 alan_su@uuu.com.tw 恆逸教育訓練中心(精誠資訊)

大綱 身份識別與存取解決方案 同盟企業聯合身份識別 UNIX 平台驗證整合 Identity Lifecycle Manager 12/7/2018 7:35 PM 大綱 身份識別與存取解決方案 同盟企業聯合身份識別 UNIX 平台驗證整合 Identity Lifecycle Manager © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary. 3

身份識別 提示與主體已確立關聯的宣告(claims) 聲明主體的身份 護照/身份證 帳號/密碼 相片 智慧卡 IP 位址 生物特徵 姓名、地址、電話號碼、行動電話等… 身份識別

服務原則 必需提出的宣告

身份識別提供者

通行證(安全權杖) 簽發單位 主體 宣告

Identity and Access 解決方案

目錄服務 - AD DS Active Directory 網域服務 Active Directory LDS 全球最普遍部署的目錄服務 集中進行身份識別驗證 提供目錄資訊 Windows 管理 Active Directory LDS Lightweight Directory Services 先前的版本稱為 ADAM 網域控制站非必需 供應用程式使用 AP

增強式驗證 - AD CS 憑證服務 提高存取安全性 降低整體成本 簡化憑證管理 自動部署 驗證、加密、簽章 支援 OCSP 線上憑證狀態協定 降低整體成本 Enterprise CA 與 AD 整合 簡化憑證管理 使用 MMC 嵌入式管理單元 憑證、CA、憑證範本 自動部署 使用群組原則

聯合身份識別 - AD FS 自行管理與驗證 聯合識別 宣告對應 更加安全 同盟企業自行管理自己的用戶 用戶仍在自己企業進行初始驗證 透過同盟信任(Federation Trust) 使用 SAML 安全權杖 宣告對應 將雙方各自的宣告進行轉換 更加安全 不需 VPN 使用 SSL (https)

資訊保護 - AD RMS 版權管理服務 持續保護 原則控管 AD 整合 容易採用與部署 不受轉寄或轉存影響 使用發行授權(PL) 不只是唯讀、不允許列印 可使用權限原則範本簡化設定 AD 整合 使用 AD 進行身份識別與驗證 支援 AD FS 容易採用與部署 Office 2003/2007 等應用軟體採用 Windows Server 2008 與 Vista 內建

身份識別週期管理 - ILM 由 MIIS 與 CLM 演變而來 簡化身份識別與存取管理 提供 IT 更大的控制 提供一個彈性的系統 Metadirectory Service and User Provisioning Certificate and Smart Card Management 簡化身份識別與存取管理 目錄服務、主機系統、資料庫識別同步 IT 人員與使用者管理憑證 提供 IT 更大的控制 以原則為依據的管理解決方案 提供一個彈性的系統 超過 30 個連接器 協力廠商解決方案

大綱 身份識別與存取解決方案 同盟企業聯合身份識別 UNIX 平台驗證整合 Identity Lifecycle Manager 12/7/2018 7:35 PM 大綱 身份識別與存取解決方案 同盟企業聯合身份識別 UNIX 平台驗證整合 Identity Lifecycle Manager © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary. 14

AD 與 Extranet 以 Web 為基礎的應用系統 挑戰 使用 AD 進行單一簽入(SSO) 自行管理自己的使用者 企業間是否允許建立 VPN 通道? 是否需要變更防火牆設定? 有些應用程式需要存取其他資源? 其中一方沒有 AD?

