131美女视频免费网站,美女视频免费写真,台湾美女视频网站

show toc

Microsoft 標(biāo)識(shí)和訪問管理

基本概念

第 5 章：身份生命周期管理

發(fā)布日期： 2004年05月11日 | 更新日期： 2006年12月06日

大部分組織都必須管理多個(gè)身份存儲(chǔ)。只要在網(wǎng)絡(luò)環(huán)境中使用多個(gè)位置存儲(chǔ)數(shù)字身份，便會(huì)與管理多個(gè)身份有關(guān)的問題。

身份生命周期管理包含在遵從管理策略的前提下配置、取消配置、管理和同步數(shù)字身份的流程和技術(shù)。身份和訪問管理的成功與否主要取決于如何有效管理數(shù)字身份生命周期。

身份生命周期管理服務(wù)可用于安全主體創(chuàng)建、屬性管理、同步、聚合和刪除。此外，還必須用全面的審核追蹤安全地完成這些操作。本部分將介紹微軟產(chǎn)品如何滿足這些要求。

本頁內(nèi)容

身份集成

身份集成 (IdI) 服務(wù)鏈接多個(gè)目錄、數(shù)據(jù)庫以及其他身份存儲(chǔ)中的身份信息。這些服務(wù)為用戶提供了統(tǒng)一的視圖，而且可以跨多個(gè)存儲(chǔ)實(shí)現(xiàn)身份的配置和取消配置。

微軟提供了兩個(gè)用于身份集成的相關(guān)應(yīng)用程序，本部分將對(duì)它們進(jìn)行討論。這兩個(gè)產(chǎn)品是：

•

Microsoft® Identity Integration Server 2003, Enterprise Edition (MIIS 2003 SP1)。

•

Identity Integration Feature Pack 1a for Microsoft Windows Server™ Active Directory。

MIIS 2003 SP1 通過提供范圍廣泛的互操作功能擴(kuò)充了 Microsoft Active Directory® 目錄服務(wù)，這些互操作功能包括：

•

與各種身份倉庫相集成。

•

跨多個(gè)存儲(chǔ)配置身份信息。

•

關(guān)聯(lián)身份信息、自動(dòng)檢測(cè)更新和跨系統(tǒng)同步更改。

•

轉(zhuǎn)換某一身份存儲(chǔ)中的數(shù)據(jù)以適合另一個(gè)身份存儲(chǔ)中的架構(gòu)。

Identity Integration Feature Pack 1a for Microsoft Windows Server Active Directory 是 MIIS 2003 SP1 的精簡(jiǎn)版功能集，可以免費(fèi)下載獲得。該功能包提供了在 Active Directory 、ADAM 和 Exchange 2000/2003 全局地址列表間集成身份信息的功能。若要下載此功能包，請(qǐng)?jiān)L問微軟下載中心網(wǎng)站上的Identity Integration Feature Pack 1a for Microsoft Windows Server Active Directory 頁。

微軟還提供了運(yùn)行與特定平臺(tái)相集成的產(chǎn)品。這些產(chǎn)品使您可以將非微軟操作系統(tǒng)集成到 Windows 環(huán)境中，而且可以在 MIIS 2003 SP1 不完全支持的一些場(chǎng)合中發(fā)揮用處，另外，如果只需要與一個(gè)其他平臺(tái)相集成的話，這些產(chǎn)品也會(huì)對(duì)您有所幫助。

其他這些集成產(chǎn)品包括：

•

Services for UNIX。此產(chǎn)品對(duì) Active Directory 記錄進(jìn)行了適當(dāng)?shù)臄U(kuò)展，以包括 UNIX 憑證和權(quán)利，從而使您可以通過管理 Windows 用戶和用戶組的相同的方式來管理 UNIX 用戶和用戶組。此產(chǎn)品還支持 UNIX 和 Active Directory 間的密碼同步。

