基于微软身份管理和访问控制平台的解决方案开发 2019年4月12日2时27分 基于微软身份管理和访问控制平台的解决方案开发 李英歌 技术专家 微软中国技术中心 © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.
2019年4月12日2时27分 © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.
场景: 业务需求 企业使用活动目录作为主要的目录服务 企业希望能够记录资产使用情况 利用现有基础架构 开发人员被要求开发: 2019年4月12日2时27分 场景: 业务需求 企业使用活动目录作为主要的目录服务 企业希望能够记录资产使用情况 利用现有基础架构 开发人员被要求开发: 一个web应用提供资产管理的基本功能,供普通用户使用 一个全功能应用提供提供资产管理的全部功能,供部门管理员使用 © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.
应用需求 访问控制 身份存储 对数据生命周期的管理 验证 鉴权 用户凭证(credentials)及配置信息(profile data) 2019年4月12日2时27分 应用需求 访问控制 验证 鉴权 身份存储 用户凭证(credentials)及配置信息(profile data) 对数据生命周期的管理 © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.
应用需求: 验证 验证: 需求: 用户是谁? 为减少身份管理问题,不能为该应用增添新的一套用户ID及密码。 必须足够灵活以便于新用户访问应用 2019年4月12日2时27分 应用需求: 验证 验证: 用户是谁? 需求: 为减少身份管理问题,不能为该应用增添新的一套用户ID及密码。 必须足够灵活以便于新用户访问应用 © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.
验证:可选方案 与工作站登录集成的单点登录 Basic/Digest 基于Form的 HTTP协议相关的验证方式 Basic发送明文密码 2019年4月12日2时27分 验证:可选方案 与工作站登录集成的单点登录 Basic/Digest HTTP协议相关的验证方式 Basic发送明文密码 基于Form的 用户在form中输入用户名和密码 Cookie被写回浏览器 © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.
建议使用 验证:集成验证 认证强度高 单点登录 Rich client及web应用都可以使用 与IIS集成 2019年4月12日2时27分 验证:集成验证 认证强度高 单点登录 Windows内置功能允许域或森林内的单点登录 可扩展至跨域或森林的验证 通过ADFS可实现跨组织机构的身份认证 Rich client及web应用都可以使用 与IIS集成 无需编码 建议使用 © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.
验证:实现 实现 满足需求 Web client: 无需代码 Rich client: 利用现有活动目录验证用户 单点登录 易于添加新用户 2019年4月12日2时27分 验证:实现 实现 Web client: 无需代码 Rich client: Winsock: SSPI RPC: 已集成 DCOM: 已集成 Web Service: WSE 满足需求 利用现有活动目录验证用户 单点登录 易于添加新用户 © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.
验证: 解决方案 Sync Infrastructure Active Directory Web portal ADAM 2019年4月12日2时27分 验证: 解决方案 Sync Infrastructure Active Directory Web portal ADAM Store / retrieve Data Authentication Server Web Client Rich Client © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.
应用需求 访问控制 存储 对身份数据生命周期的管理 验证 鉴权 用户凭证(credentials)及配置信息(profile data) 2019年4月12日2时27分 应用需求 访问控制 验证 鉴权 存储 用户凭证(credentials)及配置信息(profile data) 对身份数据生命周期的管理 © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.
应用需求: 鉴权 鉴权: 需求: 基于用户身份赋予或拒绝完成某一任务的权限 授权不能硬编码在应用中 2019年4月12日2时27分 应用需求: 鉴权 鉴权: 基于用户身份赋予或拒绝完成某一任务的权限 需求: 授权不能硬编码在应用中 Admin must be able to grant/deny access 两种应用共享配置 © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.
鉴权:可选方案 Authorization Manager (AzMan) ADFS claims Windows ACL model 2019年4月12日2时27分 鉴权:可选方案 Authorization Manager (AzMan) ADFS claims Windows ACL model 细粒度控制 应用程序专用方式 鉴权信息与数据共同存储 应用使用私有方法使用鉴权信息 COM+角色 ASP.NET角色 © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.
鉴权:Authorization Manager 2019年4月12日2时27分 鉴权:Authorization Manager Web portal authorization ADAM Az Man Authentication AzMan Mary (Admin) Bob (User) 建议使用 Server Infrastructure Directory 基于角色的鉴权 基于查询的组保证业务灵活性 应用程序设计时定义角色策略 © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.
鉴权:AzMan AzMan: Windows Server 2003, Windows 2000 (需下载) 2019年4月12日2时27分 鉴权:AzMan AzMan: Windows Server 2003, Windows 2000 (需下载) 高可伸缩性的角色和策略存储: AD / ADAM Policy definition script: Set App = AzManStore.CreateApplication(“AssetTracker") App.CreateOperation(“ViewRpt") Set Task=App.CreateTask(“View Report") Task1.AddOperation CStr(“ViewRpt") © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.
鉴权:实现 Authorization Manager 满足需求 一致的角色映射,可在多个应用间重用 角色分配可由管理员指定,未硬编码入应用 2019年4月12日2时27分 鉴权:实现 Authorization Manager '------- at application boot -- AzPol.Initialize 0,“msldap://Server:port/CN=MyStore,DC=… App = AzStore.OpenApplication(“AssetTracker") '------- at client Connect -- Context = App.InitializeClientContextFromName '------- on request -- Context.AccessCheck(“ViewRpt",Scope,Operations,Names,Values) Context.GetRoles () 满足需求 一致的角色映射,可在多个应用间重用 角色分配可由管理员指定,未硬编码入应用 © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.