AD FS 的優點 安全 真正單一簽入(Single Sign On) 現有網站應用程式支援 帳戶儲存區 使用 HTTPS (大多數的企業不需變更防火牆設定) 不需連通對方 DC 與 FS 不會曝露內部授權資訊 真正單一簽入(Single Sign On) 存取多個站台與網站程式只需登入一次 使用 session cookie 現有網站應用程式支援 宣告感知型應用程式 NT 權杖型應用程式 帳戶儲存區 Active Directory AD LDS(ADAM)

AD FS 的環境需求 TCP/IP 網路與 DNS 服務 Active Directory 或 AD LDS(ADAM) 帳戶儲存區 憑證授權單位(選擇性) 商業 CA 自行架設的 CA 無 CA, 自行簽發憑證 Windows Server 2008(或 2003 R2)作業系統 Federation Service Federation Service Proxy AD FS Web Agent 用戶端 IE 5/5.5/6/7、Firefox 等

Federation Service Proxy AD FS 的運作 用戶端 IIS Web Server AD FS Web Agent Web Application HTTPS 應用程式 HTTPS HTTPS Firewall Federation Service Proxy HTTPS Federation Service Account Store

Federation Service 也稱為 Security Token Service （STS） 宣告（Claims）對應 管理 federation trust policy 安裝需求 Windows Server 2008(2003 R2), Enterprise Edition IIS、ASP.NET 2.0、.NET Framework 2.0 啟用 TLS/SSL 設定的預設網站 權杖簽章憑證（Token-signing certificates） 加入 Active Directory 網域

Federation Service Proxy 用戶端要求 token 的代理者 提供瀏覽器用戶端 UI 介面 安裝需求 Windows Server 2008(2003 R2), Enterprise Edition IIS、ASP.NET 2.0、.NET Framework 2.0 啟用 TLS/SSL 設定的預設網站 電腦的用戶端憑證 不能與 Federation Service 在同一部電腦 通常使用獨立的伺服器

Web Agent 強制用戶進行驗證(將用戶導向到 FS 或 FSP) 根據 AD FS token 中所要求的權限產生授權內容 寫入 cookie 至用戶端 安裝需求 Windows Server 2008(2003 R2), Standard Edition 或 Enterprise Edition IIS、ASP.NET 2.0、.NET Framework 2.0 啟用 TLS/SSL 設定的網站

Account Store 存放使用者帳戶以供 FS 進行驗證 提供屬性值以供 FS 轉換為 AD FS token 的宣告內容 FS 使用 LDAP 協定與 Account Store 進行通訊 可以同時有多個帳戶儲存區 帳戶儲存區的類型 Active Directory 帳戶儲存區(僅能一個) AD LDS (ADAM) 帳戶儲存區(可以多個)

宣告（Claims） 針對使用者所作的相關陳述 用於應用程式中的授權用途 宣告的類型 宣告的使用方式 識別、群組、自訂 產生者或取用者 連入或連出

安裝 AD FS 設定 Trust Policy

同盟信任（Federation trusts） 建立夥伴組織 帳戶夥伴 負責用戶身份驗證 進行連出宣告的對應 簽發初始權杖（token，通行證） 資源夥伴 驗證用戶出示由帳戶夥伴所簽發通行證（token） 進行連入宣告的對應 簽發可被應用程式承認的權杖（token，通行證）

夥伴組織間的宣告對應 帳戶夥伴 使用者帳戶的屬性 組織宣告 連出宣告名稱 資源夥伴 授權決策 組織宣告 連入宣告名稱

應用程式 需在資源所在組織的 Federation Service 新增 Windows NT 權杖型（token-based）應用程式 『我的組織』中的『應用程式』新增該應用程式的 URL 及宣告 Windows NT 權杖型（token-based）應用程式 使用傳統 Windows 授權機制的應用程式(例：ASP) 程式本身無法辨識宣告的內容 還需在 IIS 管理員進行設定 宣告感知（Claims-aware）應用程式 使用ADFS API 開發的 Microsoft ASP.NET 應用程式 透過 ADFS API，可取得宣告的內容 依宣告的內容進行授權決策 還需在 web.config 進行設定

ADFS API Namespace System.Web.Security.SingleSignOn 同盟信任的設定及使用者驗證有關的各種資訊 System.Web.Security.SingleSignOn.Authorization 與宣告有關的各種資訊 <% @Import Namespace="System.Web.Security.SingleSignOn" %> <% @Import Namespace="System.Web.Security.SingleSignOn.Authorization" %> ： SingleSignOnIdentity ssoId = User.Identity as SingleSignOnIdentity; username = ssoId.Name ; foreach （SecurityProperty securityProperty in ssoId.SecurityPropertyCollection） { NewDataRow["ClaimValue"]=securityProperty.Value; }

建立 Federation Trust 設定 Applications

AD RMS 與 AD FS 整合 B 公司 A 公司 假設 B 公司人員已完成應有的啟動動作 B 公司人員送出受保護的 E-Mail 給 A A 公司收件人對 AD RMS 提出要求 B 公司 RMS 電腦的 AD FS Web agent 攔截此要求 RMS client 將被重新導向到 B 公司 的 FS-R ，並提示自己的 realm 為 A 公司 RMS client 將再被重新導向到 A 公司 的 FS-A 進行驗證（由 A 公司 Account Store，例：AD 網域） RMS client 在驗證過後被重導回 B 公司 的 FS-R 進行確認與對應 RMS client 對 AD RMS 伺服器提出要求 AD FS Web agent 攔截此要求並檢查 FS-R 所發出的 AD FS Token 內容後,送出要求給 AD RMS server RMS server 發出 RAC 給收件人 RMS server 發出 UL 給收件人 收件人存取受保護的文件 AD RMS 與 AD FS 整合 AD AD FS-R FS-A Web Agent 9 4 6 5 7 3 8 AD RMS PL 2 UL 11 12 RAC CLC 10 1 RAC CLC B 公司 A 公司

在 AD RMS 設定 Federation Identity Support

大綱 身份識別與存取解決方案 同盟企業聯合身份識別 UNIX 平台驗證整合 Identity Lifecycle Manager 12/7/2018 7:35 PM 大綱 身份識別與存取解決方案 同盟企業聯合身份識別 UNIX 平台驗證整合 Identity Lifecycle Manager © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary. 32

IDMU (Identity Management for UNIX) 由 Server Manager 安裝 Role: Active Directory Domain Services Role Service: Identity Management for UNIX 密碼同步服務(Password Synchronization) AD 對 UNIX 進行密碼同步 UNIX 對 AD 進行密碼同步 Server for NIS 讓 Active Directory 提供 NIS server 的功能 若裝在 DC 上,則一定扮演 Master 擴增 Active Directory Schema 依循 RFC 2307 規範 (partial set)

密碼同步如何運作 Pluggable Password Authentication Synchronization Module (pam) Password Synchronization Service in Windows Server Single Sign On Daemon (ssod) HP-UX Solaris AIX Red Hat Linux 圖例： 在 UNIX 系統變更密碼 在 Windows 系統變更密碼 34

支援的 UNIX 作業系統 下載 ssod.tar.gz 支援的 UNIX 作業系統 http://go.microsoft.com/fwlink/?LinkId=59120 支援的 UNIX 作業系統 Hewlett-Packard HP-UX 11i IBM AIX 5L 5.2 Red Hat Linux 8 & 9 Sun Solaris version 8 (x86 & SPARC) Solaris version 9 (SPARC)

在 2008 設定 Password Synchronization Service 勾選同步的方向 Windows to UNIX UNIX to Windows 變更加密與解密的 Key 在 Unix-Based Computers 將安裝 ssod.tar.gz 中的 ssod 或 pam 元件的 unix 電腦加入

在 UNIX 進行設定 AD 對 UNIX 進行密碼同步 UNIX 對 AD 進行密碼同步 將 ssod.tar.gz 中的 ssod.rhl copy 到 /usr/bin/ssod sso.cfg copy 到 /etc/sso.conf 修改 sso.conf 中 ENCRYPT_KEY 與 SYNC_HOSTS UNIX 對 AD 進行密碼同步 將 ssod.tar.gz 中的 pam_sso.rhl copy 到/lib/security/pam_sso.so.1 修改 /etc/pam.d/system-auth

