Microsoft的身份和访问管理解决方案
本页主题
Microsoft的身份和访问管理解决方案
版本:V1.0
最后更新日期:2003年7月21日
来自Microsoft的身份和访问管理解决方案能够通过以下方式帮助您提高安全性并降低管理数字身份生命期的复杂性成本:完全集成化的目录和安全服务;多个应用程序、Web站点和服务的单点登录;自动化的帐户供应和解除供应;以及提供与其它平台和应用的互操作性。Microsoft身份和访问管理解决方案为身份和访问管理解决方案的规划、设计和实现提供了必要的信息和工具。
解决方案分为两个指南,详细情况请看下面的图1.1:
图1.1
身份和访问管理解决方案指南
规划指南包括了您在评估需求,规划和设计身份及访问管理体系结构时需要的信息。实施指南则引导您做出一系列设计决定,并且帮助您在实现一个身份和访问管理解决方案时对各种要素做出折中和平衡。 本指南使用以下框架类别对组成身份和访问管理解决方案的问题和技术类别进行了讨论:
身份验证:可用的内置协议包括:Kerberos协议、安全套接字、传输层安全、Microsoft Passport、摘要、基于表单以及Windows Credential Manager(Windows 凭据管理器)。
授权:其使用的核心机制是Windows Authorization Manager(Windows 授权管理器)、Microsoft IIS 6.0 URL 授权和Microsoft ASP.NET 角色授权。
联合:用户可以使用Windows Server家族建立森林信任、跨森林信任、内部信任,以及公共密钥基础结构(Public Key Infrastructure)信任。
供应和生命周期管理:用户可以使用Microsoft Identity Integration Server 2003 Enterprise Edition(MIIS 2003)实现身份数据的可靠汇集和同步,以及实现管理和经过委派的管理性质的访问。
目录服务:Active Directory能够为数字身份提供连贯一致和安全可靠的存储,Active Directory应用程序模式(Application Mode)还允许用户使用Windows Server产品家族的核心功能进行审核。
规划和设计一个身份和访问管理解决方案
规划指南由6章组成:
第1章:介绍Microsoft身份和访问管理解决方案
本章简要介绍了其它各章的内容、Contoso应用情境,指南的目标读者,对附带工具的概述以及一个文档格式约定列表。
第2章:了解数字身份
本章在一个连续一致的框架内定义了身份和访问管理解决方案的组件。
·目录服务
·身份验证
·授权
·联合
·供应和生命周期过程
第3章:建立一个身份和访问管理架构和设计
您对身份和访问管理解决方案最好分阶段进行实现,并且对每个阶段的范围、目标、里程碑和需要交付的特定内容加以定义。本章将讨论身份和访问管理的设计过程。
第4章:Microsoft的身份和访问管理框架
本章介绍了组成Microsoft身份和访问管理解决方案的各种产品,介绍了能够最完美地满足安全性和易管理性并且降低整体拥有成本(TCO)的功能特性。本章将讨论Microsoft® Windows Server™ 2003、Active Directory® 目录服务、Microsoft Identity Integration Server 2003 Enterprise Edition(MIIS 2003)以及其它产品,为您设计自己的身份和访问管理框架打下良好的基础。
第5章:Contoso Pharmaceuticals 应用情境
本章介绍了一个虚构的企业组织:Contoso Pharmaceuticals,该组织部署和实施了一个身份及访问管理解决方案。虚构这个示例公司的目的主要是为用户展示制定决策以及在业务、安全性需求以及技术可能性之间做出权衡和折中的具体方法。
第6章:总结
本章通过Contoso公司这一范例介绍了各种不同的组件以及它们在整体解决方案之中所扮演的角色。到此,您应该已经为实际部署一个身份和访问管理基础结构做好了准备。
实现一个身份和访问管理解决方案
"实现一个身份和访问管理解决方案指南"中的章节以并列形式加以组织。每章的第一部分面向系统设计人员、咨询顾问和设计人员。每章的第二部分则面向实施解决方案的IT专业人员。
第1章:介绍身份和访问管理解决方案的实现过程
本章简单介绍了其余各章的内容,指南的目标读者,Contoso环境的概况以及附带工具的相关情况。
第2章:建立平台
本章讨论了基于以下产品实现Microsoft 身份和访问管理平台的方法:
·Microsoft Identity Integration Server 2003 Enterprise Edition
·Microsoft® Windows Server 2003™
·Microsoft Windows Server 2003 Active Directory 目录服务
第3章:利用MIIS 2003汇集、验证和供应数字身份
本章讨论了使用MIIS在不同实体间供应数字身份和汇集身份数据的设计过程。本步骤对于Microsoft 身份和访问管理解决方案的优化来说至关重要。
第4章:使用Kerberos协议集成工作站和应用程序
本章重点介绍了使用Kerberos身份验证协议集成UNIX和Windows 工作站的方法。这样做可以:降低整体拥有成本(TCO),实现更好的管理特性、更出色的跨工作站操作系统体验以及面向身份验证和授权的连续一致的应用机制。
第5章:使用证书身份验证实现从企业到员工的Web单点登录
本章针对企业到员工(B2E)环境介绍了一个Web单点登录(SSO)基础结构。使用Web SSO可以改善用户身份验证的安全性,并且能够使用数字证书加密和传输敏感数据。集成化的证书身份验证创建了一个能够为众多应用程序(基于Web或者不基于Web)所利用的SSO环境。
第6章:使用Passport实现企业到客户的Web单点登录
本章为运行企业到客户(B2C)环境的组织实现Web SSO基础结构提供了相关的指导原则。B2C的主要挑战在于通过更加轻松的访问、更出色的管理提高客户满意度,同时降低与公众对应用程序的访问相关的支持成本。文章重点介绍了与Passport服务的集成。
第7章:使用委派管理实现企业到企业的Web单点登录
本章简要讨论了在企业到企业(B2B)环境下实现Web SSO基础结构的过程。当今的组织迫切希望能够为他们的商务伙伴提供更大的访问便利和更多的响应性管理支持。反过来,他们还需要降低上述这些操作的运营成本。通过将委派管理服务与身份和访问管理解决方案集成在一起,商务伙伴们可以就他们对您所在企业网络上的资源的访问加以管理。
下载本指南
本指南提供了操作帮助和调查问卷,以帮助您为组织开发正确的设计和战略。我们将在稍后的时间推出实施指南的下载。
您可以通过以下地址下载这些指南: