身份生命周期管理-Microsoft
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
核心目录服务:Active Directory 统一用户身份和周期管理:MIIS 身份验证和授权:AD/ADAM+AzMan 应用集成和SSO IAM联合(Federation)
产品线和未来发展 问题/解答
需求: 身份生命周期管理
生命周期(Lifecycle)管理:
Manage data through various phases during its useful life
灵活的访问
LDAP v3 – 基于标准的访问 ADSI – 基于简单 COM 的接口 DSML – XML 接口
集成安全性
Kerberos x509 数字证书 基本的和摘要身份验证 单点登录 网络身份验证 基于角色的访问
简化的管理
委派的管理 Windows 桌面管理 组策略
内容
为什么需要IAM? IAM如何解决问题 微软IAM解决方案
核心目录服务:Active Directory 统一用户身份和周期管理:MIIS 身份验证和授权:AD/ADAM+AzMan 应用集成和SSO IAM联合(Federation)
产品线和未来发展 问题/解答
企业 IT 应用现状
企业 IT 基础设施已经相对完善 IT 系统在企业中的作用越来越重要
OA MIS 财务系统 MRP / MRPII ERP CRM
应用需求:
Automated provisioning and de-provisioning Keep data in ADAM in sync with corporate AD installation Simple setup and maintenance
可选方案:身份生命周期管理
ADAM Sync
登录到 Windows
Exchange
活动目录Biblioteka Baidu
Web 服务
灵活的验证
Kerberos X509 v3/智能卡 生物鉴定
文件共享
单一登录到:
Windows 文件服务器 Windows Web 应用程序 Windows 集成应用程序 Exchange email SQL Server BizTalk Server 其他微软应用程序 第三方集成应用程序
目录和用户标识的简化管理
利用活动目录实现用户和桌面管理 活动目录和微软标识集成服务器MIIS自动进行 标识生命周期管理 利用单一登录SSO降低复杂度
网络资源的安全访问
活动目录支持标识和访问管理 通过活动目录和组策略管理控制台GPMC强制 公司策略 利用VPN和无线连接安全访问内部资源
用户身份的生命周期
Exchange
活动目录
Web Service
文件共享
ERP/CRM
企业业务
扩展 Windows 单一登录
登录到 活动目录
活动目录
Kerberos 应用程序
UNIX
Kerberos
内置的验证协议 兼容 MIT v5 支持 PAC 组信息 Windows PAC 开放
Services for UNIX
商业影响
安全威胁的风险增加 生产力降低 helpdesk 费用增加
从业务经理角度
商业问题
需要掌握商业信息 公司数据是否安全? 需要职员具有更高生产力 网络是否安全?
成本压力
IT 成本提高
需要更好的远 程访问
紧张的预算
需要购买 CRM 系统
商业成本
IT 管理成本提高
密码重设是一项主要的helpdesk成本 用户信息的手动更新 helpdesk部署、配置及对软件安装的疑难解答
议题
为什么需要IAM? IAM如何解决问题 微软IAM解决方案
核心目录服务:Active Directory 统一用户身份和周期管理:MIIS 身份验证和授权:AD/ADAM+AzMan 应用集成和SSO IAM联合(Federation)
客户案例和合作伙伴解决方案 未来发展
Active Directory 是什么?
