99久久成人18免费网站_ 第 5 章：身份生命周期管理

show toc

Microsoft 標識和訪(fǎng)問(wèn)管理

基本概念

第 5 章：身份生命周期管理

發(fā)布日期： 2004年05月11日 | 更新日期： 2006年12月06日

大部分組織都必須管理多個(gè)身份存儲。只要在網(wǎng)絡(luò )環(huán)境中使用多個(gè)位置存儲數字身份，便會(huì )與管理多個(gè)身份有關(guān)的問(wèn)題。

身份生命周期管理包含在遵從管理策略的前提下配置、取消配置、管理和同步數字身份的流程和技術(shù)。身份和訪(fǎng)問(wèn)管理的成功與否主要取決于如何有效管理數字身份生命周期。

身份生命周期管理服務(wù)可用于安全主體創(chuàng )建、屬性管理、同步、聚合和刪除。此外，還必須用全面的審核追蹤安全地完成這些操作。本部分將介紹微軟產(chǎn)品如何滿(mǎn)足這些要求。

本頁(yè)內容

身份集成

身份集成 (IdI) 服務(wù)鏈接多個(gè)目錄、數據庫以及其他身份存儲中的身份信息。這些服務(wù)為用戶(hù)提供了統一的視圖，而且可以跨多個(gè)存儲實(shí)現身份的配置和取消配置。

微軟提供了兩個(gè)用于身份集成的相關(guān)應用程序，本部分將對它們進(jìn)行討論。這兩個(gè)產(chǎn)品是：

•

Microsoft® Identity Integration Server 2003, Enterprise Edition (MIIS 2003 SP1)。

•

Identity Integration Feature Pack 1a for Microsoft Windows Server™ Active Directory。

MIIS 2003 SP1 通過(guò)提供范圍廣泛的互操作功能擴充了 Microsoft Active Directory® 目錄服務(wù)，這些互操作功能包括：

•

與各種身份倉庫相集成。

•

跨多個(gè)存儲配置身份信息。

•

關(guān)聯(lián)身份信息、自動(dòng)檢測更新和跨系統同步更改。

•

轉換某一身份存儲中的數據以適合另一個(gè)身份存儲中的架構。

Identity Integration Feature Pack 1a for Microsoft Windows Server Active Directory 是 MIIS 2003 SP1 的精簡(jiǎn)版功能集，可以免費下載獲得。該功能包提供了在 Active Directory 、ADAM 和 Exchange 2000/2003 全局地址列表間集成身份信息的功能。若要下載此功能包，請訪(fǎng)問(wèn)微軟下載中心網(wǎng)站上的Identity Integration Feature Pack 1a for Microsoft Windows Server Active Directory 頁(yè)。

微軟還提供了運行與特定平臺相集成的產(chǎn)品。這些產(chǎn)品使您可以將非微軟操作系統集成到 Windows 環(huán)境中，而且可以在 MIIS 2003 SP1 不完全支持的一些場(chǎng)合中發(fā)揮用處，另外，如果只需要與一個(gè)其他平臺相集成的話(huà)，這些產(chǎn)品也會(huì )對您有所幫助。

其他這些集成產(chǎn)品包括：

•

Services for UNIX。此產(chǎn)品對 Active Directory 記錄進(jìn)行了適當的擴展，以包括 UNIX 憑證和權利，從而使您可以通過(guò)管理 Windows 用戶(hù)和用戶(hù)組的相同的方式來(lái)管理 UNIX 用戶(hù)和用戶(hù)組。此產(chǎn)品還支持 UNIX 和 Active Directory 間的密碼同步。

•

Services for NetWare。此產(chǎn)品提供了高度靈活的服務(wù)，在 Active Directory 與 Novell eDirectory 8.7 和 Bindery 間提供了完整的互操作性解決方案。此產(chǎn)品通過(guò) Active Directory 和 Novell 系統之間的雙向密碼同步降低了身份和訪(fǎng)問(wèn)管理的成本。

•

Services for Macintosh。此產(chǎn)品啟用了 Microsoft Windows Server 的集成組件，以使運行 Windows 和 Macintosh 操作系統的計算機可以共享文件和打印機。此外，Windows Server 還可以作為 AppleTalk 路由器使用。Services for Macintosh 還包含微軟用戶(hù)身份驗證模塊 (MSUAM)，該模塊使用 Windows Server 2003 為 Macintosh 客戶(hù)端訪(fǎng)問(wèn)應用程序提供了一個(gè)安全的 SSO 機制。

•

Host Integration Server (HIS)。此產(chǎn)品提供了應用程序、數據和網(wǎng)絡(luò )集成功能，將訪(fǎng)問(wèn)范圍從基于 Windows 的操作系統擴展到遺留主機系統，如運行 DB2、RACF、ACF2 和其他操作系統的 AS/400 及大型機）的訪(fǎng)問(wèn)。HIS 還可以在不更改主機安全環(huán)境的情況下，將用戶(hù) ID 和密碼從 Windows 操作系統映射到主機系統。

