微軟解決方案 用戶管理和訪問控制

1、微軟解決方案 用戶管理和訪問控制微軟用戶管理和訪問控制解決方案-幫助企業(yè)提高管理能力和員工工作效率，提供更加安全的工作環(huán)境 問題和挑戰(zhàn)隨著企業(yè)業(yè)務(wù)的增長以及IT技術(shù)的發(fā)展，特別是Internet發(fā)展和運用，企業(yè)內(nèi)部的應(yīng)用系統(tǒng)數(shù)量也激增。同時伴隨著使用這些系統(tǒng)的用戶也越來越多，企業(yè)在對這些系統(tǒng)進行用戶管理和訪問控制方面面臨著下面的這些挑戰(zhàn)：1、應(yīng)用系統(tǒng)的用戶管理分散而孤立，管理成本高、權(quán)限控制和信息安全度低企業(yè)中存在多個應(yīng)用系統(tǒng)，每個應(yīng)用系統(tǒng)的用戶身份信息保存在本地目錄和數(shù)據(jù)庫中，這些目錄和數(shù)據(jù)庫互不相同。由此產(chǎn)生了大量孤立、分散的身份信息和訪問管理方式，從而帶來了繁重的管理負擔和高昂的成本。組

2、織的規(guī)模越大，數(shù)據(jù)庫的數(shù)量和種類也越多，同時需要耗費更多的精力進行更新。2、員工使用多套用戶名和口令，工作效率低下且缺乏安全性同時，對于使用應(yīng)用系統(tǒng)的的主體-員工來說，使用多套身份（用戶名/口令）訪問多套應(yīng)用系統(tǒng)，不僅效率低下，而且缺乏安全保障，公司對于雇員在各個應(yīng)用系統(tǒng)中的權(quán)限也缺乏有效的管理和控制。一旦用戶身份出現(xiàn)問題，比如忘記口令，大量的技術(shù)支持請求也將給系統(tǒng)運維部門帶來沉重的壓力。3、缺乏集成的數(shù)字身份驗證方法，企業(yè)內(nèi)部系統(tǒng)難以與客戶和合作伙伴交互由于公司不斷地擴展業(yè)務(wù)，向客戶和合作伙伴開放更多的信息系統(tǒng)，如果沒有一套集成數(shù)字身份解決方案，必然將導致與合作伙伴系統(tǒng)集成困難以及產(chǎn)生安全隱

3、患。解決方案概述微軟身份和訪問管理解決方案使企業(yè)能夠通過良好的身份和訪問管理更好地與客戶、合作伙伴以及雇員進行交流。本解決方案為實現(xiàn)身份管理解決方案提供了各種服務(wù)器和工具。這些產(chǎn)品旨在幫助企業(yè)簡化其內(nèi)部系統(tǒng)，同時保持必要的高度安全性、可管理性以及互用性。該解決方案幫助企業(yè)實現(xiàn)下面三個方面的能力：1. 集中統(tǒng)一的用戶管理通過微軟的活動目錄（LDAP）統(tǒng)一存儲管理企業(yè)IT系統(tǒng)的用戶，提供單一可靠的用戶身份管理和用戶資料管理，供各個業(yè)務(wù)系統(tǒng)和管理系統(tǒng)使用。在此基礎(chǔ)上形成企業(yè)的通訊錄和組織結(jié)構(gòu)管理。2. 自動和可定制的用戶流程管理通過自動化、可定制的用戶管理流程提供對用戶的統(tǒng)一管理，提供對用戶各項信息

4、進行增、刪、改等操作維護功能。通過流程對用戶進行授權(quán)管理，加強企業(yè)的安全性保障。3. 應(yīng)用集成和統(tǒng)一的訪問控制通過集中的用戶授權(quán)和認證，實現(xiàn)各個應(yīng)用系統(tǒng)集成的訪問控制、單點登陸。方便用戶同時獲取多個系統(tǒng)中的信息。方案優(yōu)勢和業(yè)務(wù)收益微軟的身份和訪問管理方案可以幫助進行企業(yè)用戶的身份管理，便于公司改善用戶和組織機構(gòu)管理流程，并加強公司內(nèi)部員工之間的關(guān)系、與客戶和業(yè)務(wù)合作伙伴的關(guān)系。Windows、Windows Server 2003、Active Directory 和其他相關(guān)的產(chǎn)品為您的身份和訪問管理解決方案奠定了基礎(chǔ)。實施基于 Microsoft 產(chǎn)品的身份和訪問管理解決方案的客戶已獲得了巨

