亚洲AV无码一区_ 第 7 章：應用程序

show toc

基本概念

第 7 章：應用程序

發(fā)布日期： 2004年05月11日 | 更新日期： 2006年12月06日

應用程序在任何身份和訪(fǎng)問(wèn)管理策略中都起著(zhù)非常重要的作用。應用程序使用數字身份數據進(jìn)行授權，并判斷是否有執行資源訪(fǎng)問(wèn)的權利。選擇或開(kāi)發(fā)應用程序時(shí)，應確保應用程序適合身份和訪(fǎng)問(wèn)管理框架，這一點(diǎn)非常重要。

應用程序通常分為兩類(lèi)：

•

第三方、成品或商業(yè)應用程序，如 Microsoft® Exchange Server 2003。

•

由開(kāi)發(fā)人員為組織編寫(xiě)的自定義或內部應用程序。

無(wú)論是開(kāi)發(fā)的應用程序還是購買(mǎi)的應用程序，都需要將其有效地集成到組織的身份和訪(fǎng)問(wèn)管理框架中。但是集成涉及的標準不盡相同，這取決于要集成的應用程序的種類(lèi)。

應用程序與身份和訪(fǎng)問(wèn)管理平臺集成的難易程度取決于應用程序的體系結構及其用來(lái)標識用戶(hù)的機制。微軟建議將應用程序進(jìn)行標識和分類(lèi)，并著(zhù)眼于應用程序的功能和體系結構的依賴(lài)性。如果應用程序與組織的身份和訪(fǎng)問(wèn)管理平臺不兼容，則需要修改應用程序或基礎結構。

注意從應用程序開(kāi)發(fā)的角度出發(fā)，應用程序不應創(chuàng )建和實(shí)施自己的身份存儲、安全性協(xié)議（用于身份驗證、授權和審核）或數據保護機制。

本章中的以下部分將探討應用程序與微軟身份和訪(fǎng)問(wèn)管理平臺集成的建議方法。同時(shí)文中還詳細討論了開(kāi)發(fā)、測試和部署能識別身份的應用程序的技術(shù)。本系列文章中的“開(kāi)發(fā)能識別身份的應用程序”一文詳細描述了應用程序架構師和開(kāi)發(fā)人員需要采取哪些措施以將應用程序集成到基礎結構中。

本頁(yè)內容

選擇應用程序

開(kāi)發(fā)應用程序

選擇應用程序

選擇應用程序時(shí)，IT 經(jīng)理通常會(huì )盡最大努力確保應用程序能夠提供所需功能。遺憾的是，他們往往不會(huì )考慮應用程序應如何與網(wǎng)絡(luò )集成，尤其是關(guān)于身份管理。

第三方應用程序可通過(guò)以下方式識別用戶(hù)：

•

與組織的主目錄服務(wù)相集成。

•

使用基于標準的連接鏈接到主目錄服務(wù)。

•

對另一個(gè)目錄服務(wù)進(jìn)行身份驗證。

•

使用專(zhuān)用身份存儲。

Exchange Server 2003 提供了與目錄服務(wù)完全集成的應用程序示例。Exchange 擴展了 Microsoft Active Directory® 目錄服務(wù)架構，并向 Active Directory 中的用戶(hù)帳戶(hù)添加了郵箱屬性。與 Exchange 5.5 不同的是，Exchange 2000 Server 和 Exchange Server 2003 并不維護單獨的目錄數據庫。與目錄服務(wù)的完全集成為實(shí)施應用程序身份管理提供了最為簡(jiǎn)捷的方法。

雖然有些應用程序未與目錄服務(wù)完全集成，但卻可以使用基于標準的連接對訪(fǎng)問(wèn)目錄的用戶(hù)進(jìn)行身份驗證。例如，使用 Kerberos 版本5 驗證協(xié)議驗證 Active Directory 的應用程序，如 SAP R/3 示例，它是虛構 Contoso 環(huán)境的一部分，本系列文章的其他文章都提及了此環(huán)境。

應用程序可能對非組織主目錄的其他目錄服務(wù)進(jìn)行驗證。這并不理想，因為如果這樣，就必須對主目錄和應用程序所使用的目錄進(jìn)行同步。元目錄產(chǎn)品（如 Microsoft Identity Integration Server 2003，Enterprise Edition (MIIS 2003 SP1)）通過(guò)連接到最常見(jiàn)身份存儲的管理代理實(shí)現這種同步。

適應性最差的安排是應用程序具有專(zhuān)用的私有身份存儲，但不具備可按 MIIS 2003 SP1 所支持的格式導入/導出身份數據的工具。在這種特殊情況下，不能使用 MIIS 2003 SP1 同步應用程序身份存儲和主目錄服務(wù)，因此，應用程序身份存儲中身份的維護即成為手動(dòng)過(guò)程，這不僅成本昂貴，還容易出錯。

