身份和访问管理：平台和基础结构 第 2 章：选择平台的各种方法

show toc
Microsoft 标识和访问管理
平台和基础结构
第 2 章：选择平台的各种方法
发布日期： 2004年05月11日 | 更新日期： 2006年12月06日
搭建一个用于身份和访问管理的平台涉及到多项重大决策，这些决策将会对该组织的 IT 功能产生显著影响。在众多决策中，组织首先需要决定的是采用单一厂商的解决方案，还是选择多个最佳品种产品来集成为一个完成的解决方案。
单一厂商解决方案的优势在于：
•
更容易集成。
•
完善、单一来源的技术支持。
•
优惠或打包的许可。
解决方案的优势（也不总是这样）在于：
•
能够根据需要选择单独的产品。
•
能够仅购买和部署所需的产品。
很多组织都同时发挥这两种模式的长处。在基础结构的重点部位，他们选择单一厂商（通常是平台制造商），然后在这些产品的基础上添加其他厂商的产品，以满足特殊的功能要求。如果组织选择这种方式，那么平台制造商必须说明他们的技术能够与不同技术领域内的许多其它厂商实现互操作。这是非常重要的。
在本章接下来的内容中，我们将讨论在下列技术领域中选择单一平台或最佳品种产品时需要做出的选择。
•
目录服务。
•
访问管理服务。
•
信任机制。
•
身份生命周期管理工具。
•
应用程序平台。
本页内容
选择目录服务
选择访问管理服务
选择身份生命周期管理工具
选择应用程序平台
Microsoft 身份和访问管理平台
选择目录服务
身份和访问管理平台的成功运作需要一个合适的位置来存储应用程序和身份信息。虽然目前也存在其它的用户信息存储方式，但是整个行业正迅速地在目录技术上实现标准化，以实现这个功能。目前，大部分商业目录服务都支持下列常见的功能：
•
在国际电信联盟 (ITU) X.500 标准基础上，支持轻量级目录访问协议 (LDAP)或目录访问协议 (DAP)，或同时支持这两个协议。
•
根据 X.520 标准，对属性类型进行标准化。
•
根据 X.521 标准，对对象类进行标准化。
由于在大部分目录中，目录对象存储和目录访问机制是基本相同的，因此区别不同目录服务产品的功能通常包括：
•
搜索性能。
•
针对扩展的存储和多处理器效率。
•
针对扩展的数据复制性能。
•
强健的故障转移和恢复功能。
•
与不同类型的安全服务的集成。
•
与不同类型的应用程序和系统管理服务的集成。
•
发布技术。
•
对象和属性层上准确的访问控制。
•
许可方式。
•
技术支持。
目录需求也可能取决于目录所担当的角色。某个角色所需的功能可能与另一个角色所需功能有所差别。例如，很多组织将需要部署目录服务来执行下列角色：
•
Intranet（企业）目录
•
Extranet （周边）目录
•
应用程序目录
在本章接下来的内容中将讨论适用于这些角色的目录考虑事项。
Intranet目录
很多组织在他们的 Intranet 中拥有一个或多个目录服务。 Intranet 目录服务必须提供下列功能：
•
用户帐户的集中存储。
•
凭证的集中且安全的存储，用于身份验证。
•
属性信息的集中存储，用于授权。
•
查找网络资源的信息。
•
查找人员和组的信息。
除了这些功能以外，如果 Intranet 目录服务也能够与 Intranet 中常见的安全服务紧密集成，也是非常有价值的。
Extranet 目录
在大部分组织中， Extranet 目录的基本要求与 Intranet 目录相同。选择一个必须支持合作伙伴、客户和员工所用目录的额外需求包括：
•
能够扩展到支持百万用户。
•
经济合算的许可方式。
•
支持 Internet 兼容的身份验证机制。
•
能够在一个目录中保存多个不同的社区或组织（例如合作伙伴和客户）。
应用程序目录
当组织中的目录服务技术能够满足情境要求，但是当目录中所存储的数据不能用于大量用户或应用程序时，组织会部署应用程序目录。应用程序目录通常拥有一个在组织层面上使用的目录子集，并且对可管理性以及可操作性还有额外的要求。应用程序目录应该提供下列功能：
•
应用程序特有信息的存储。