NIS Server for AD NIS-AD 目录同步 口令同步 用户名映射
Host Integration Server
Windows to RACF 账户
390/AS400
Windows to AS/400 安全系统
双向口令同步
企业业务
LDAP 验证与目录集成
Exchange
口令管理 (MIIS 2003)
口令重置自服务
企业与客户 B2C
在B2C环境中使用 Active Directory 和 Passport
(第二步) Passport 验证用户 凭据并向 Web 站点返回一 个 PUID
活动目录
(第三步) Web 应用程序验证 激活代码并将PUID映射到 活动目录账户
企业与员工 B2E
将单一登录扩展到网络
IAS/RADIUS
VPN / 远程访问网关
Internet
公司网络
远程用户
集成网络登录服务
集成 VPN 单一登录 集成无线网单一登录 证书与智能卡登录 基于标准的互操作
• L2TP/IPSEC VPN • 802.1x 无线与有线局域网 • RADIUS • EAP • PEAP (Windows .NET)
One way, incremental sync of configurable subset of data from AD to ADAM Limited transformations (users to proxy)
为什么需要IAM? IAM如何解决问题 微软IAM解决方案
核心目录服务:Active Directory 统一用户身份和周期管理:MIIS 身份验证和授权:AD/ADAM+AzMan 应用集成和SSO IAM联合(Federation)
产品线和未来发展 问题/解答
内容
为什么需要IAM? IAM如何解决问题 微软IAM解决方案
(第一步) 客户使用标准的浏览器 访问 Web 站点
Windows Server 2003 IIS Web 服务器
Passport 管理用户凭据 Passport 管理用户验证 管理员管理用户访问控制
(第四步) 用户通过活动目录账 户得到授权
应用程序
企业到企业 B2B
通过活动目录实现 Extranet 访问管理
网络设备 配置 QoS 策略 安全策略
安全性 策略
电子邮件服务器 邮箱信息 地址簿
应用程序
服务器配置 单点配置
Internet
应用程序专用的目录信息
策略
防火墙服务 配置 安全策略 VPN 策略
提供管理、安全性和互操作性的焦点
Active Directory
分布式存储库
数字 ID 和属性 公司组 安全组 应用程序和服务位置 管理和安全策略 数字证书 网络访问策略
Integration Services (MIIS)
Directory Services (AD, ADAM)
Access Services (ADFS)
身份管理和访问控制
Policy management, compliance assessment, reporting, enforcement 生命周期管理 与其它系统的连接和互操作
其他
Windows 用户 帐户信息 优先级 配置文件 策略
Windows 客户端 管理配置文件 网络信息 策略
Windows 服务器 管理配置文件 网络信息 服务 打印机 文件共享
目录
策略
白皮书 电子商务
其他 NOS 用户注册表
Active Directory
焦点
可管理性 安全性 互操作性
WIN220 Identity and Access Management
微软统一身份管理和访问控制 解决方案(IAM)和产品路线介绍
Feifei Qian Technical Solution Professional Microsoft China ffqian@microsoft.com
内容
内容
为什么需要IAM? IAM如何解决问题 微软IAM解决方案
核心目录服务:Active Directory 统一用户身份和周期管理:MIIS 身份验证和授权:AD/ADAM+AzMan 应用集成和SSO IAM联合(Federation)
产品线和未来发展 问题/解答
IAM:统一身份管理和访问控制
Web 服务
文件共享
应用程序
活动目录
应用程序
LDAP
账户目录
企业应用
通过AD集成 LDAP
兼容 LDAP v3
单一 AD 与 LDAP 用户帐户
AD/AM 个性化数据
微软标识集成服务器 MIIS
目录同步
LDAP (例如 iPlanet 等)
关系数据库
应用程序特定
账户预置
SQL
自动账户创建
自动账户取消预置
产品线和未来发展 问题/解答
微软IAM解决方案框架
Web Clients
Smart Clients
Web Servers
Server Services
Microsoft and
Non-Microsoft
微软身份管理和访问控制平台 Smart client SSO, web SSO, claims-based access control, federation 自服务和管理授权 Metadata publication
人们在手动任务上 耗费的时间
60% 58% 56%
16% 18% 17%
54%
17%
53%
24%
自动化工具 25% 24% 24%
28% 29%
23%
响应百分比
人员成本在五年周期的 TCO 中占据超 过 60%
来源: IDC 2002, Microsoft Primary Quantitative Research。400 个针对 IT 专业人员(拥有 25 台以上服务器的数据中心)的半小时电话调查
企业与客户 B2C Business to Customers
客户门户 – Web 单一登录 客户自服务 口令重置
企业与企业 B2B Business to Business
合作伙伴门户 – Web 单一登录 委派管理 合作伙伴自服务
企业与员工 B2E
集成 Windows 单一登录
1
新建用户
- 用户 ID 创建
- 凭据颁发
4
- 权利
离职用户 - 除帐户 - 删除权利
3
支持部门 - 密码重置 - 新建权利
2
更改用户 - 升职 - 调动 - 权利更改
IAM主要应用场景
企业与员工 B2E Business to Employees
减少登录次数 用户设置 / 取消注销 口令管理
用户生产力降低
用户等待访问他们所需的系统或软件 太多的密码导致更多的helpdesk请求 丢失文件需要从磁带进行费时的恢复
安全威胁的风险增加
系统访问没有很快或完全撤销 难以在公司内强制实施安全策略 难以保持最新的安全补丁
管理现状 – 手动的事实
人员密集型的特性决定成本
自动化程度
手动
脚本
62%
14%
您的体系结构是否像这样呢?
东拼西凑 非端到端基础结构 需要大量人工干预 不确定是否安全
从 IT 角度
电子邮件
Web 服务
VPN Internet
桌面 Account Directory
IT 挑战
Netware 文 件服务器
UNIX 应用程序
太多用户目录 提供新帐户 密码管理 审核用户行为 未经授权的桌面更改 软件限制和分发 外出的公司职员
商业影响
人员和时间密集
新职员的访问被延迟
B2B
未经授权访问的风险
没有单独的用户视图
从用户角度
电子邮件 VPN Internet
Web 服务
Netware 文 件服务器
桌面
B2B 用户帐户/凭证
UNIX 应用程序
用户挑战
过多的凭据 哪个凭据适用于哪个应用程序呢? 多重登录 设置新用户需要等待很长时间 未经授权的桌面更改
企业 Extranet
授权检测
Web 应用 1 SSO 代理
EAM Web SSO
Web 应用 2 SSO 代理 委派管理
SSO 代理
验证 LDAP 绑定
合作伙伴标识 活动目录
“信任的” 业务伙伴
Cookie
SSL会话
企业标识
活动目录
内容
为什么需要IAM? IAM如何解决问题 微软IAM解决方案
核心目录服务:Active Directory 统一用户身份和周期管理:MIIS 身份验证和授权:AD/ADAM+AzMan 应用集成和SSO IAM联合(Federation)
解决方案结构图
Sync
Store /
Web retrieve portal Data ADAM
Server
Authentication
Infrastructure Active Directory
Web Client Rich Client
Sync
Other Directories and User Info Store
产品线和未来发展 问题/解答
需求: 身份生命周期管理
生命周期(Lifecycle)管理:
Manage data through various phases during its useful life
灵活的访问
LDAP v3 – 基于标准的访问 ADSI – 基于简单 COM 的接口 DSML – XML 接口
集成安全性
Kerberos x509 数字证书 基本的和摘要身份验证 单点登录 网络身份验证 基于角色的访问
简化的管理
委派的管理 Windows 桌面管理 组策略
内容
为什么需要IAM? IAM如何解决问题 微软IAM解决方案
核心目录服务:Active Directory 统一用户身份和周期管理:MIIS 身份验证和授权:AD/ADAM+AzMan 应用集成和SSO IAM联合(Federation)
产品线和未来发展 问题/解答
企业 IT 应用现状
企业 IT 基础设施已经相对完善 IT 系统在企业中的作用越来越重要
OA MIS 财务系统 MRP / MRPII ERP CRM
应用需求:
Automated provisioning and de-provisioning Keep data in ADAM in sync with corporate AD installation Simple setup and maintenance
可选方案:身份生命周期管理
ADAM Sync
登录到 Windows
Exchange
活动目录Biblioteka Baidu
Web 服务
灵活的验证
Kerberos X509 v3/智能卡 生物鉴定
文件共享
单一登录到:
Windows 文件服务器 Windows Web 应用程序 Windows 集成应用程序 Exchange email SQL Server BizTalk Server 其他微软应用程序 第三方集成应用程序
目录和用户标识的简化管理
利用活动目录实现用户和桌面管理 活动目录和微软标识集成服务器MIIS自动进行 标识生命周期管理 利用单一登录SSO降低复杂度
网络资源的安全访问
活动目录支持标识和访问管理 通过活动目录和组策略管理控制台GPMC强制 公司策略 利用VPN和无线连接安全访问内部资源
用户身份的生命周期
Exchange
活动目录
Web Service
文件共享
ERP/CRM
企业业务
扩展 Windows 单一登录
登录到 活动目录
活动目录
Kerberos 应用程序
UNIX
Kerberos
内置的验证协议 兼容 MIT v5 支持 PAC 组信息 Windows PAC 开放
Services for UNIX
商业影响
安全威胁的风险增加 生产力降低 helpdesk 费用增加
从业务经理角度
商业问题
需要掌握商业信息 公司数据是否安全? 需要职员具有更高生产力 网络是否安全?
