基于微软身份管理和访问控制平台的解决方案开发

基于微软身份管理和访问控制平台的解决方案开发
2019年4月12日2时27分基于微软身份管理和访问控制平台的解决方案开发李英歌技术专家微软中国技术中心 © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

2019年4月12日2时27分 © 2005 Microsoft Corporation. All rights reserved.
This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

场景: 业务需求企业使用活动目录作为主要的目录服务企业希望能够记录资产使用情况利用现有基础架构开发人员被要求开发：
2019年4月12日2时27分场景: 业务需求企业使用活动目录作为主要的目录服务企业希望能够记录资产使用情况利用现有基础架构开发人员被要求开发：一个web应用提供资产管理的基本功能，供普通用户使用一个全功能应用提供提供资产管理的全部功能，供部门管理员使用 © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

应用需求访问控制身份存储对数据生命周期的管理验证鉴权用户凭证(credentials)及配置信息(profile data)
2019年4月12日2时27分应用需求访问控制验证鉴权身份存储用户凭证(credentials)及配置信息(profile data) 对数据生命周期的管理 © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

应用需求: 验证验证: 需求：用户是谁? 为减少身份管理问题，不能为该应用增添新的一套用户ID及密码。必须足够灵活以便于新用户访问应用
2019年4月12日2时27分应用需求: 验证验证: 用户是谁? 需求：为减少身份管理问题，不能为该应用增添新的一套用户ID及密码。必须足够灵活以便于新用户访问应用 © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

验证：可选方案与工作站登录集成的单点登录 Basic/Digest 基于Form的 HTTP协议相关的验证方式 Basic发送明文密码
2019年4月12日2时27分验证：可选方案与工作站登录集成的单点登录 Basic/Digest HTTP协议相关的验证方式 Basic发送明文密码基于Form的用户在form中输入用户名和密码 Cookie被写回浏览器 © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

建议使用验证：集成验证认证强度高单点登录 Rich client及web应用都可以使用与IIS集成
2019年4月12日2时27分验证：集成验证认证强度高单点登录 Windows内置功能允许域或森林内的单点登录可扩展至跨域或森林的验证通过ADFS可实现跨组织机构的身份认证 Rich client及web应用都可以使用与IIS集成无需编码建议使用 © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

验证：实现实现满足需求 Web client: 无需代码 Rich client: 利用现有活动目录验证用户单点登录易于添加新用户
2019年4月12日2时27分验证：实现实现 Web client: 无需代码 Rich client: Winsock: SSPI RPC: 已集成 DCOM: 已集成 Web Service: WSE 满足需求利用现有活动目录验证用户单点登录易于添加新用户 © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

验证: 解决方案 Sync Infrastructure Active Directory Web portal ADAM
2019年4月12日2时27分验证: 解决方案 Sync Infrastructure Active Directory Web portal ADAM Store / retrieve Data Authentication Server Web Client Rich Client © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

应用需求访问控制存储对身份数据生命周期的管理验证  鉴权用户凭证(credentials)及配置信息(profile data)
2019年4月12日2时27分应用需求访问控制验证  鉴权存储用户凭证(credentials)及配置信息(profile data) 对身份数据生命周期的管理 © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

应用需求: 鉴权鉴权: 需求：基于用户身份赋予或拒绝完成某一任务的权限授权不能硬编码在应用中
2019年4月12日2时27分应用需求: 鉴权鉴权: 基于用户身份赋予或拒绝完成某一任务的权限需求：授权不能硬编码在应用中 Admin must be able to grant/deny access 两种应用共享配置 © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

鉴权：可选方案 Authorization Manager (AzMan) ADFS claims Windows ACL model
2019年4月12日2时27分鉴权：可选方案 Authorization Manager (AzMan) ADFS claims Windows ACL model 细粒度控制应用程序专用方式鉴权信息与数据共同存储应用使用私有方法使用鉴权信息 COM+角色 ASP.NET角色 © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

鉴权：Authorization Manager
2019年4月12日2时27分鉴权：Authorization Manager Web portal authorization ADAM Az Man Authentication AzMan Mary (Admin) Bob (User) 建议使用 Server Infrastructure Directory 基于角色的鉴权基于查询的组保证业务灵活性应用程序设计时定义角色策略 © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

鉴权：AzMan AzMan: Windows Server 2003, Windows 2000 (需下载)
2019年4月12日2时27分鉴权：AzMan AzMan: Windows Server 2003, Windows 2000 (需下载) 高可伸缩性的角色和策略存储： AD / ADAM Policy definition script: Set App = AzManStore.CreateApplication(“AssetTracker") App.CreateOperation(“ViewRpt") Set Task=App.CreateTask(“View Report") Task1.AddOperation CStr(“ViewRpt") © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

鉴权：实现 Authorization Manager 满足需求一致的角色映射，可在多个应用间重用角色分配可由管理员指定，未硬编码入应用
2019年4月12日2时27分鉴权：实现 Authorization Manager ' at application boot -- AzPol.Initialize 0,“msldap://Server:port/CN=MyStore,DC=… App = AzStore.OpenApplication(“AssetTracker") ' at client Connect -- Context = App.InitializeClientContextFromName ' on request -- Context.AccessCheck(“ViewRpt",Scope,Operations,Names,Values) Context.GetRoles () 满足需求一致的角色映射，可在多个应用间重用角色分配可由管理员指定，未硬编码入应用 © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