鉴权:解决方案 Sync Infrastructure Active Directory Web portal Server ADAM 2019年4月12日2时27分 鉴权:解决方案 Sync Infrastructure Active Directory Web portal Server AuthZ Az Man App Data ADAM Authentication Web Client Rich Client © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.
应用需求 访问控制 身份存储 对身份数据生命周期的管理 验证 鉴权 2019年4月12日2时27分 应用需求 访问控制 验证 鉴权 身份存储 用户凭证(credentials)及配置信息(profile data) 对身份数据生命周期的管理 © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.
需求:身份存储 身份存储 需求 用户凭证(credentials) 用户配置信息(profile data) 利用现有基础架构及数据 2019年4月12日2时27分 需求:身份存储 身份存储 用户凭证(credentials) 用户配置信息(profile data) 需求 利用现有基础架构及数据 可伸缩性、可用性 Seamless setup & configuration 易于管理 © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.
2019年4月12日2时27分 身份存储:可选方案 数据库 目录 © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.
建议使用 身份存储: 活动目录 活动目录是为身份存储而设计的 2019年4月12日2时27分 身份存储: 活动目录 活动目录是为身份存储而设计的 基本用户profile数据已经存在于活动目录中(phone number, cost center…) 标准认证协议支持: Kerberos, SSL, Digest 建议使用 © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.
身份存储: 活动目录 AD ADAM 用于企业范围内的身份及配置数据 用于应用范围内的身份及配置数据 ADAM Sync Web 2019年4月12日2时27分 身份存储: 活动目录 Sync Web portal ADAM LDAP App partition Client Server Infrastructure Active Directory AD 用于企业范围内的身份及配置数据 ADAM 用于应用范围内的身份及配置数据 © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.
身份存储: 实现 Managed code: Native code: 2019年4月12日2时27分 身份存储: 实现 Managed code: System.DirectoryServices : 较高层次的接口,易用 System.DirectoryServices.Protocols : 提供较低层的LDAP访问,适用于高性能的应用 ADO.NET : 部分功能 Native code: Active Directory Service Interfaces (ADSI) LDAP Win32 API set for C and C+ © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.
身份存储: 解决方案 AD & ADAM 满足需求: 利用现有基础架构 可伸缩性、可靠性、可管理性 2019年4月12日2时27分 © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.
身份存储: 解决方案 Infrastructure Active Directory Server Sync Web portal ADAM 2019年4月12日2时27分 身份存储: 解决方案 Sync Infrastructure Active Directory Web portal Server Store/ Retrieve Data Az Man App Data ADAM Authentication Web Client Rich Client © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.
应用需求 访问控制 身份存储 对身份数据生命周期的管理 验证 鉴权 2019年4月12日2时27分 应用需求 访问控制 验证 鉴权 身份存储 用户凭证(credentials)及配置信息(profile data) 对身份数据生命周期的管理 © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.
需求: 生命周期管理 生命周期管理 应用需求 在身份数据被使用的整个周期中进行管理 自动化 数据同步 易于维护 2019年4月12日2时27分 需求: 生命周期管理 生命周期管理 在身份数据被使用的整个周期中进行管理 应用需求 自动化 数据同步 易于维护 © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.
生命周期管理:可选方案 ADAM Sync MIIS 2003 单向、增量从AD同步数据到ADAM 全面的解决方案 支持30+种身份存储 2019年4月12日2时27分 生命周期管理:可选方案 ADAM Sync 单向、增量从AD同步数据到ADAM MIIS 2003 全面的解决方案 支持30+种身份存储 © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.
生命周期管理:解决方案 ADAMSync 满足需求: ADAM与AD之间的同步 简单且易于维护 <configuration> 2019年4月12日2时27分 生命周期管理:解决方案 ADAMSync 满足需求: ADAM与AD之间的同步 简单且易于维护 <configuration> <security-mode>object</security-mode> <source-ad-partition>DC=contoso,DC=com</source-ad-partition> <target-dn>dc=contoso,dc=com</target-dn> <query> <base-dn>dc=contoso,dc=com</base-dn> <object-filter>(samaccountname=xxxxxxxx)</object-filter> <attributes> <include></include> <exclude>reports</exclude> </attributes> </query> </configuration> © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.
生命周期管理:解决方案 ADAM Sync Infrastructure Active Directory Web portal 2019年4月12日2时27分 生命周期管理:解决方案 ADAM Sync Infrastructure Active Directory Web portal Server Store/ Retrieve Data Az Man App Data ADAM Authentication Web Client Rich Client © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.
应用需求 访问控制 身份存储 对身份数据生命周期的管理: ADAMSync 验证: Windows Integrated 2019年4月12日2时27分 应用需求 访问控制 验证: Windows Integrated 鉴权: Authorization Manager 身份存储 用户凭证(credentials)及配置信息(profile data): AD & ADAM 对身份数据生命周期的管理: ADAMSync © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.
资源 AD Portal: http://microsoft.com/ad 2019年4月12日2时27分 资源 AD Portal: http://microsoft.com/ad ADAM portal: http://microsoft.com/adam MIIS Portal: http://microsoft.com/miis Identity Management Portal: http://www.microsoft.com/idm Solution Accelerator for Identity and Access Management: http://www.microsoft.com/technet/security/topics/identitymanagement/idmanage/default.mspx Identity Management Solution Technologies: http://www.microsoft.com/windowsserversystem/overview/benefits/access/tech.mspx © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.
2019年4月12日2时27分 © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.
© 2005 Microsoft Corporation. All rights reserved. 2019年4月12日2时27分 © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary. © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.