成本压力
IT 成本提高
需要更好的远 程访问
紧张的预算
需要购买 CRM 系统
商业成本
IT 管理成本提高
密码重设是一项主要的helpdesk成本 用户信息的手动更新 helpdesk部署、配置及对软件安装的疑难解答
议题
为什么需要IAM? IAM如何解决问题 微软IAM解决方案
核心目录服务:Active Directory 统一用户身份和周期管理:MIIS 身份验证和授权:AD/ADAM+AzMan 应用集成和SSO IAM联合(Federation)
客户案例和合作伙伴解决方案 未来发展
Active Directory 是什么?
NIS Server for AD NIS-AD 目录同步 口令同步 用户名映射
Host Integration Server
Windows to RACF 账户
390/AS400
Windows to AS/400 安全系统
双向口令同步
企业业务
LDAP 验证与目录集成
Exchange
口令管理 (MIIS 2003)
口令重置自服务
企业与客户 B2C
在B2C环境中使用 Active Directory 和 Passport
(第二步) Passport 验证用户 凭据并向 Web 站点返回一 个 PUID
活动目录
(第三步) Web 应用程序验证 激活代码并将PUID映射到 活动目录账户
企业与员工 B2E
将单一登录扩展到网络
IAS/RADIUS
VPN / 远程访问网关
Internet
公司网络
远程用户
集成网络登录服务
集成 VPN 单一登录 集成无线网单一登录 证书与智能卡登录 基于标准的互操作
• L2TP/IPSEC VPN • 802.1x 无线与有线局域网 • RADIUS • EAP • PEAP (Windows .NET)
One way, incremental sync of configurable subset of data from AD to ADAM Limited transformations (users to proxy)
为什么需要IAM? IAM如何解决问题 微软IAM解决方案
核心目录服务:Active Directory 统一用户身份和周期管理:MIIS 身份验证和授权:AD/ADAM+AzMan 应用集成和SSO IAM联合(Federation)
产品线和未来发展 问题/解答
内容
为什么需要IAM? IAM如何解决问题 微软IAM解决方案
(第一步) 客户使用标准的浏览器 访问 Web 站点
Windows Server 2003 IIS Web 服务器
Passport 管理用户凭据 Passport 管理用户验证 管理员管理用户访问控制
(第四步) 用户通过活动目录账 户得到授权
应用程序
企业到企业 B2B
通过活动目录实现 Extranet 访问管理
网络设备 配置 QoS 策略 安全策略
安全性 策略
电子邮件服务器 邮箱信息 地址簿
应用程序
服务器配置 单点配置
Internet
应用程序专用的目录信息
策略
防火墙服务 配置 安全策略 VPN 策略
提供管理、安全性和互操作性的焦点
Active Directory
分布式存储库
数字 ID 和属性 公司组 安全组 应用程序和服务位置 管理和安全策略 数字证书 网络访问策略
Integration Services (MIIS)
Directory Services (AD, ADAM)
Access Services (ADFS)
身份管理和访问控制
Policy management, compliance assessment, reporting, enforcement 生命周期管理 与其它系统的连接和互操作
其他
Windows 用户 帐户信息 优先级 配置文件 策略
Windows 客户端 管理配置文件 网络信息 策略
Windows 服务器 管理配置文件 网络信息 服务 打印机 文件共享
目录
策略
白皮书 电子商务
其他 NOS 用户注册表
Active Directory
焦点
可管理性 安全性 互操作性
WIN220 Identity and Access Management
微软统一身份管理和访问控制 解决方案(IAM)和产品路线介绍
Feifei Qian Technical Solution Professional Microsoft China ffqian@microsoft.com
内容
内容
为什么需要IAM? IAM如何解决问题 微软IAM解决方案