鉴权：解决方案 Sync Infrastructure Active Directory Web portal Server ADAM
2019年4月12日2时27分鉴权：解决方案 Sync Infrastructure Active Directory Web portal Server AuthZ Az Man App Data ADAM Authentication Web Client Rich Client © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

应用需求访问控制  身份存储对身份数据生命周期的管理验证  鉴权 
2019年4月12日2时27分应用需求访问控制  验证  鉴权  身份存储用户凭证(credentials)及配置信息(profile data) 对身份数据生命周期的管理 © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

需求：身份存储身份存储需求用户凭证(credentials) 用户配置信息(profile data) 利用现有基础架构及数据
2019年4月12日2时27分需求：身份存储身份存储用户凭证(credentials) 用户配置信息(profile data) 需求利用现有基础架构及数据可伸缩性、可用性 Seamless setup & configuration 易于管理 © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

2019年4月12日2时27分身份存储：可选方案数据库目录 © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

建议使用身份存储: 活动目录活动目录是为身份存储而设计的
2019年4月12日2时27分身份存储: 活动目录活动目录是为身份存储而设计的基本用户profile数据已经存在于活动目录中(phone number, cost center…) 标准认证协议支持： Kerberos, SSL, Digest 建议使用 © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

身份存储: 活动目录 AD ADAM 用于企业范围内的身份及配置数据用于应用范围内的身份及配置数据 ADAM Sync Web
2019年4月12日2时27分身份存储: 活动目录 Sync Web portal ADAM LDAP App partition Client Server Infrastructure Active Directory AD 用于企业范围内的身份及配置数据 ADAM 用于应用范围内的身份及配置数据 © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

身份存储: 实现 Managed code: Native code:
2019年4月12日2时27分身份存储: 实现 Managed code: System.DirectoryServices : 较高层次的接口，易用 System.DirectoryServices.Protocols : 提供较低层的LDAP访问，适用于高性能的应用 ADO.NET : 部分功能 Native code: Active Directory Service Interfaces (ADSI) LDAP Win32 API set for C and C+ © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

身份存储: 解决方案 AD & ADAM 满足需求：利用现有基础架构可伸缩性、可靠性、可管理性 2019年4月12日2时27分
© 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

身份存储: 解决方案 Infrastructure Active Directory Server Sync Web portal ADAM
2019年4月12日2时27分身份存储: 解决方案 Sync Infrastructure Active Directory Web portal Server Store/ Retrieve Data Az Man App Data ADAM Authentication Web Client Rich Client © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

应用需求访问控制  身份存储  对身份数据生命周期的管理验证  鉴权 
2019年4月12日2时27分应用需求访问控制  验证  鉴权  身份存储  用户凭证(credentials)及配置信息(profile data)  对身份数据生命周期的管理 © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

需求: 生命周期管理生命周期管理应用需求在身份数据被使用的整个周期中进行管理自动化数据同步易于维护
2019年4月12日2时27分需求: 生命周期管理生命周期管理在身份数据被使用的整个周期中进行管理应用需求自动化数据同步易于维护 © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

生命周期管理：可选方案 ADAM Sync MIIS 2003 单向、增量从AD同步数据到ADAM 全面的解决方案支持30+种身份存储
2019年4月12日2时27分生命周期管理：可选方案 ADAM Sync 单向、增量从AD同步数据到ADAM MIIS 2003 全面的解决方案支持30+种身份存储 © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

生命周期管理：解决方案 ADAMSync 满足需求： ADAM与AD之间的同步简单且易于维护 <configuration>
2019年4月12日2时27分生命周期管理：解决方案 ADAMSync 满足需求： ADAM与AD之间的同步简单且易于维护 <configuration> <security-mode>object</security-mode> <source-ad-partition>DC=contoso,DC=com</source-ad-partition> <target-dn>dc=contoso,dc=com</target-dn> <query> <base-dn>dc=contoso,dc=com</base-dn> <object-filter>(samaccountname=xxxxxxxx)</object-filter> <attributes> <include></include> <exclude>reports</exclude> </attributes> </query> </configuration> © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

生命周期管理：解决方案 ADAM Sync Infrastructure Active Directory Web portal
2019年4月12日2时27分生命周期管理：解决方案 ADAM Sync Infrastructure Active Directory Web portal Server Store/ Retrieve Data Az Man App Data ADAM Authentication Web Client Rich Client © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

应用需求访问控制身份存储对身份数据生命周期的管理: ADAMSync 验证： Windows Integrated
2019年4月12日2时27分应用需求访问控制验证： Windows Integrated 鉴权： Authorization Manager 身份存储用户凭证(credentials)及配置信息(profile data)： AD & ADAM 对身份数据生命周期的管理: ADAMSync © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

资源 AD Portal: http://microsoft.com/ad
2019年4月12日2时27分资源 AD Portal: ADAM portal: MIIS Portal: Identity Management Portal: Solution Accelerator for Identity and Access Management: Identity Management Solution Technologies: © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

© 2005 Microsoft Corporation. All rights reserved.
2019年4月12日2时27分 © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary. © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

基于微软身份管理和访问控制平台的解决方案开发

Similar presentations

Presentation on theme: "基于微软身份管理和访问控制平台的解决方案开发"— Presentation transcript:

Similar presentations

About project

反馈

请登录

Auth with social network:

基于微软身份管理和访问控制平台的解决方案开发

Similar presentations

Presentation on theme: "基于微软身份管理和访问控制平台的解决方案开发"— Presentation transcript:

Similar presentations

About project

反馈