微软统一身份管理与授权系统解决方案

微软(中国)有限公司微软统一身份授权管理系统解决方案日程统一身份介绍什么是SSO微软统一身份授权管理系统解决方案结合(AD)的SSO优点总结什么是身份？IP-地址用户名/密码生物特征智能卡护照照片身份Identity姓名,地址,电话机,手机,传真,房间号,…Identity，用于证明“我是谁”(Who)的凭据在IT领域，身份一般特指数字身份挑战：企业数字身份的爆炸式增长Pre1980’s1980’s1990’s2000’s数字身份的数量TimeApplicationsMainframeClientServerInternetBusinessAutomationCompany(B2E)Partners(B2B)Customers(B2C)Mobility挑战：企业资源访问方式也在扩展企业内部员工供货商合作伙伴分支机构客户提高客户满意度节省成本人性化要求合作外包快速商务周期流程自动化价值链关键问题总结如何实现身份信息统一管理与集成如何管理人员详细信息如何实现单点登录如何实现基于身份的统一授权与审计如何保证越来越高的安全性需求（多要素验证）统一身份管理与授权平台SSO是什么SSO(SingleSign-On)统一认证(又叫单点认证)，是一个用户认证的过程，允许用户一次性进行认证后，就可以访问加入统一认证系统中不同的应用，而不需要每次都重新输入用户名和密码（凭据），用一句话来形象的解释就是“单点登录、全网漫游”。基于Web的标准方式认证

单点认证与接入应用业务无关

验证时用户只需一次提交用户名和密码

用户鉴权集中控制SSO系统具有特点SSO实现机制1.访问请求SSOServiceWebServer2.转发访问请求3.根据用户提交的信息，验证用户身份创建UserToken（内存，具有时效性），颁发给用户。SSOService同时提供标准的对外接口，

方便其他系统和平台的接入4.认证成功给Webserver5.返回用户访问的页面用户身份识别跨域的SSO实现，基于加密的cookie（UserToken[身份令牌]）OtherWebServer通用SSO系统缺陷帐号没有规范标准密码安全性不强支持认证方式单一缺少独立的用户管理功能结论

各方面扩展性不强扩展基于表单的Passport认证认证服务支持单点登录的应用Http协议用户的浏览器第一次访问应用的页面没有认证过，需要重定向到认证服务转到认证服务如果没有其它应用认证过，则显示认证页面。最终将认证信息，加密为Ticket，重定向回应用携带ticket，再次访问应用解决之道-

ActiveDirectorySSOWindowsWindowsServerActiveDirectoryADSI基于ADSSO认证服务(扩展)SSO认证服务提供了可扩展的基于集成身份认证登录方式密码安全性加强(密码策略强、密码不可逆)用户数据访问扩展性好(LDAP协议开放)数据库统一身份授权(SSO)系统功能介绍实现Web应用跨服务器的表单认证为A应用提供认证的HttpModule，自动完成Principal的构造提供登录和注销的控件可定制性应用系统SSO服务访问应用到统一认证过程浏览器访问应用统一登录认证页面判断用户身份(ticket)是否有(ticket)统一登录页面否成功登录操作否返回之前应用页面生成当前应用可以识别的ticket有统一身份授权管理系统可定制性认证服务Ticket的加密算法定制认证操作认证界面Cookie的加解密算法应用Ticket的解密算法Cookie的加解密算法认证方式（集成Windows认证）Principal的构造统一身份授权管理系统概述管理用户身份验证的过程，同时根据信任策略和相应的应用授权策略控制用户对应用资源的访问行为。存储用户帐户、身份信息以及安全信息。

与ActiveDirectory紧密结合技术和流程，用来实现用户创建、删除（注销）和身份变化以及策略应用过程的自动化管理。人员目录服务访问/授权管理身份的生命周期管理用户帐号生命周期管理新用户用户ID的创建身份的认证访问权限控制帐号管理权限升级帐号转移添加新权限帐号属性修改密码管理强密码设定“丢失”密码管理密码重置离开的用户删除/冻结用户账号删除/冻结用权限身份同步对各处存储的用户ID信息进行生命周期的全过程管理微软统一身份管理和授权系统总体架构ADHROA其他应用接口组织机构管理用户授权管理身份信息同步身份管理系统门户SSO服务B/S三层结构设计，保证系统灵活高效；程序环境：IIS6.0+ .NetFramework2.0+(兼容3.5)数据库:MicrosoftSQLServer2005+（支持2008）ActiveDirectoryServer统一身份授权管理系统技术构架SSO服务MicrosoftIIS6.0+ADServer/WindowsServer综合管理门户ASP.Net2.0SQL统一用户后台管理机构管理新建/修改/禁用删除/移动/排序人员管理创建/修改禁用/启用/删除异动/口令修改人员组管理创建/修改/删除/移动组员添加/删除/排序详细的后台用户管理功能(基于AD)机构和人员信息基础信息：机构和人员的唯一ID和显示名称帐户信息：登录名、帐户有效性信息（有效期，禁用标志）…授权可能相关的信息：用户级别个人属性：电话号码，通信地址等…不同的信息维护界面不同基础信息、帐户信息和授权相关的信息管理员操作个人属性由个人或管理员操作统一用户后台授权管理应用功能角色机构人员人员组用户身份信息同步身份同步接口服务活动目录其他系统OA系统HR系统人员身份信息新建/变更/删除等员工A类信息A类A类+B类A类+B`类A类+B``类系统部署构架示意图WebService数据访问标准接口LD