微軟統(tǒng)一身份管理與授權(quán)系統(tǒng)解決方案

微軟(中國(guó))有限公司微軟統(tǒng)一身份授權(quán)管理系統(tǒng)解決方案日程統(tǒng)一身份介紹什么是SSO微軟統(tǒng)一身份授權(quán)管理系統(tǒng)解決方案結(jié)合(AD)的SSO優(yōu)點(diǎn)總結(jié)什么是身份？IP-地址用戶名/密碼生物特征智能卡護(hù)照照片身份Identity姓名,地址,電話機(jī),手機(jī),傳真,房間號(hào),…Identity，用于證明“我是誰(shuí)”(Who)的憑據(jù)在IT領(lǐng)域，身份一般特指數(shù)字身份挑戰(zhàn)：企業(yè)數(shù)字身份的爆炸式增長(zhǎng)Pre1980’s1980’s1990’s2000’s數(shù)字身份的數(shù)量TimeApplicationsMainframeClientServerInternetBusinessAutomationCompany(B2E)Partners(B2B)Customers(B2C)Mobility挑戰(zhàn)：企業(yè)資源訪問(wèn)方式也在擴(kuò)展企業(yè)內(nèi)部員工供貨商合作伙伴分支機(jī)構(gòu)客戶提高客戶滿意度節(jié)省成本人性化要求合作外包快速商務(wù)周期流程自動(dòng)化價(jià)值鏈關(guān)鍵問(wèn)題總結(jié)如何實(shí)現(xiàn)身份信息統(tǒng)一管理與集成如何管理人員詳細(xì)信息如何實(shí)現(xiàn)單點(diǎn)登錄如何實(shí)現(xiàn)基于身份的統(tǒng)一授權(quán)與審計(jì)如何保證越來(lái)越高的安全性需求（多要素驗(yàn)證）統(tǒng)一身份管理與授權(quán)平臺(tái)SSO是什么SSO(SingleSign-On)統(tǒng)一認(rèn)證(又叫單點(diǎn)認(rèn)證)，是一個(gè)用戶認(rèn)證的過(guò)程，允許用戶一次性進(jìn)行認(rèn)證后，就可以訪問(wèn)加入統(tǒng)一認(rèn)證系統(tǒng)中不同的應(yīng)用，而不需要每次都重新輸入用戶名和密碼（憑據(jù)），用一句話來(lái)形象的解釋就是“單點(diǎn)登錄、全網(wǎng)漫游”?；赪eb的標(biāo)準(zhǔn)方式認(rèn)證

單點(diǎn)認(rèn)證與接入應(yīng)用業(yè)務(wù)無(wú)關(guān)

驗(yàn)證時(shí)用戶只需一次提交用戶名和密碼

用戶鑒權(quán)集中控制SSO系統(tǒng)具有特點(diǎn)SSO實(shí)現(xiàn)機(jī)制1.訪問(wèn)請(qǐng)求SSOServiceWebServer2.轉(zhuǎn)發(fā)訪問(wèn)請(qǐng)求3.根據(jù)用戶提交的信息，驗(yàn)證用戶身份創(chuàng)建UserToken（內(nèi)存，具有時(shí)效性），頒發(fā)給用戶。SSOService同時(shí)提供標(biāo)準(zhǔn)的對(duì)外接口，

方便其他系統(tǒng)和平臺(tái)的接入4.認(rèn)證成功給Webserver5.返回用戶訪問(wèn)的頁(yè)面用戶身份識(shí)別跨域的SSO實(shí)現(xiàn)，基于加密的cookie（UserToken[身份令牌]）OtherWebServer通用SSO系統(tǒng)缺陷帳號(hào)沒(méi)有規(guī)范標(biāo)準(zhǔn)密碼安全性不強(qiáng)支持認(rèn)證方式單一缺少獨(dú)立的用戶管理功能結(jié)論

各方面擴(kuò)展性不強(qiáng)擴(kuò)展基于表單的Passport認(rèn)證認(rèn)證服務(wù)支持單點(diǎn)登錄的應(yīng)用Http協(xié)議用戶的瀏覽器第一次訪問(wèn)應(yīng)用的頁(yè)面沒(méi)有認(rèn)證過(guò)，需要重定向到認(rèn)證服務(wù)轉(zhuǎn)到認(rèn)證服務(wù)如果沒(méi)有其它應(yīng)用認(rèn)證過(guò)，則顯示認(rèn)證頁(yè)面。最終將認(rèn)證信息，加密為Ticket，重定向回應(yīng)用攜帶ticket，再次訪問(wèn)應(yīng)用解決之道-

