1、WIN220WIN220Identity and Access ManagementIdentity and Access Management微软统一身份管理和访问控制微软统一身份管理和访问控制解决方案解决方案(IAM)(IAM)和产品路线介绍和产品路线介绍内容 为什么需要IAM?IAM如何解决问题 微软IAM解决方案 核心目录服务:Active Directory 统一用户身份和周期管理:MIIS 身份验证和授权:AD/ADAM+AzMan 应用集成和SSO IAM联合(Federation)产品线和未来发展 问题/解答内容 为什么需要IAM?IAM如何解决问题 微软IAM解决方案 核心目
2、录服务:Active Directory 统一用户身份和周期管理:MIIS 身份验证和授权:AD/ADAM+AzMan 应用集成和SSO IAM联合(Federation)产品线和未来发展 问题/解答企业 IT 应用现状 企业 IT 基础设施已经相对完善 IT 系统在企业中的作用越来越重要 OA MIS 财务系统 MRP/MRPII ERP CRM您的体系结构是否像这样呢?东拼西凑 非端到端基础结构 需要大量人工干预 不确定是否安全从 IT 角度Internet从用户角度Internet从业务经理角度商业问题需要掌握商业信息公司数据是否安全?需要职员具有更高生产力网络是否安全?成本压力 IT
3、成本提高 需要更好的远程访问 紧张的预算 需要购买 CRM 系统商业成本 IT 管理成本提高密码重设是一项主要的helpdesk成本用户信息的手动更新helpdesk部署、配置及对软件安装的疑难解答 用户生产力降低用户等待访问他们所需的系统或软件太多的密码导致更多的helpdesk请求丢失文件需要从磁带进行费时的恢复 安全威胁的风险增加系统访问没有很快或完全撤销难以在公司内强制实施安全策略难以保持最新的安全补丁管理现状 手动的事实人员密集型的特性决定成本来源:IDC 2002,Microsoft Primary Quantitative Research。400 个针对 IT 专业人员(拥有
4、25 台以上服务器的数据中心)的半小时电话调查内容 为什么需要IAM?IAM如何解决问题 微软IAM解决方案 核心目录服务:Active Directory 统一用户身份和周期管理:MIIS 身份验证和授权:AD/ADAM+AzMan 应用集成和SSO IAM联合(Federation)产品线和未来发展 问题/解答IAM:统一身份管理和访问控制 目录和用户标识的简化管理 利用活动目录实现用户和桌面管理 活动目录和微软标识集成服务器MIIS自动进行标识生命周期管理 利用单一登录SSO降低复杂度 网络资源的安全访问 活动目录支持标识和访问管理 通过活动目录和组策略管理控制台GPMC强制公司策略 利
5、用VPN和无线连接安全访问内部资源用户身份的生命周期2 2更改用户更改用户-升职升职-调动调动-权利更改权利更改3 3支持部门支持部门-密码重置密码重置-新建权利新建权利4 4离职用户离职用户-除帐户除帐户-删除权利删除权利新建用户新建用户-用户 ID 创建-凭据颁发-权利1 1IAM主要应用场景企业与员工 B2EBusiness to Employees企业与客户 B2CBusiness toCustomers企业与企业 B2BBusiness to Business 减少登录次数 用户设置/取消注销 口令管理 客户门户 Web 单一登录 客户自服务 口令重置 合作伙伴门户 Web 单一登录
6、 委派管理 合作伙伴自服务企业与员工 B2E 集成 Windows 单一登录活动目录登录到 Windows灵活的验证灵活的验证KerberosX509 v3/智能卡生物鉴定单一登录到单一登录到:Windows 文件服务器Windows Web 应用程序Exchange emailSQL ServerBizTalk Server其他微软应用程序第三方集成应用程序ExchangeWeb 服务文件共享Windows 集成应用程序企业与员工 B2E 将单一登录扩展到网络活动目录集成网络登录服务集成网络登录服务集成 VPN 单一登录集成无线网单一登录证书与智能卡登录基于标准的互操作 L2TP/IPSEC
7、 VPN 802.1x 无线与有线局域网 RADIUS EAP PEAP(Windows.NET)远程用户Internet 公司网络ExchangeWeb Service文件共享ERP/CRMVPN/远程访问网关IAS/RADIUS企 业 业 务扩展 Windows 单一登录活动目录登录到活动目录Services for UNIXServices for UNIXNIS Server for ADNIS-AD 目录同步口令同步用户名映射UNIXHost Integration ServerHost Integration ServerWindows to RACF 账户Windows to A
8、S/400 安全系统双向口令同步390/AS400Kerberos 应用程序KerberosKerberos内置的验证协议兼容 MIT v5支持 PAC 组信息Windows PAC 开放企 业 业 务LDAP 验证与目录集成通过AD集成 LDAP 兼容 LDAP v3 单一 AD 与 LDAP 用户帐户 AD/AM 个性化数据微软标识集成服务器 MIIS 目录同步LDAP(例如 iPlanet 等)关系数据库应用程序特定 账户预置自动账户创建自动账户取消预置 口令管理(MIIS 2003)口令重置自服务账户目录LDAPSQL企业应用ExchangeWeb 服务文件共享应用程序应用程序活动目录
9、企业与客户 B2C在B2C环境中使用 Active Directory 和 PassportWindows Server 2003IIS Web 服务器(第一步)客户使用标准的浏览器访问 Web 站点(第四步)用户通过活动目录账户得到授权(第二步)Passport 验证用户凭据并向 Web 站点返回一个 PUID(第三步)Web 应用程序验证激活代码并将PUID映射到活动目录账户活动目录应用程序Passport 管理用户凭据Passport 管理用户验证管理员管理用户访问控制企业到企业 B2B通过活动目录实现 Extranet 访问管理Web 应用 1SSO 代理SSO 代理SSO 代理Web
10、 应用 2委派管理活动目录EAMWeb SSO验证 LDAP 绑定SSL会话Cookie企业标识授权检测合作伙伴标识企业 Extranet“信任的”业务伙伴活动目录内容 为什么需要IAM?IAM如何解决问题 微软IAM解决方案 核心目录服务:Active Directory 统一用户身份和周期管理:MIIS 身份验证和授权:AD/ADAM+AzMan 应用集成和SSO IAM联合(Federation)产品线和未来发展 问题/解答微软IAM解决方案框架解决方案结构图议题 为什么需要IAM?IAM如何解决问题 微软IAM解决方案 核心目录服务:Active Directory 统一用户身份和周期