•

Services for NetWare。此產(chǎn)品提供了高度靈活的服務(wù)，在 Active Directory 與 Novell eDirectory 8.7 和 Bindery 間提供了完整的互操作性解決方案。此產(chǎn)品通過 Active Directory 和 Novell 系統(tǒng)之間的雙向密碼同步降低了身份和訪問管理的成本。

•

Services for Macintosh。此產(chǎn)品啟用了 Microsoft Windows Server 的集成組件，以使運(yùn)行 Windows 和 Macintosh 操作系統(tǒng)的計(jì)算機(jī)可以共享文件和打印機(jī)。此外，Windows Server 還可以作為 AppleTalk 路由器使用。Services for Macintosh 還包含微軟用戶身份驗(yàn)證模塊 (MSUAM)，該模塊使用 Windows Server 2003 為 Macintosh 客戶端訪問應(yīng)用程序提供了一個(gè)安全的 SSO 機(jī)制。

•

Host Integration Server (HIS)。此產(chǎn)品提供了應(yīng)用程序、數(shù)據(jù)和網(wǎng)絡(luò)集成功能，將訪問范圍從基于 Windows 的操作系統(tǒng)擴(kuò)展到遺留主機(jī)系統(tǒng)，如運(yùn)行 DB2、RACF、ACF2 和其他操作系統(tǒng)的 AS/400 及大型機(jī)）的訪問。HIS 還可以在不更改主機(jī)安全環(huán)境的情況下，將用戶 ID 和密碼從 Windows 操作系統(tǒng)映射到主機(jī)系統(tǒng)。

返回頁首

配置

管理數(shù)字身份生命周期的中心問題是確?？梢栽?Active Directory 維護(hù)的集中化身份存儲(chǔ)，以及在其他沒有與 Active Directory 完全集成的應(yīng)用程序身份存儲(chǔ)中添加和刪除安全主體。此場(chǎng)景通常稱為“雇用/解雇”場(chǎng)景。

向配置過程添加工作流

配置過程通常需要與組織的運(yùn)營過程聯(lián)系在一起。例如，如果雇用了一名新員工，該員工的經(jīng)理需要批準(zhǔn)其配置流程。向配置機(jī)制中添加工作流的方法主要三種。

•

MIIS 2003 SP1 規(guī)則擴(kuò)展。使用 MIIS 2003 SP1 規(guī)則擴(kuò)展可以實(shí)施由工作流驅(qū)動(dòng)的簡(jiǎn)單配置。接著，連接數(shù)據(jù)庫中的狀態(tài)更改（如人力資源 (HR) 應(yīng)用程序）啟動(dòng)自動(dòng)化的配置序列。MIIS 2003 SP1 中的規(guī)則擴(kuò)展控制相應(yīng)身份存儲(chǔ)中數(shù)字身份的最終創(chuàng)建。不過，此機(jī)制不支持任何手動(dòng)批準(zhǔn)流程。

•

簡(jiǎn)單工作流。另一種選擇方法是實(shí)施簡(jiǎn)單的工作流應(yīng)用程序，可能包含支持自動(dòng)配置流程中手動(dòng)工作流步驟的 Web 界面。這種方法可能包括新員工需要經(jīng)理批準(zhǔn)這種場(chǎng)景，不過，經(jīng)理只能批準(zhǔn)其自己管轄的新員工。當(dāng) HR 部門創(chuàng)建新員工帳戶時(shí)，他們輸入經(jīng)理的詳細(xì)信息，以便向相關(guān)經(jīng)理發(fā)送通知電子郵件。當(dāng)該經(jīng)理登錄到網(wǎng)站時(shí)，他們就會(huì)看到待批準(zhǔn)的新員工名單。通過批準(zhǔn)后，在所有相關(guān)的身份存儲(chǔ)中創(chuàng)建新用戶帳戶。

•

Microsoft BizTalk® 2004 商業(yè)流程。BizTalk 2004 商業(yè)流程針對(duì)復(fù)雜的異類環(huán)境提供了高級(jí)的工作流功能。

配置影子帳戶

第 6 章“訪問管理”中介紹了如何將影子帳戶作為在兩個(gè)不信任領(lǐng)域間創(chuàng)建信任的備用方案使用。為了維護(hù)此機(jī)制并保證其穩(wěn)健性，最好是將不同領(lǐng)域間影子帳戶的創(chuàng)建和刪除過程自動(dòng)化。MIIS 2003 SP1 是實(shí)現(xiàn)影子帳戶配置和同步的優(yōu)秀工具。

返回頁首

委派管理

身份生命周期管理包括委派管理 Active Directory 中所維護(hù)數(shù)字身份某些方面的能力。通過界面選擇使用 Active Directory 中內(nèi)置的精確訪問控制可以實(shí)現(xiàn)這種委派。如果已正確配置該架構(gòu)中針對(duì) Active Directory 對(duì)象訪問控制列表 (ACL) 的授權(quán)策略，微軟管理控制臺(tái) (MMC) 管理單元?jiǎng)t提供委派 Active Directory 中所有對(duì)象管理的方法，包括表示數(shù)字身份的用戶帳戶。

另一種常用的管理界面選擇是創(chuàng)建集成 Active Directory 的 Web 應(yīng)用程序來提供帳戶和屬性管理。專門從事訪問管理的微軟合作伙伴通常會(huì)在其產(chǎn)品中加入此功能。

有關(guān) Active Directory 委派管理功能的更多信息，請(qǐng)?jiān)L問 Microsoft TechNet 上的“在 Active Directory 中設(shè)計(jì)管理委派的注意事項(xiàng)”。

返回頁首

自助服務(wù)

為普通用戶提供管理其目錄屬性中某些子集的能力是降低身份管理成本的關(guān)鍵。微軟產(chǎn)品通過 Active Directory 中對(duì)屬性級(jí)別的詳細(xì)授權(quán)間接支持此功能。許多微軟客戶都使用 Visual Studio .NET 開發(fā)了自己的界面（通常為網(wǎng)頁）以實(shí)現(xiàn)自助式屬性修改。對(duì)于想要購買現(xiàn)有產(chǎn)品的客戶，微軟合作伙伴提供了簡(jiǎn)單易用的 Web 界面，允許用戶自我管理某些屬性信息。

返回頁首

憑證管理

通常，不同的身份驗(yàn)證機(jī)制使用不同的憑證（例如 x.509 證書、Kerberos 身份驗(yàn)證協(xié)議密碼和 Microsoft Passport 密碼），因此任何支持多種身份驗(yàn)證機(jī)制的平臺(tái)都應(yīng)該為用戶提供管理多種憑證的功能。在 Windows 中，此功能稱為 Windows 憑證管理器。

Windows 憑證管理器為最終用戶提供了緩存憑證并將其與特定位置相關(guān)聯(lián)的能力。例如，用戶可以在不同的網(wǎng)站使用不同的 Microsoft Passport 帳戶，而且還可以標(biāo)識(shí)用于不同 Web 應(yīng)用程序的不同證書。

密碼管理

許多環(huán)境都包含無法輕松與 Windows Server 2003 和 Active Directory 中的安全功能相集成的系統(tǒng)和應(yīng)用程序。這些系統(tǒng)通常依賴于不同的身份驗(yàn)證協(xié)議，或使用單獨(dú)的身份存儲(chǔ)進(jìn)行身份驗(yàn)證。

但是，其中許多系統(tǒng)都使用密碼進(jìn)行身份驗(yàn)證。通過對(duì)登錄 Active Directory 時(shí)所用的帳戶和憑證（密碼），以及其他系統(tǒng)中所用的帳戶和密碼進(jìn)行配置、同步和管理，有可能提供更好的用戶體驗(yàn)（但也可能會(huì)增加受攻擊面）。執(zhí)行密碼管理的微軟產(chǎn)品包括：

