微軟統一身份管理與授權系統解決方案

微軟(中國)有限公司微軟統一身份授權管理系統解決方案日程統一身份介紹什么是SSO微軟統一身份授權管理系統解決方案結合(AD)的SSO優(yōu)點總結什么是身份？IP-地址用戶名/密碼生物特征智能卡護照照片身份Identity姓名,地址,電話機,手機,傳真,房間號,…Identity，用于證明“我是誰”(Who)的憑據在IT領域，身份一般特指數字身份挑戰(zhàn)：企業(yè)數字身份的爆炸式增長Pre1980’s1980’s1990’s2000’s數字身份的數量TimeApplicationsMainframeClientServerInternetBusinessAutomationCompany(B2E)Partners(B2B)Customers(B2C)Mobility挑戰(zhàn)：企業(yè)資源訪問方式也在擴展企業(yè)內部員工供貨商合作伙伴分支機構客戶提高客戶滿意度節(jié)省成本人性化要求合作外包快速商務周期流程自動化價值鏈關鍵問題總結如何實現身份信息統一管理與集成如何管理人員詳細信息如何實現單點登錄如何實現基于身份的統一授權與審計如何保證越來越高的安全性需求（多要素驗證）統一身份管理與授權平臺SSO是什么SSO(SingleSign-On)統一認證(又叫單點認證)，是一個用戶認證的過程，允許用戶一次性進行認證后，就可以訪問加入統一認證系統中不同的應用，而不需要每次都重新輸入用戶名和密碼（憑據），用一句話來形象的解釋就是“單點登錄、全網漫游”?；赪eb的標準方式認證

單點認證與接入應用業(yè)務無關

驗證時用戶只需一次提交用戶名和密碼

用戶鑒權集中控制SSO系統具有特點SSO實現機制1.訪問請求SSOServiceWebServer2.轉發(fā)訪問請求3.根據用戶提交的信息，驗證用戶身份創(chuàng)建UserToken（內存，具有時效性），頒發(fā)給用戶。SSOService同時提供標準的對外接口，

方便其他系統和平臺的接入4.認證成功給Webserver5.返回用戶訪問的頁面用戶身份識別跨域的SSO實現，基于加密的cookie（UserToken[身份令牌]）OtherWebServer通用SSO系統缺陷帳號沒有規(guī)范標準密碼安全性不強支持認證方式單一缺少獨立的用戶管理功能結論

各方面擴展性不強擴展基于表單的Passport認證認證服務支持單點登錄的應用Http協議用戶的瀏覽器第一次訪問應用的頁面沒有認證過，需要重定向到認證服務轉到認證服務如果沒有其它應用認證過，則顯示認證頁面。最終將認證信息，加密為Ticket，重定向回應用攜帶ticket，再次訪問應用解決之道-

ActiveDirectorySSOWindowsWindowsServerActiveDirectoryADSI基于ADSSO認證服務(擴展)SSO認證服務提供了可擴展的基于集成身份認證登錄方式密碼安全性加強(密碼策略強、密碼不可逆)用戶數據訪問擴展性好(LDAP協議開放)數據庫統一身份授權(SSO)系統功能介紹實現Web應用跨服務器的表單認證為A應用提供認證的HttpModule，自動完成Principal的構造提供登錄和注銷的控件可定制性應用系統SSO服務訪問應用到統一認證過程瀏覽器訪問應用統一登錄認證頁面判斷用戶身份(ticket)是否有(ticket)統一登錄頁面否成功登錄操作否返回之前應用頁面生成當前應用可以識別的ticket有統一身份授權管理系統可定制性認證服務Ticket的加密算法定制認證操作認證界面Cookie的加解密算法應用Ticket的解密算法Cookie的加解密算法認證方式（集成Windows認證）Principal的構造統一身份授權管理系統概述管理用戶身份驗證的過程，同時根據信任策略和相應的應用授權策略控制用戶對應用資源的訪問行為。存儲用戶帳戶、身份信息以及安全信息。

與ActiveDirectory緊密結合技術和流程，用來實現用戶創(chuàng)建、刪除（注銷）和身份變化以及策略應用過程的自動化管理。人員目錄服務訪問/授權管理身份的生命周期管理用戶帳號生命周期管理新用戶用戶ID的創(chuàng)建身份的認證訪問權限控制帳號管理權限升級帳號轉移添加新權限帳號屬性修改密碼管理強密碼設定“丟失”密碼管理密碼重置離開的用戶刪除/凍結用戶賬號刪除/凍結用權限身份同步對各處存儲的用戶ID信息進行生命周期的全過程管理微軟統一身份管理和授權系統總體架構ADHROA其他應用接口組織機構管理用戶授權管理身份信息同步身份管理系統門戶SSO服務B/S三層結構設計，保證系統靈活高效；程序環(huán)境：IIS6.0+ .NetFramework2.0+(兼容3.5)數據庫:MicrosoftSQLServer2005+（支持2008）ActiveDirectoryServer統一身份授權管理系統技術構架SSO服務MicrosoftIIS6.0+ADServer/WindowsServer綜合管理門戶ASP.Net2.0SQL統一用戶后臺管理詳細的后臺用戶管理功能(基于AD)機構和人員信息基礎信息：機構和人員的唯一ID和顯示名稱帳戶信息：登錄名、帳戶有效性信息（有效期，禁用標志）…授權可能相關的信息：用戶級別個人屬性：電話號碼，通信地址等…不同的信息維護界面不同基礎信息、帳戶信息和授權相關的信息管理員操作個人屬性由個人或管理員操作統一用戶后臺授權管理應用功能角色機構人員人員組用戶身份信息同步身份同步接口服務活動目錄其他系統OA系統HR系統人員身份信息新建/變更/刪除等員工A類信息A類A類+B類A類+B`類A類+B``類系統部署構架示意圖WebService數據訪問標準接口LDAP數據