11、管理:MIIS 身份验证和授权:AD/ADAM+AzMan 应用集成和SSO IAM联合(Federation)客户案例和合作伙伴解决方案 未来发展Active Directory 是什么?ActiveDirectoryInternetActive Directory内容 为什么需要IAM?IAM如何解决问题 微软IAM解决方案 核心目录服务:Active Directory 统一用户身份和周期管理:MIIS 身份验证和授权:AD/ADAM+AzMan 应用集成和SSO IAM联合(Federation)产品线和未来发展 问题/解答需求:身份生命周期管理 生命周期(Lifecycle)管理:M
12、anage data through various phases during its useful life 应用需求:Automated provisioning and de-provisioning Keep data in ADAM in sync with corporate AD installation Simple setup and maintenance可选方案:身份生命周期管理 ADAM Sync One way,incremental sync of configurable subset of data from AD to ADAM Limited transf
13、ormations(users to proxy)IIFP Same features as MIIS 2003 Works with AD,ADAM and Exchange MIIS 2003 Provisioning,de-provisioning,aggregation and sync solution Can work with 30+data stores解决方案:身份生命周期管理内容 为什么需要IAM?IAM如何解决问题 微软IAM解决方案 核心目录服务:Active Directory 统一用户身份和周期管理:MIIS 身份验证和授权:AD/ADAM+AzMan 应用集成和S
14、SO IAM联合(Federation)产品线和未来发展 问题/解答需求:身份验证 Authentication 身份验证:Means to verify the person is who they say they are 应用需求:Must not require new user ID and password for this application,adding to Identity Management problems Must be flexible and extensible to allow new users access to the app可选方案:身份验证 A
15、uthentication SSO from workstation logon Basic/Digest HTTP specific authentication methods Basic sends clear passwords Forms-based User types in name and password in app form Cookie written back to browser LDAP binds集成身份验证 Strong authentication support Single Sign On:Windows OS built-in features all
16、ow single sign on(SSO)when client and server joined to domain or forest.Non-windows clients can also get single sign on using partner products Extends effect of Windows Integrated Authentication and Authorization across domains or forests Ability to federate identity across organizations thru ADFS.T
17、hick clients as well as web apps can take advantage IIS integrated No coding needed-Simple checkbox解决方案:身份验证 Authentication需求:授权 Authorization 授权:grant or deny permission to perform tasks based on identity 应用需求:Entitlements not hard-coded in apps Admin must be able to grant/deny access Both apps mus
18、t use the same scheme可选方案:授权 Authorization Authorization Manager(AzMan)ADFS claims Windows ACL model Fine grained access control LDAP authorization Authorization info is stored as data in store The app server makes sense of the data and provides appropriate access COM+and ASP.NET rolesAuthorization
19、Manager Roles based Authorization API Manage roles,not object ACLs Simplify entitlement reporting&auditing Query-based groups capture business dynamics App does authorization using roles defined in AzMan Establish role-policy at app design time解决方案:授权 Authorization内容 为什么需要IAM?IAM如何解决问题 微软IAM解决方案 核心目
20、录服务:Active Directory 统一用户身份和周期管理:MIIS 身份验证和授权:AD/ADAM+AzMan 应用集成和SSO IAM联合(Federation)产品线和未来发展 问题/解答应用集成和SSOWeb SSO AgentEnterprise SSOAgentAPIsAuthentication&AuthorizationAuthentication&Authorization内容 为什么需要IAM?IAM如何解决问题 微软IAM解决方案 核心目录服务:Active Directory 统一用户身份和周期管理:+MIIS 身份验证和授权:AD/ADAM+AzMan 应用集成
21、和SSO IAM联合(Federation)产品线和未来发展 问题/解答AD Federation Services(ADFS)将目录基础架构扩展到企业/组织(Domain)之外 Extranet authentication,authorization,web single sign-on(SSO)B2B/B2C Commerce and Collaboration First step towards AD as a service for SOA 增强安全性,提升IT效率 Delegated user administration,from inside Windows Robust t