•

MIIS 2003 SP1。此產(chǎn)品可通過 Windows 管理規(guī)范 (WMI) 接口在連接的目錄之間傳播密碼。WMI 接口的應(yīng)用對(duì)象是隨 MIIS 一同提供的用于密碼更改和重置的預(yù)構(gòu)建網(wǎng)頁，或使用 Windows 其他功能（例如，此列表中最后一項(xiàng)介紹的密碼通知篩選器）的自定義解決方案。

•

Services for UNIX。此產(chǎn)品在 Active Directory 和 UNIX 平臺(tái)之間進(jìn)行密碼傳播。

•

Services for NetWare。此產(chǎn)品在 Active Directory 和 NetWare 之間進(jìn)行密碼傳播。

•

Host Integration Server (HIS)。此產(chǎn)品在 Active Directory 和各種基于主機(jī)的系統(tǒng)之間進(jìn)行密碼同步。

•

Active Directory 自定義密碼通知篩選器。Windows 平臺(tái)軟件開發(fā)工具包 (SDK) 以及本系列文章中的“密碼管理”一文包括了有關(guān)開發(fā)自定義密碼通知篩選器，以實(shí)現(xiàn)增強(qiáng)密碼管理服務(wù)的信息。

借助 MIIS 2003 SP1，您可以管理其他系統(tǒng)的帳戶和密碼，尤其是其他目錄系統(tǒng)和身份存儲(chǔ)數(shù)據(jù)庫。此產(chǎn)品提供了與最常用的目錄和數(shù)據(jù)庫相集成的連接器，簡(jiǎn)化了密碼管理機(jī)制的部署過程。MIIS 2003 SP1 支持以下列方式管理密碼：

•

幫助臺(tái)重置。幫助臺(tái)人員通過隨 MIIS 提供的 Web 界面重新設(shè)置用戶密碼。您可以將密碼變更配置為指向 Active Directory 和 MIIS 2003 SP1 支持的其他目錄，以進(jìn)行密碼管理。

•

通過 Web 進(jìn)行更改。用戶通過基于 Web 的公共密碼更改應(yīng)用程序更改密碼。然后，密碼被分發(fā)到所有受 MIIS 支持的目錄和系統(tǒng)，包括 Active Directory 。

•

通過 Windows 進(jìn)行更改。用戶通過 Windows 客戶端計(jì)算機(jī)上的“更改密碼”對(duì)話框來更改密碼。Active Directory 密碼通知篩選器獲取更改的密碼后，再通過 MIIS 2003 SP1 將其分發(fā)到其它系統(tǒng)。此工具目前還未內(nèi)置于 MIIS 2003 SP1 中，但可使用 Visual Studio .NET 通過自定義編碼來實(shí)現(xiàn)，如本系列文章“密碼管理”一文中附帶的示例所示。

•

通過其他系統(tǒng)進(jìn)行更改。用戶可以通過非 Windows 操作系統(tǒng)更改密碼。密碼通過受操作系統(tǒng)支持的機(jī)制來獲得，然后通過 MIIS 2003 SP1 進(jìn)行分發(fā)。只有在使用與 Active Directory 或 MIIS 2003 SP1 相集成的非微軟應(yīng)用程序時(shí)，才支持此功能。

無論采用哪種密碼來管理系統(tǒng)，只有在該系統(tǒng)簡(jiǎn)單易用，而且用戶了解如何進(jìn)行訪問該系統(tǒng)的情況下，您才能從中受益。

返回頁首

第 5 頁，共 9 頁

本文內(nèi)容

•第 1 章：“基本概念”簡(jiǎn)介

•第 2 章：術(shù)語和計(jì)劃

•第 3 章：微軟身份與訪問管理技術(shù)

•第 4 章：目錄服務(wù)

• 第 5 章：身份生命周期管理

•第 6 章：訪問管理

•第 7 章：應(yīng)用程序

•鏈接