返回頁(yè)首

配置

管理數字身份生命周期的中心問(wèn)題是確?？梢栽?Active Directory 維護的集中化身份存儲，以及在其他沒(méi)有與 Active Directory 完全集成的應用程序身份存儲中添加和刪除安全主體。此場(chǎng)景通常稱(chēng)為“雇用/解雇”場(chǎng)景。

向配置過(guò)程添加工作流

配置過(guò)程通常需要與組織的運營(yíng)過(guò)程聯(lián)系在一起。例如，如果雇用了一名新員工，該員工的經(jīng)理需要批準其配置流程。向配置機制中添加工作流的方法主要三種。

•

MIIS 2003 SP1 規則擴展。使用 MIIS 2003 SP1 規則擴展可以實(shí)施由工作流驅動(dòng)的簡(jiǎn)單配置。接著(zhù)，連接數據庫中的狀態(tài)更改（如人力資源 (HR) 應用程序）啟動(dòng)自動(dòng)化的配置序列。MIIS 2003 SP1 中的規則擴展控制相應身份存儲中數字身份的最終創(chuàng )建。不過(guò)，此機制不支持任何手動(dòng)批準流程。

•

簡(jiǎn)單工作流。另一種選擇方法是實(shí)施簡(jiǎn)單的工作流應用程序，可能包含支持自動(dòng)配置流程中手動(dòng)工作流步驟的 Web 界面。這種方法可能包括新員工需要經(jīng)理批準這種場(chǎng)景，不過(guò)，經(jīng)理只能批準其自己管轄的新員工。當 HR 部門(mén)創(chuàng )建新員工帳戶(hù)時(shí)，他們輸入經(jīng)理的詳細信息，以便向相關(guān)經(jīng)理發(fā)送通知電子郵件。當該經(jīng)理登錄到網(wǎng)站時(shí)，他們就會(huì )看到待批準的新員工名單。通過(guò)批準后，在所有相關(guān)的身份存儲中創(chuàng )建新用戶(hù)帳戶(hù)。

•

Microsoft BizTalk® 2004 商業(yè)流程。BizTalk 2004 商業(yè)流程針對復雜的異類(lèi)環(huán)境提供了高級的工作流功能。

配置影子帳戶(hù)

第 6 章“訪(fǎng)問(wèn)管理”中介紹了如何將影子帳戶(hù)作為在兩個(gè)不信任領(lǐng)域間創(chuàng )建信任的備用方案使用。為了維護此機制并保證其穩健性，最好是將不同領(lǐng)域間影子帳戶(hù)的創(chuàng )建和刪除過(guò)程自動(dòng)化。MIIS 2003 SP1 是實(shí)現影子帳戶(hù)配置和同步的優(yōu)秀工具。

返回頁(yè)首

委派管理

身份生命周期管理包括委派管理 Active Directory 中所維護數字身份某些方面的能力。通過(guò)界面選擇使用 Active Directory 中內置的精確訪(fǎng)問(wèn)控制可以實(shí)現這種委派。如果已正確配置該架構中針對 Active Directory 對象訪(fǎng)問(wèn)控制列表 (ACL) 的授權策略，微軟管理控制臺 (MMC) 管理單元則提供委派 Active Directory 中所有對象管理的方法，包括表示數字身份的用戶(hù)帳戶(hù)。

另一種常用的管理界面選擇是創(chuàng )建集成 Active Directory 的 Web 應用程序來(lái)提供帳戶(hù)和屬性管理。專(zhuān)門(mén)從事訪(fǎng)問(wèn)管理的微軟合作伙伴通常會(huì )在其產(chǎn)品中加入此功能。

有關(guān) Active Directory 委派管理功能的更多信息，請訪(fǎng)問(wèn) Microsoft TechNet 上的“在 Active Directory 中設計管理委派的注意事項”。

返回頁(yè)首

自助服務(wù)

為普通用戶(hù)提供管理其目錄屬性中某些子集的能力是降低身份管理成本的關(guān)鍵。微軟產(chǎn)品通過(guò) Active Directory 中對屬性級別的詳細授權間接支持此功能。許多微軟客戶(hù)都使用 Visual Studio .NET 開(kāi)發(fā)了自己的界面（通常為網(wǎng)頁(yè)）以實(shí)現自助式屬性修改。對于想要購買(mǎi)現有產(chǎn)品的客戶(hù)，微軟合作伙伴提供了簡(jiǎn)單易用的 Web 界面，允許用戶(hù)自我管理某些屬性信息。

返回頁(yè)首

憑證管理

通常，不同的身份驗證機制使用不同的憑證（例如 x.509 證書(shū)、Kerberos 身份驗證協(xié)議密碼和 Microsoft Passport 密碼），因此任何支持多種身份驗證機制的平臺都應該為用戶(hù)提供管理多種憑證的功能。在 Windows 中，此功能稱(chēng)為 Windows 憑證管理器。