返回頁(yè)首

開(kāi)發(fā)應用程序

如果要開(kāi)發(fā)內部應用程序，應用程序架構師和開(kāi)發(fā)人員需要考慮以下三種基本方法：

•

應用程序集成。選擇與基礎結構集成或交互操作。

•

身份流動(dòng)。選擇三種基本模型的最佳組合進(jìn)行前端和后端身份驗證。

•

授權。選擇兩種基本模型的組合進(jìn)行授權。

這三個(gè)方面的選擇會(huì )影響應用程序開(kāi)發(fā)人員為進(jìn)行身份驗證、授權和審核而需要實(shí)施的內容。在集成良好的應用程序中，由于底層基礎結構完成了所有工作，因此幾乎不需要實(shí)現識別身份的代碼。

應用程序集成涵蓋了前文“選擇應用程序”部分探討的相同要素。

啟用身份流

有三種不同模型可用于實(shí)現已驗證用戶(hù)的身份在分布式環(huán)境中的流動(dòng)，也稱(chēng)為身份流。這三種模型是：

•

模擬/委派

•

受信任的子系統

•

憑證映射

使用模擬/委派模型

模擬允許使用客戶(hù)端的安全憑證來(lái)運行服務(wù)器流程。服務(wù)器模擬客戶(hù)端時(shí)，該服務(wù)器執行的任何操作都可使用客戶(hù)端的憑證來(lái)執行。但是，模擬不允許服務(wù)器代表客戶(hù)端訪(fǎng)問(wèn)遠程資源，這種訪(fǎng)問(wèn)需要委派。委派比模擬的功能更為強大，而且允許服務(wù)器流程在作為客戶(hù)端執行操作期間調用其他計算機。

使用受信任的子系統模型

借助此模型，中間層服務(wù)可使用固定的身份訪(fǎng)問(wèn)下游服務(wù)和資源。雖然應用程序可能選擇在應用程序級傳播原始呼叫方的身份，但是原始呼叫方的安全上下文并不流過(guò)操作系統級的服務(wù)。需要完成此操作的目的是為了支持后端的審核要求，或者支持每個(gè)用戶(hù)的數據訪(fǎng)問(wèn)和授權。

此模型的名稱(chēng)源于下游服務(wù)（可能是數據庫）信任上游服務(wù)以授權調用方這一事實(shí)。

使用憑證映射模型

憑證映射模型將一組憑證對應于映射表中的另一組憑證。然后可以使用已映射的憑證創(chuàng )建到另一系統的新連接。憑證映射模型可分為兩類(lèi)：一類(lèi)使用直接憑證映射，另一類(lèi)使用稍后可轉換為憑證的間接映射“票證”。如果目標系統不支持 Kerberos 版本5 身份驗證協(xié)議或沒(méi)有將 Active Directory 作為其身份存儲使用，則可以使用憑證映射模型。

實(shí)施授權

一旦應用程序識別用戶(hù)后，便需要建立一種可通過(guò)授權來(lái)控制用戶(hù)所訪(fǎng)問(wèn)內容的機制。應用程序授權模型有兩種：

•

訪(fǎng)問(wèn)控制列表 (ACL)

•

基于角色的控制 (RBAC)

使用訪(fǎng)問(wèn)控制列表模型

ACL 模型涉及使用 ACL 來(lái)保證資源（如文件、文件夾、打印機或目錄服務(wù)對象）的安全，ACL 是包含用戶(hù)和組以及每個(gè)用戶(hù)或組權限（允許和拒絕）的列表。在用戶(hù)請求訪(fǎng)問(wèn)資源時(shí)，將對用戶(hù)的訪(fǎng)問(wèn)權限連同該用戶(hù)所屬所有組的訪(fǎng)問(wèn)權限一并進(jìn)行判斷。然后根據這些訪(fǎng)問(wèn)權限允許或拒絕用戶(hù)訪(fǎng)問(wèn)。

雖然 ACL 模型可與界定明確的永久對象協(xié)同正常工作，但在某些環(huán)境下（如行業(yè) (LOB) 應用程序或 Web 應用程序）卻無(wú)法正常行使其職能。處理這些類(lèi)型的應用程序、工作流應用程序和暫時(shí)對象需要不同的模型。

使用基于角色的訪(fǎng)問(wèn)控制

RBAC 使用角色概念。通常，角色是指組織的職務(wù)稱(chēng)謂，如“經(jīng)理”、“出納”或“銷(xiāo)售代表”等。RBAC 將這些角色映射到應用程序權限，從而可以根據用戶(hù)的角色完成訪(fǎng)問(wèn)控制管理。

然后，RBAC 將用戶(hù)的角色成員身份轉化為應用程序權限。由于權限是在角色級授予，因此無(wú)需檢查特定資源即可查詢(xún)和更改角色的權限。

一旦管理員創(chuàng )建了角色并為這些角色分配了權限，就很少需要更改角色或權限。所做的唯一更改是將用戶(hù)（或組）分配給角色。

本系列文章中的“開(kāi)發(fā)可識別身份的 ASP.NET 應用程序”一文中，詳細描述了應用程序架構師和開(kāi)發(fā)人員需要采取哪些措施將應用程序集成到基礎結構中。

返回頁(yè)首