5、大的收益并節(jié)約了成本，包括： 單一、可靠的身份信息源，因此所有應(yīng)用程序和系統(tǒng)均具有用戶和其權(quán)限的可靠且最新的視圖。 通過及時刪除跨系統(tǒng)身份（已與該企業(yè)終止關(guān)系的雇員、客戶或合作伙伴），從而提高安全性能。 通過簡化管理，使管理員可以在一個地方而不是在多個地方迅速添加、修改和刪除用戶，從而降低了管理成本。 嚴密的訪問和安全控制，管理員可以更為精確地控制哪些資源用戶訪問，他們可以對資源作出哪些處理以及安全策略如何適用于這些用戶與資源。 密碼更少（單一登錄或減少登錄次數(shù)）和更好的密碼管理，因此用戶可以方便地訪問應(yīng)用程序，并減少幫助臺員工管理密碼問題的時間。 身份系統(tǒng)間的互用性，這種互用性通過基于標準的

6、訪問和驗證機制來實現(xiàn)，該機制可以降低集成以及管理多個系統(tǒng)所需的時間。對于需要建立無縫而可靠的 IT 基礎(chǔ)結(jié)構(gòu)、將最終用戶、客戶和合作伙伴結(jié)為一體的企業(yè)來說，身份管理解決方案必不可少。Microsoft 提供身份管理解決方案，可以幫您實現(xiàn)這個目標?？傮w架構(gòu)和主要功能模塊特色按照客戶需求和功能模塊，微軟身份管理和訪問控制的結(jié)構(gòu)圖如下：而在每一個部分，微軟都有相應(yīng)的產(chǎn)品或者解決方案作為實現(xiàn)，具體如下圖所示：上述解決方案包括了五個主要功能模塊：l 目錄服務(wù)存儲用戶帳戶、身份信息以及安全信息，同時提供服務(wù)管理、網(wǎng)絡(luò)管理、網(wǎng)絡(luò)安全控制以及IT基礎(chǔ)架構(gòu)管理的基礎(chǔ)服務(wù)功能，這是整個微軟用戶管理和訪問控制解決方

7、案的核心。l 身份的生命周期管理包括一些技術(shù)、流程和產(chǎn)品，用來實現(xiàn)用戶創(chuàng)建、刪除（注銷）和身份變化以及策略應(yīng)用過程的自動化流程管理，同時提供用戶口令的自服平臺。l 強壯的用戶驗證服務(wù)根據(jù)現(xiàn)有的安全管理需要，作為目錄服務(wù)的補充，為用戶提供強壯的身份驗證服務(wù)，包括了證書服務(wù)（構(gòu)建企業(yè)級PKI系統(tǒng)），基于硬件的智能卡管理服務(wù)等。l 訪問控制和單點登陸管理用戶身份驗證后應(yīng)用訪問的授權(quán)過程，同時根據(jù)信任策略和相應(yīng)的應(yīng)用授權(quán)策略控制用戶對網(wǎng)絡(luò)和應(yīng)用資源的訪問行為。根據(jù)場景不同，可以分為Web訪問控制、企業(yè)間的聯(lián)合訪問控制、Linux/Unix的跨平臺訪問控制、主機系統(tǒng)(Mainframe)訪問控制、遠程訪

8、問控制以及相應(yīng)的審核和報告服務(wù)，并集成其他系統(tǒng)的身份認證模塊，如IBM的LDAP。l 信息權(quán)限管理Windows 權(quán)限管理服務(wù) (Rights Management Services, RMS) 是一種信息保護技術(shù)，它與啟用 RMS 的應(yīng)用程序一起工作以幫助保護數(shù)字信息避免未經(jīng)授權(quán)的使用（不管是聯(lián)機還是脫機，在防火墻內(nèi)部還是在外部）。通過永久性使用策略（無論信息流向何處，都與其在一起）來保護信息，RMS 增強了企業(yè)的安全策略。企業(yè)可以使用 RMS 來幫助防止敏感信息（例如財務(wù)報告、產(chǎn)品規(guī)范、客戶數(shù)據(jù)和機密電子郵件消息等）被有意或無意地發(fā)往錯誤的接收者。上述解決方案可以用下圖概括：案例列表和重點

