微软统一身份管理与授权系统解决方案

1、微软(中国)有限公司 微软统一身份授权管理系统 解决方案 日程 统一身份介绍 什么是SSO 微软统一身份授权管理系统解决方案 结合 (AD)的SSO 优点总结 什么是身份？ IP-地址 用户名/密码 生物特征 智能卡 护照 照片 身份 Identity 姓名, 地址, 电话机, 手机, 传真, 房间号, Identity，用于证明 “我是谁” (Who) 的凭据 在IT领域，身份一般特指数字身份 挑战：企业数字身份的爆炸式增长 数字身份 的数量 Time Applications 挑战：企业资源访问方式也在扩展 企业内部员工 供货商 合作伙伴分支机构 客户 提高客户满意度 节省成本 人性化要求

2、 合作 外包 快速商务周期 流程自动化 价值链 关键问题总结 如何实现 身份信息统一管理与集成 如何管理人员详细信息 如何实现 单点登录 如何实现 基于身份的统一授权与审计 如何保证 越来越高的安全性需求（多要素验证） 统一身份管理与授权平台 SSO是什么 SSO(Single Sign-On)统一认证(又叫单点认证)，是一个用户 认证的过程，允许用户一次性进行认证后，就可以访问加入统一 认证系统中不同的应用，而不需要每次都重新输入用户名和密码 （凭据），用一句话来形象的解释就是“单点登录、全网漫游”。 基于Web的标准方式认证 单点认证与接入应用业务无关 验证时用户只需一次提交用户名和密码

3、用户鉴权集中控制 SSO系统具有特点 SSO实现机制 1.访问请求 SSO Service Web Server 2.转发访问请求 3.根据用户提交的信息，验证用户身份创建User Token （内存，具有时效性），颁发给用户。 SSO Service 同时提供标准的对外接口， 方便其他系统和平台的接入 4.认证成功给Web server 5.返回用户访问的页面 用户身份识别 跨域的SSO实现，基于加密的cookie（User Token身份令牌） Other Web Server 通用SSO系统缺陷 帐号没有规范标准 密码安全性不强 支持认证方式单一 缺少独立的用户管理功能 结论各方面扩展性

4、不强 基于表单的Passport认证 认证服务 支持单点登 录的应用 没有认证过，需要重 定向到认证服务 转到认证服务 解决之道- Active Directory SSO Windows Server Active Directory ADSI 基于AD SSO认证服务(扩展) SSO认证服务认证服务 数据库 统一身份授权(SSO)系统功能介绍 实现Web应用跨服务器的表单认证 为A应用提供认证的HttpModule，自 动完成Principal的构造 提供登录和注销的控件 可定制性 访问应用到统一认证过程 统一身份授权管理系统可定制性 认证服务 Ticket的加密算法 定制认证操作 认证界

5、面 Cookie的加解密算法 应用 Ticket的解密算法 Cookie的加解密算法 认证方式（集成Windows认证） Principal的构造 统一身份授权管理系统概述 人员目录服务人员目录服务 访问访问/授权管理授权管理 身份的身份的 生命周期管理生命周期管理 用户帐号生命周期管理 新用户 - 用户ID的创建 - 身份的认证 - 访问权限控制 帐号管理 - 权限升级 - 帐号转移 - 添加新权限 - 帐号属性修改 密码管理 - 强密码设定 - “丢失”密码管理 - 密码重置 离开的用户 - 删除/冻结用户账号 - 删除/冻结用权限 身份同步 - 对各处存储的用户ID信息 进行生命周期的全

6、过程管 理 微软统一身份管理和授权系统总体架 构 ADHROA其他应用 接口 组织机构管理用户授权管理身份信息同步 身份管理系统门户SSOSSO服务服务 B/S 三层结构设计，保证系统灵活高效； 程序环境：IIS 6.0+.Net Framework 2.0+(兼容3.5) 数据库: Microsoft SQL Server 2005+（支持2008） Active Directory Server 统一身份授权管理系统技术构架 SSO服务服务 Microsoft IIS 6.0 + AD Server/Windows Server 综合管理门户综合管理门户 ASP.Net 2.0 统一用户后台管理 详细的后台用户管理功能(基于AD) 机构和人员信息 基础信息：机构和人员的唯一ID和显示名称 帐户信息：登录名、帐户有效性信息（有效期，禁用标志） 授权可能相关的信息：用户级别 个人属性：电话号码，通信地址等 不同的信息维护界面不同 基础信息、帐户信息和授权相关的信息管理员操作 个人属性由个人或管理员操作 统一用户后台授权管理 应用 功能 角色 机构 人员 人员组 用户身份信息同步 身份同步 接口服务