核心目录服务:Active Directory 统一用户身份和周期管理:MIIS 身份验证和授权:AD/ADAM+AzMan 应用集成和SSO IAM联合(Federation)
产品线和未来发展 问题/解答
IAM:统一身份管理和访问控制
Web 服务
文件共享
应用程序
活动目录
应用程序
LDAP
账户目录
企业应用
通过AD集成 LDAP
兼容 LDAP v3
单一 AD 与 LDAP 用户帐户
AD/AM 个性化数据
微软标识集成服务器 MIIS
目录同步
LDAP (例如 iPlanet 等)
关系数据库
应用程序特定
账户预置
SQL
自动账户创建
自动账户取消预置
产品线和未来发展 问题/解答
微软IAM解决方案框架
Web Clients
Smart Clients
Web Servers
Server Services
Microsoft and
Non-Microsoft
微软身份管理和访问控制平台 Smart client SSO, web SSO, claims-based access control, federation 自服务和管理授权 Metadata publication
人们在手动任务上 耗费的时间
60% 58% 56%
16% 18% 17%
54%
17%
53%
24%
自动化工具 25% 24% 24%
28% 29%
23%
响应百分比
人员成本在五年周期的 TCO 中占据超 过 60%
来源: IDC 2002, Microsoft Primary Quantitative Research。400 个针对 IT 专业人员(拥有 25 台以上服务器的数据中心)的半小时电话调查
企业与客户 B2C Business to Customers
客户门户 – Web 单一登录 客户自服务 口令重置
企业与企业 B2B Business to Business
合作伙伴门户 – Web 单一登录 委派管理 合作伙伴自服务
企业与员工 B2E
集成 Windows 单一登录
1
新建用户
- 用户 ID 创建
- 凭据颁发
4
- 权利
离职用户 - 除帐户 - 删除权利
3
支持部门 - 密码重置 - 新建权利
2
更改用户 - 升职 - 调动 - 权利更改
IAM主要应用场景
企业与员工 B2E Business to Employees
减少登录次数 用户设置 / 取消注销 口令管理
用户生产力降低
用户等待访问他们所需的系统或软件 太多的密码导致更多的helpdesk请求 丢失文件需要从磁带进行费时的恢复
安全威胁的风险增加
系统访问没有很快或完全撤销 难以在公司内强制实施安全策略 难以保持最新的安全补丁
管理现状 – 手动的事实
人员密集型的特性决定成本
自动化程度
手动
脚本
62%
14%
您的体系结构是否像这样呢?
东拼西凑 非端到端基础结构 需要大量人工干预 不确定是否安全
从 IT 角度
电子邮件
Web 服务
VPN Internet
桌面 Account Directory
IT 挑战
Netware 文 件服务器
UNIX 应用程序
太多用户目录 提供新帐户 密码管理 审核用户行为 未经授权的桌面更改 软件限制和分发 外出的公司职员
商业影响
人员和时间密集
新职员的访问被延迟
B2B
未经授权访问的风险
没有单独的用户视图
从用户角度
电子邮件 VPN Internet
Web 服务
Netware 文 件服务器
桌面
B2B 用户帐户/凭证
UNIX 应用程序
用户挑战
过多的凭据 哪个凭据适用于哪个应用程序呢? 多重登录 设置新用户需要等待很长时间 未经授权的桌面更改
企业 Extranet
授权检测
Web 应用 1 SSO 代理
EAM Web SSO
Web 应用 2 SSO 代理 委派管理
SSO 代理
验证 LDAP 绑定
合作伙伴标识 活动目录
“信任的” 业务伙伴
Cookie
SSL会话
企业标识
活动目录
内容
为什么需要IAM? IAM如何解决问题 微软IAM解决方案
核心目录服务:Active Directory 统一用户身份和周期管理:MIIS 身份验证和授权:AD/ADAM+AzMan 应用集成和SSO IAM联合(Federation)
解决方案结构图
Sync
Store /
Web retrieve portal Data ADAM
Server
Authentication
Infrastructure Active Directory
Web Client Rich Client
Sync
Other Directories and User Info Store