微软统一身份管理与授权系统解决方案.pptVIP

* * Active Directory （AD）SSO 解决方案 Active Directory （AD）SSO 解决方案 Active Directory （AD）SSO 解决方案 Active Directory （AD）SSO 解决方案 Active Directory （AD）SSO 解决方案 微软(中国)有限公司 统一身份介绍 什么是SSO 微软统一身份授权管理系统解决方案 结合 (AD)的SSO 优点总结 IP-地址 用户名/密码 生物特征 智能卡 护照 照片 身份 Identity 姓名, 地址, 电话机, 手机, 传真, 房间号, … Identity，用于证明 “我是谁” (Who) 的凭据 在IT领域，身份一般特指数字身份 Pre 1980’s 1980’s 1990’s 2000’s 数字身份 的数量 Time Applications Mainframe Client Server Internet Business Automation Company (B2E) Partners (B2B) Customers (B2C) Mobility 企业内部员工 供货商 合作伙伴 分支机构 客户 提高客户满意度 节省成本 人性化要求 合作 外包 快速商务周期 流程自动化 价值链 如何实现 身份信息统一管理与集成 如何管理人员详细信息 如何实现 单点登录 如何实现 基于身份的统一授权与审计 如何保证 越来越高的安全性需求（多要素验证） 统一身份管理与授权平台 SSO(Single Sign-On)统一认证(又叫单点认证)，是一个用户认证的过程，允许用户一次性进行认证后，就可以访问加入统一认证系统中不同的应用，而不需要每次都重新输入用户名和密码（凭据），用一句话来形象的解释就是“单点登录、全网漫游”。 基于Web的标准方式认证 单点认证与接入应用业务无关 验证时用户只需一次提交用户名和密码 用户鉴权集中控制 1.访问请求 SSO Service Web Server 2.转发访问请求 3.根据用户提交的信息，验证用户身份创建User Token （内存，具有时效性），颁发给用户。 SSO Service 同时提供标准的对外接口，方便其他系统和平台的接入 4.认证成功给Web server 5.返回用户访问的页面 用户身份识别 跨域的SSO实现，基于加密的cookie（User Token[身份令牌]） Other Web Server 帐号没有规范标准 密码安全性不强 支持认证方式单一 缺少独立的用户管理功能 结论 各方面扩展性不强 扩展 基于表单的Passport认证 认证服务 支持单点登录的应用 Http协议 用户的浏览器 第一次访问应用的页面 没有认证过，需要重定向到认证服务 转到认证服务 如果没有其它应用认证过，则显示认证页面。最终将认证信息，加密为Ticket，重定向回应用 携带ticket，再次访问应用 Windows Windows Server Active Directory ADSI SSO认证服务 提供了可扩展的基于集成身份认证登录方式 密码安全性加强 (密码策略强、密码不可逆) 用户数据访问扩展性好(LDAP协议开放) 数据库 实现Web应用跨服务器的表单认证 为A应用提供认证的HttpModule，自动完成Principal的构造 提供登录和注销的控件 可定制性 应用系统 SSO 服务 浏览器访问应用 统一登录认证页面 判断用户身份(ticket) 是否有(ticket) 统一登录页面 否 成功登录操作 否 返回之前 应用页面 生成当前应用可以识别的ticket 有 认证服务 Ticket的加密算法 定制认证操作 认证界面 Cookie的加解密算法 应用 Ticket的解密算法 Cookie的加解密算法 认证方式（集成Windows认证） Principal的构造 管理用户身份验证的过程，同时根据信任策略和相应的应用授权策略控制用户对应用资源的访问行为。 存储用户帐户、身份信息以及安全信息。与Active Directory紧密结合 技术和流程，用来实现用户创建、删除（注销）和身份变化以及策略应用过程的自动化管理。 人员目录服务 访问/授权管理 身份的 生命周期管理 新用户 用户ID的创建 身份的认证 访问权限控制 帐号管理 权限升级 帐号转移 添加新权限 帐号属性修改 密码管理 强密码设定 “丢失”密码管理 密码重置 离开的用户 删除/冻结用户账号 删除/冻结用权限 身份同步 对各处存储的用户ID信息进行生命周期的全过程管理 AD HR OA 其他应用 接口 组织机构管理 用户授权管理 身