AD 與 UNIX 進行密碼同步

Server for NIS AD 與 NIS整合 Windows 網域 UNIX 電腦 Active Directory Master Server Windows 電腦 NIS Slave Server#1 NIS Slave Server#n 用戶端 #1 用戶端 #2 用戶端 #3 用戶端 #m 39

為何以 AD 做為 NIS Master Server 不需更動您的 UNIX clients 它們不需要重新連結(rebind) AD 的 NIS 伺服器(使用 broadcast 時) NIS 是 single-master，AD 提供 multi-master 複寫 容易管理 您只需在 AD 建立使用者帳戶即可 UNIX 的 NIS servers 可以解除安裝

設定 NIS 在 UNIX 使用 ypcat 將 passwd 與 group 等，匯出成檔案 在 2008 安裝 IDMU 後，請重新開機兩次 在 Server for NIS 使用 NIS data migration wizard 進行遷移 設定 Password Synchronization 與 NIS 進行密碼同步 在 AD 中的 user 物件，userPasswd 與 unixUserPassword 是2個不同的屬性

使用 NIS data migration wizard 進行遷移

大綱 身份識別與存取解決方案 同盟企業聯合身份識別 UNIX 平台驗證整合 Identity Lifecycle Manager 12/7/2018 7:35 PM 大綱 身份識別與存取解決方案 同盟企業聯合身份識別 UNIX 平台驗證整合 Identity Lifecycle Manager © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary. 43

Identity Lifecycle Manager 2007 身份識別同步 跨企業系統使用者單一檢視 跨系統身份識別資訊一致化 使用者管理 自動化處理員工到職與離職 強制跨系統使用一致的憑據 憑證與智慧卡管理 簡少管理憑證的成本 自動化的憑證發行與撤銷 很容易的進行智慧卡的部署

伺服器系統需求 Metadirectory services and user provisioning Windows Server 2003 Enterprise Edition 或 Windows Server 2003 R2 Enterprise Edition Microsoft .NET Framework 2.0 Microsoft SQL Server 2000 sp3(含以上) 或 Microsoft SQL Server 2005 (建議 sp1 或更新) Certificate and smart card management Active Directory Windows Server 2003 Enterprise Edition 的Enterprise CA Windows Server 2003 Enterprise Edition sp1

ILM 2007 連接能力 Active Directory 與 ADAM Microsoft NT 4.0 Sun Directory Server 4.x/5.x Novell eDirectory 8.7.x/8.7/8.6.2 IBM Tivoli Directory Server/Resource Access Control Facility Computer Associates eTrust ACF2/Top Secret Microsoft SQL Server 2005/2000/7 Oracle 10g/9i/8i IBM DB2 Lotus Notes 6.x/5.0/4.6 Microsoft Exchange 2007/2003/2000/5.5 DSML、LDIF、CSV、固定寬度文字等..

Metadirectory 服務的主要元件 Store (SQL Server) 連結器空間 （Connector Space－CS） 同步資訊 （Metaverse－MV） 連結資料的來源 Connected Directory Management Agent 呼叫基礎的 MAs Connected Directory Management Agent Connected Directory Management Agent 文字檔 檔案基礎的 MA

Certificate Templates 憑證服務的應用 RAS/VPN Server VPN Client Certificate Server Active Directory IAS/RADIUS Server Wireless Client Wireless AP Switch Certificate Templates Client Computer

CLM 2007 結構 實體結構 邏輯結構 其它服務 Microsoft Certificate Authority CLM Policy Module CLM Exit Module Microsoft CAs E-mail Server CLM AD Integration CLM Web App Active Directory Microsoft CLM Server Internet Information Server Internet Explorer CLM Browser Control SQL Server Smart Card Middleware End User 49