•
容易设置和部署。
•
简单的管理模式。
•
一定的扩展和故障转移功能。
•
低廉的许可方式。
返回页首
选择访问管理服务
访问管理服务为组织的应用程序提供了安全可靠的用户身份验证和授权功能。在考虑访问管理服务时，组织应该选择能够很好地与目录服务产品相集成的技术。
选择身份验证方式
在不同的情境中，身份验证机制的需求和考虑事项可能差异很大。造成身份验证执行方式差异的常见要求包括：
•
组织可以在用户上实施哪些要求？
•
可以建立和维护何种基础结构来支持用户？
•
用户是否将拥有单点登录 (SSO) 功能？
•
用户将需要访问哪种类型的应用程序？
虽然各种情境千变万化，但是 Intranet 和 Extranet 身份验证通过一种方法来归类不同的用户既适合的身份验证机制。
Intranet 身份验证
Intranet 身份验证拥有下列特征，它们会对您所选择的身份验证机制产生影响：
•
（通过策略）的高等级控制，管理计算机用户（员工）如何使用网络。
•
对网络环境和服务可用性的完全控制。
•
对用户工作站配置的控制。
•
多种应用程序类型，例如客户端/服务器、基于 Web 的或基于 Microsoft Windows Forms 的。
介于这些特征，可以为 Intranet 选择合适的身份验证机制，在提供高层次安全性的同时，实现 SSO 功能。但是，这也需要成熟完善的基础结构、配置和某些用户行为的相互配合。满足上述描述的身份验证技术包括：
•
Kerberos 版本5 身份验证协议。
•
基于智能卡的 X.509 数字证书。
•
硬件令牌，例如 RSA SecurID。
有关这些技术的更多信息，请参考本系列的《 Intranet 访问管理》。
Extranet 身份验证
除了员工（在有些情况下还包括合作伙伴）通过 Internet 上的 VPN 技术来访问 Extranet 资源以外，基于 Web 的 Extranet 访问拥有完全不同的特征：
•
（通过策略）的低等级控制，管理计算机用户（客户、合作伙伴）如何使用网络。
•
很少或完全不控制周边网络以外的网络环境和服务可用性。
•
完全不控制用户工作站的配置。
•
大部分访问需要基于 Web 的应用程序。
根据这些特征，应该为 Extranet 选择合适的身份管理机制，能够提供足够的安全性，但不对用户提出不切实际的要求。满足上述描述的身份验证技术包括：
•
基于表单的身份验证。
•
X.509 数字证书，适用于员工。
•
Microsoft Passport Services，适用于客户和合作伙伴
虽然 Extranet 环境拥有非常明确的限制，但是 Extranet 用户仍希望与 Intranet 用户一样，实现跨多个应用程序的 SSO 功能。而且，很多组织要求实现跨不同平台、不同应用程序的 SSO 用户体验。强大的独立软件制造商 (ISV) 市场已经成熟，能够提供跨多种平台的 Web SSO 功能来解决这个问题。
有关这些技术的更多消息，请参考本系列的《 Extranet 访问管理》。
实现身份验证
大部分平台都支持某种形式的访问控制列表 (ACL) 机制，为静态对象（例如文件和打印机）授予权限。对这些对象的访问权限的授予是通过成为明确允许访问该对象的用户或组成员来实现的。
另外，大部分组织也需要决定是否使用某种形式的基于角色的访问控制 (RBAC)。RBAC 一般更为主动，因此更容易管理，而且更为灵活。
RBAC 机制应该能够通过实施商业规则来定义授权策略。例如，RBAC 机制应该能够强制实施下列类型的商业规则：
从上午9时到下午4时，只有银行出纳员能够处理储蓄存款。
组织所选择的平台应该能够针对静态对象提供有效的 ACL 访问控制，并且拥有强健、灵活且容易管理的 RBAC 机制，能够将复杂的商业规则表达为各种访问策略。
实施信任机制
在前面讨论过的这些技术中，信任的实施可能是区别不同平台的最大技术领域。在最高层次上，信任是一台计算机信赖另一台计算机或计算机组对用户身份的判断。各信任机制中的差别主要在于计算机和用户如何成为信任环的一部分。