9、客戶案例分析國內(nèi)主要使用本解決方案的用戶列表金融行業(yè)電信/媒體政府能源/運輸中國工商銀行平安保險浦東發(fā)展銀行華融資產(chǎn)新華人壽信達資產(chǎn)中信集團北京移動河北移動廣東電信中國聯(lián)通阿里巴巴UT斯達康中國海關(guān)工商管理局農(nóng)業(yè)部杭州市濱江政府廣州人事部航天科技總部中國石油中國石化鐵道部交通類跨國企業(yè)電力制造類南方航空公司廣東省交通集團和記黃埔下屬鹽田國際集裝碼頭上海貝爾阿爾卡特東風有限華晨寶馬中國通用集團廣東省粵電集團南方電網(wǎng)公司大亞灣核電站時代集團湘潭鋼鐵株洲電力機車廠房地產(chǎn)類零售類證券類萬科地產(chǎn)中原地產(chǎn)佐丹奴安利中國深圳證券交易所一個典型的國內(nèi)案例“浦東發(fā)展銀行”上海浦東發(fā)展銀行是1992年8月28日經(jīng)

10、中國人民銀行批準設(shè)立的，并于1993年1月9日正式開業(yè)的股份制商業(yè)銀行，銀行總部設(shè)在上海。為實現(xiàn)“把銀行建在網(wǎng)上”的遠景目標，銀行的IT基礎(chǔ)架構(gòu)需要提供更多支撐。由于集中化的方案不僅有最低的系統(tǒng)總體擁有成本，面對未來銀行的發(fā)展，它更具有高度的可擴展性和靈活性，同時更能降低系統(tǒng)管理維護成本，方便地實現(xiàn)低成本地快速擴張，實現(xiàn)IT管理的扁平化，因此他們在全國范圍內(nèi)部署了微軟的身份管理和訪問控制解決方案。部署后給浦東發(fā)展銀行帶來的好處包括： 集中統(tǒng)一管理模式 減少了各分支行IT人員的壓力和強度 用于請求本地和中央資源的任務(wù)將僅通過一個中央資源來完成，從而提高了一致性，減少了工作量并加快了任務(wù)周期 通過

11、組策略，對全行客戶端或應(yīng)用服務(wù)器進行了統(tǒng)一的維護管理，在提升維護效率的同時，也降低了故障發(fā)生率，并有效地提高了用戶滿意度 即使本地登錄服務(wù)器故障，擁有集中統(tǒng)一的域，用戶仍舊可以用總行的服務(wù)器登錄訪問內(nèi)部網(wǎng)絡(luò) 為部署LCS 2005企業(yè)即時消息系統(tǒng)提供了基礎(chǔ)平臺架構(gòu) 減少了目錄復(fù)制流量 訪問郵件更方便更快捷 移動用戶可以用PDA/手機訪問自己的郵箱解決方案微軟產(chǎn)品實現(xiàn)整套方案將采用如下的微軟及微軟合作伙伴的產(chǎn)品：支撐方案的微軟產(chǎn)品主要用途和特點客戶端產(chǎn)品Internet Explorer （免費）最常使用的瀏覽工具，用于瀏覽基于Web訪問方式的平臺界面，不需要額外進行用戶培訓?；顒幽夸浛蛻舳塑浖?/p>

12、（部分免費）集成在Windows 2000以后的操作系統(tǒng)中，針對Windows 9x的軟件可以在微軟網(wǎng)站下載。針對非Windows平臺的客戶端軟件可以自行開發(fā)（微軟提供開發(fā)接口）或者購買微軟合作伙伴的產(chǎn)品。服務(wù)器端產(chǎn)品Windows 2003 Server （需購買）服務(wù)器端的系統(tǒng)平臺，穩(wěn)定可靠的操作系統(tǒng)平臺。AzMan（免費）用于進行基于角色的應(yīng)用統(tǒng)一授權(quán)的工具，可以包含在Windows Server 2003 R2中，單獨的安裝版本可以在微軟免費下載。PKI（免費）構(gòu)建企業(yè)公鑰體系，作為組件包含在Windows Server操作系統(tǒng)中。RMS （免費）提供對多種格式文檔的安全控制和加密管理。ILM2007 / MIIS 2003 （需購買）提供用戶身份的生命周期管理。ADFS （免費）提供企業(yè)和企業(yè)之間的聯(lián)合身份驗證服務(wù)，作為組件包含在Windows Server 2003 R2中。Quest/Centrify （需購買）合作伙伴解決方案，提供非Windows平臺的用戶管理和訪問控制服務(wù)。HIS（需購買）提供針對Mainframe的用戶管理和訪問控制服務(wù)。ISA（需購買）提供防火墻和接入服務(wù)。MOM（需購買）其中的ACS（日志收集服務(wù)）為身份管理和訪問控制平臺提供統(tǒng)一的審核平臺。Card Space（免費）下一代數(shù)字身份技術(shù)，包含在下一代Windo