安裝與設定 ILM 2007

結論 聯合身份識別 – AD FS 持續性的對資訊進行保護 – AD RMS UNIX 平台驗證整合 – IDMU 同步識別資訊、快速的提供使用者帳戶、管理憑證與智慧卡 - ILM

相關資源 Microsoft Windows Server 2008 Home http://www.microsoft.com/windowsserver2008/ Microsoft Identity Lifecycle Manager Web Page http://www.microsoft.com/ilm/ Microsoft TechNet http://www.microsoft.com/taiwan/technet/ Microsoft Forums http://forums.microsoft.com/

For training information and availability www.microsoft.com/learning Training Resources Course ID Title 6716A Updating Your Active Directory Technology Skills to Windows Server 2008(Beta 3) For training information and availability www.microsoft.com/learning

Readiness with Skills Assessment Self-study learning tool free to anyone. Determines skills gaps. Provides learning plans. Post your Score, see how you stack up. Visit www.microsoft.com/assessment

Become a Microsoft Certified Professional What are MCP certifications? Validation in performing critical IT functions. Why Certify? WW recognition of skills gained via experience. More effective deployments with reduced costs What Certifications are there for IT Pros? MCP, MCSE, MCSA, MCDST, MCDBA. www.microsoft.com/learning/mcp

Heard the News about TechNet? Software without time limits! Complimentary technical support. The most current resources on hand www.microsoft.com/technet/subscriptions

Find all these support options at www. microsoft Find all these support options at www.microsoft.com/technet/support Microsoft offers a progressive series of support options starting with no-charge online support and developing through subscription, incident, and contract support. 1. No-Charge Online Support Knowledge Base Search a vast database of articles to pinpoint the information you need. Newsgroups Access over 20,000 active newsgroups on scores of topics. Product Support Centers Get answers to frequently asked questions, plus how-to articles and step- by-step instructions organized by product. DLL Help Database Search here to identify the software used to install a specific DLL version. Events and Errors Message Center Resolve event and error messages fast with explanations, recommendations, and links to support and resources. Support Webcasts Tune in to live technical presentations by Microsoft experts and take part in real- time Q&A. Chats Chat online with Microsoft specialists or search the transcript archives. User Group Program Access information and support for IT and other interest-specific user groups. TechNet Security Resource Center Get ahead of security risks with resources that keep you current, including security newsletters and the Microsoft notification service. 2. Subscription-Based Support TechNet Subscription Subscribe to TechNet for a personal library of articles, service packs, how-tos, resource kits, tools, utilities, and more. Your subscription includes monthly updates delivered on CD or DVD, so you always have the latest information, straight from the source. Upgrade to a TechNet Plus subscription and add all this: 1. Full-version evaluation software, including Microsoft Office System and Windows Server System™ products, without time restrictions. 2. Free support — two complimentary incidents, plus a discount on other support calls. 3. Unlimited, next-business-day access to reliable answers from the IT community and Microsoft Support Professionals through Managed Newsgroups (English only). 3. Assisted Incident Support E-mail Support Get online incident help via e-mail from a Microsoft Support Professional. Phone Support Get incident help over the phone from a Microsoft Support Professional. Phone Support Contract Save with a discounted 5-Pack Phone Support contract. Advisory Services Add remotely delivered consultation options from Microsoft Advisory Services for proactive support that goes far beyond routine product maintenance. 4. Contract-Based Support Premier Support Get the flexibility to match support options to your organization and enjoy direct access to Microsoft technical experts at any time, day or night. Premier Support delivers customized options for businesses with complex needs, including dedicated technical professionals to oversee your support, 24x7 problem resolution, and training and workshops that keep your IT staff up to date. Essential Support Essential Support offers prepackaged options specifically designed to meet the fundamental support requirements of any business, large or small. Includes account management, problem resolution, and information services.

Where Else Can I Get Help? Free chats and webcasts List of newsgroups Microsoft community sites Community events and columns www.microsoft.com/technet/community

59