ActiveDirectorySSOWindowsWindowsServerActiveDirectoryADSI基于ADSSO認(rèn)證服務(wù)(擴(kuò)展)SSO認(rèn)證服務(wù)提供了可擴(kuò)展的基于集成身份認(rèn)證登錄方式密碼安全性加強(qiáng)(密碼策略強(qiáng)、密碼不可逆)用戶數(shù)據(jù)訪問(wèn)擴(kuò)展性好(LDAP協(xié)議開放)數(shù)據(jù)庫(kù)統(tǒng)一身份授權(quán)(SSO)系統(tǒng)功能介紹實(shí)現(xiàn)Web應(yīng)用跨服務(wù)器的表單認(rèn)證為A應(yīng)用提供認(rèn)證的HttpModule，自動(dòng)完成Principal的構(gòu)造提供登錄和注銷的控件可定制性應(yīng)用系統(tǒng)SSO服務(wù)訪問(wèn)應(yīng)用到統(tǒng)一認(rèn)證過(guò)程瀏覽器訪問(wèn)應(yīng)用統(tǒng)一登錄認(rèn)證頁(yè)面判斷用戶身份(ticket)是否有(ticket)統(tǒng)一登錄頁(yè)面否成功登錄操作否返回之前應(yīng)用頁(yè)面生成當(dāng)前應(yīng)用可以識(shí)別的ticket有統(tǒng)一身份授權(quán)管理系統(tǒng)可定制性認(rèn)證服務(wù)Ticket的加密算法定制認(rèn)證操作認(rèn)證界面Cookie的加解密算法應(yīng)用Ticket的解密算法Cookie的加解密算法認(rèn)證方式（集成Windows認(rèn)證）Principal的構(gòu)造統(tǒng)一身份授權(quán)管理系統(tǒng)概述管理用戶身份驗(yàn)證的過(guò)程，同時(shí)根據(jù)信任策略和相應(yīng)的應(yīng)用授權(quán)策略控制用戶對(duì)應(yīng)用資源的訪問(wèn)行為。存儲(chǔ)用戶帳戶、身份信息以及安全信息。

與ActiveDirectory緊密結(jié)合技術(shù)和流程，用來(lái)實(shí)現(xiàn)用戶創(chuàng)建、刪除（注銷）和身份變化以及策略應(yīng)用過(guò)程的自動(dòng)化管理。人員目錄服務(wù)訪問(wèn)/授權(quán)管理身份的生命周期管理用戶帳號(hào)生命周期管理新用戶用戶ID的創(chuàng)建身份的認(rèn)證訪問(wèn)權(quán)限控制帳號(hào)管理權(quán)限升級(jí)帳號(hào)轉(zhuǎn)移添加新權(quán)限帳號(hào)屬性修改密碼管理強(qiáng)密碼設(shè)定“丟失”密碼管理密碼重置離開的用戶刪除/凍結(jié)用戶賬號(hào)刪除/凍結(jié)用權(quán)限身份同步對(duì)各處存儲(chǔ)的用戶ID信息進(jìn)行生命周期的全過(guò)程管理微軟統(tǒng)一身份管理和授權(quán)系統(tǒng)總體架構(gòu)ADHROA其他應(yīng)用接口組織機(jī)構(gòu)管理用戶授權(quán)管理身份信息同步身份管理系統(tǒng)門戶SSO服務(wù)B/S三層結(jié)構(gòu)設(shè)計(jì)，保證系統(tǒng)靈活高效；程序環(huán)境：IIS6.0+ .NetFramework2.0+(兼容3.5)數(shù)據(jù)庫(kù):MicrosoftSQLServer2005+（支持2008）ActiveDirectoryServer統(tǒng)一身份授權(quán)管理系統(tǒng)技術(shù)構(gòu)架SSO服務(wù)MicrosoftIIS6.0+ADServer/WindowsServer綜合管理門戶ASP.Net2.0SQL統(tǒng)一用戶后臺(tái)管理詳細(xì)的后臺(tái)用戶管理功能(基于AD)機(jī)構(gòu)和人員信息基礎(chǔ)信息：機(jī)構(gòu)和人員的唯一ID和顯示名稱帳戶信息：登錄名、帳戶有效性信息（有效期，禁用標(biāo)志）…授權(quán)可能相關(guān)的信息：用戶級(jí)別個(gè)人屬性：電話號(hào)碼，通信地址等…不同的信息維護(hù)界面不同基礎(chǔ)信息、帳戶信息和授權(quán)相關(guān)的信息管理員操作個(gè)人屬性由個(gè)人或管理員操作統(tǒng)一用戶后臺(tái)授權(quán)管理應(yīng)用功能角色機(jī)構(gòu)人員人員組用戶身份信息同步身份同步接口服務(wù)活動(dòng)目錄其他系統(tǒng)OA系統(tǒng)HR系統(tǒng)人員身份信息新建/變更/刪除等員工A類信息A類A類+B類A類+B`類A類+B``類系統(tǒng)部署構(gòu)架示意圖WebService數(shù)據(jù)訪問(wèn)標(biāo)準(zhǔn)接口LDAP數(shù)據(jù)