22、rust management,reusability,and auditing tools Control exactly what data is shared,and with whom Leverages AzMan for extranet-based RBAC 基于标准的互操作性 Based on WS-*specifications(notably WS-Federation)Broad interoperability with other IdM vendors Supports multiple security tokens(e.g.SAML,Kerberos,x509,
23、etc.)应用场景:Web单点登陆Single Sign-on to a Farm of Web ApplicationsSupport for browser-based&Smart SOAP ClientsAccess managed through Authorization ManagerCredentials managed in AD at the resource sideBusinessBusinessPartnersPartnersEmployeesEmployeesResource SideResource SideCustomersCustomers应用场景:身份联合(F
24、ederation)Single Sign-on across security boundaries(internal&external)Support for browser-based and SOAP clientsInteroperable through WS-*StandardsCredentials are managed at the“Account Side”BusinessBusinessPartnersPartnersCross Organization NamespaceCross Organization NamespaceManages:Manages:Trust
25、-KeysTrust-Keys Security-Claims required Security-Claims required Privacy-Claims allowed Privacy-Claims allowed Audit-Identities,authorities Audit-Identities,authoritiesResource SideResource SideAccount SideAccount Side基于ADFS的Web SSO内容 为什么需要IAM?IAM如何解决问题 微软IAM解决方案 核心目录服务:Active Directory 统一用户身份和周期管理
26、:MIIS 身份验证和授权:AD/ADAM+AzMan 应用集成和SSO IAM联合(Federation)产品线和未来发展 问题/解答产品历史和未来发展WindowsWindowsLonghornLonghornServerServerWindowsWindowsServerServer20032003AD Federation Services in R2(2H 05)AD Federation Services in R2(2H 05)-Cross-organizational Identity Federation-Web SSOADAM SynchronizerADAM Synchr
27、onizerMIIS 2003 SP1(CY 04)MIIS 2003 SP1(CY 04)-Broader reach-Password Synchronization-MA SDK-Workflow&ApprovalsMIIS 3.5(CY 05)MIIS 3.5(CY 05)-Declarative Provisioning-User Self-service-Audit/Reporting ModuleAudit Collection System(CY04)Audit Collection System(CY04)Active DirectoryActive Directory-Wi
28、ndows Single Sign-On-Enterprise DirectoryActive Directory Application ModeActive Directory Application Mode-Application DirectoryMIIS 2003MIIS 2003-Directory synchronization-User Lifecycle management-Password managementHIS 2004 HIS 2004-Extend SSO-Bi-directional password sync Authorization ManagerAu
29、thorization ManagerWebSSOWebSSO w/Partner Products w/Partner ProductsWindowsWindowsServerServer20032003R2R2AD manageability,security AD manageability,security enhancementsenhancementsDeploy AD alongside rather Deploy AD alongside rather than upgrade replacementthan upgrade replacementBegin transitio
30、n to claims-Begin transition to claims-based access management based access management modelmodelSimplified and secure digital Simplified and secure digital identity consumer identity consumer experienceexperience内容 为什么需要IAM?IAM如何解决问题 微软IAM解决方案 核心目录服务:Active Directory 统一用户身份和周期管理:MIIS 身份验证和授权:AD/ADAM+AzMan 应用集成和SSO IAM联合(Federation)产品线和未来发展 问题/解答 Microsoft Identity&Access Series:http:/ Microsoft Identity Integration Server 2003:http:/ Active Directory&ADAM http:/ http:/ Microsoft IdM Portal:http:/ MSDN:http:/ 使用Active Directory和ADAM构建企业目录基础架构 使用MIIS和其它系统连接 开发基于.Net和IAM架构的应用 参加微软IAM在线社区:http:/