Windows 憑證管理器為最終用戶(hù)提供了緩存憑證并將其與特定位置相關(guān)聯(lián)的能力。例如，用戶(hù)可以在不同的網(wǎng)站使用不同的 Microsoft Passport 帳戶(hù)，而且還可以標識用于不同 Web 應用程序的不同證書(shū)。

密碼管理

許多環(huán)境都包含無(wú)法輕松與 Windows Server 2003 和 Active Directory 中的安全功能相集成的系統和應用程序。這些系統通常依賴(lài)于不同的身份驗證協(xié)議，或使用單獨的身份存儲進(jìn)行身份驗證。

但是，其中許多系統都使用密碼進(jìn)行身份驗證。通過(guò)對登錄 Active Directory 時(shí)所用的帳戶(hù)和憑證（密碼），以及其他系統中所用的帳戶(hù)和密碼進(jìn)行配置、同步和管理，有可能提供更好的用戶(hù)體驗（但也可能會(huì )增加受攻擊面）。執行密碼管理的微軟產(chǎn)品包括：

•

MIIS 2003 SP1。此產(chǎn)品可通過(guò) Windows 管理規范 (WMI) 接口在連接的目錄之間傳播密碼。WMI 接口的應用對象是隨 MIIS 一同提供的用于密碼更改和重置的預構建網(wǎng)頁(yè)，或使用 Windows 其他功能（例如，此列表中最后一項介紹的密碼通知篩選器）的自定義解決方案。

•

Services for UNIX。此產(chǎn)品在 Active Directory 和 UNIX 平臺之間進(jìn)行密碼傳播。

•

Services for NetWare。此產(chǎn)品在 Active Directory 和 NetWare 之間進(jìn)行密碼傳播。

•

Host Integration Server (HIS)。此產(chǎn)品在 Active Directory 和各種基于主機的系統之間進(jìn)行密碼同步。

•

Active Directory 自定義密碼通知篩選器。Windows 平臺軟件開(kāi)發(fā)工具包 (SDK) 以及本系列文章中的“密碼管理”一文包括了有關(guān)開(kāi)發(fā)自定義密碼通知篩選器，以實(shí)現增強密碼管理服務(wù)的信息。

借助 MIIS 2003 SP1，您可以管理其他系統的帳戶(hù)和密碼，尤其是其他目錄系統和身份存儲數據庫。此產(chǎn)品提供了與最常用的目錄和數據庫相集成的連接器，簡(jiǎn)化了密碼管理機制的部署過(guò)程。MIIS 2003 SP1 支持以下列方式管理密碼：

•

幫助臺重置。幫助臺人員通過(guò)隨 MIIS 提供的 Web 界面重新設置用戶(hù)密碼。您可以將密碼變更配置為指向 Active Directory 和 MIIS 2003 SP1 支持的其他目錄，以進(jìn)行密碼管理。

•

通過(guò) Web 進(jìn)行更改。用戶(hù)通過(guò)基于 Web 的公共密碼更改應用程序更改密碼。然后，密碼被分發(fā)到所有受 MIIS 支持的目錄和系統，包括 Active Directory 。

•

通過(guò) Windows 進(jìn)行更改。用戶(hù)通過(guò) Windows 客戶(hù)端計算機上的“更改密碼”對話(huà)框來(lái)更改密碼。Active Directory 密碼通知篩選器獲取更改的密碼后，再通過(guò) MIIS 2003 SP1 將其分發(fā)到其它系統。此工具目前還未內置于 MIIS 2003 SP1 中，但可使用 Visual Studio .NET 通過(guò)自定義編碼來(lái)實(shí)現，如本系列文章“密碼管理”一文中附帶的示例所示。

•

通過(guò)其他系統進(jìn)行更改。用戶(hù)可以通過(guò)非 Windows 操作系統更改密碼。密碼通過(guò)受操作系統支持的機制來(lái)獲得，然后通過(guò) MIIS 2003 SP1 進(jìn)行分發(fā)。只有在使用與 Active Directory 或 MIIS 2003 SP1 相集成的非微軟應用程序時(shí)，才支持此功能。

無(wú)論采用哪種密碼來(lái)管理系統，只有在該系統簡(jiǎn)單易用，而且用戶(hù)了解如何進(jìn)行訪(fǎng)問(wèn)該系統的情況下，您才能從中受益。

返回頁(yè)首

第 5 頁(yè)，共 9 頁(yè)

本文內容

•第 1 章：“基本概念”簡(jiǎn)介

•第 2 章：術(shù)語(yǔ)和計劃

•第 3 章：微軟身份與訪(fǎng)問(wèn)管理技術(shù)

•第 4 章：目錄服務(wù)

• 第 5 章：身份生命周期管理

•第 6 章：訪(fǎng)問(wèn)管理

•第 7 章：應用程序

•鏈接