例如，基于主机的系统本质是自治且包含的。很少有组织会拥有一台以上的大型机，即使他们拥有多台大型机，这些计算机也不可能相互信任，除非通过明确的密码共享。
UNIX 和 Linux 操作系统通常是独立的系统（不是任何“信任环”的成员），或是网络信息服务 (NIS) 或 NIS+ 组的一部分。您也可以将 UNIX 和 Linux 工作站配置为使用 LDAP 进行身份验证和授权。在这种情况下，所有配置为使用同一目录实例的工作站都将成为这个信任环的一部分。
一个平台要成为真正有价值的工具，实现有效的身份和访问管理，它必须能够提供跨整个组织或甚至多个组织的信任机制。信任环的建立应该构成一个可组织为层次结构分组的基本组件，以便于在适当级别管理信任关系。
返回页首
选择身份生命周期管理工具
身份生命周期管理工具能够对下列与身份相关的基本任务进行管理：
•
用户管理。
•
凭证管理。
•
权利管理。
所有平台都拥有各自的工具和接口，允许管理员执行上述基本任务。但是这也是另一个已经开发的强大 ISV 市场，以便为用户提供友好、跨平台的管理功能。在很多情况下，这些工具是基于 Web 的，非常适合 Extranet 身份管理情境，例如合作伙伴委派的管理（此时，合作伙伴负责管理他们的用户）。
如果平台所提供的工具是针对 Intranet 情境所设计的，无法满足您所在组织的需求，那么您应该考虑使用 最佳品种身份验证工具。
实现身份集成
身份集成工具通常是十分复杂的产品。这些工具可以在多个已有身份存储间收集和同步描述数字身份（属性）的信息。其中一些产品也被称为元目录产品。
在评估身份集成产品时，需要考虑的特性包括：
•
它能够连接到几种不同类型的身份存储？
•
每个“连接器”是否需要在被连接系统上留下“足迹”（一个用户帐户或一个额外的表）？
•
管理身份存储库之间属性流的规则是否强健？
•
如要对该产品所带规则进行扩展，开发环境是什么？
•
产品是否能在两个存储之间进行用户密码同步或传播？
•
产品是否同时支持基于状态（根据对象的当前状态）和基于事件（根据被连接身份存储中的更改）的处理？
•
产品是否能够与组织所选的平台目录服务很好地集成？
配置和取消配置
在多个身份存储库中对用户帐户进行配置和取消配置操作的功能可能是身份集成产品的一个组成部分，也可能作为单独的产品出现。在评估配置产品时所需要考虑的问题十分类似于评估身份集成产品所需要考虑的。支持多种不同层次的工作流也是配置功能的一个重点。
返回页首
选择应用程序平台
应用程序开发环境能够很好的与他们自己的平台进行集成，但是无法与其他平台很好集成。因此，组织在选择应用程序平台时很大程度上取决于您为应用程序服务器所选择的基础结构平台。
很多组织选择在两个或两个以上的平台上开发或维护应用程序。对于这类组织，需要了解不同的应用程序如何使用统一的协议或通过一致的基础结构服务来进行互操作。您不应该选择无法很好与其他平台集成或进行互操作的应用程序平台。应用程序平台制造商应该表明其互操作性以及实现互操作性的相应工作。
返回页首
Microsoft 身份和访问管理平台
本章的下列内容将介绍组成 Microsoft 身份和访问管理平台的核心产品和技术，以及它们能够为组织带来的收益。
目录服务
Microsoft Windows Server™ 2003 包括对 Microsoft Active Directory® 目录服务的支持，并支持 Active Directory Application Mode (ADAM) 的应用程序目录服务。下图展示了 Active Directory 所担当的角色，以及它是如何与其他 Microsoft 和 ISV 技术相集成的。

图 2.1.与其他网络组件集成的 Active Directory
查看大图
Active Directory
Active Directory 拥有下列特性，因此既适合于 Intranet 目录服务，也适合于 Extranet 目录服务：
•
网络管理和管理权限委派的集中位置。管理员能够访问代表所有网络用户、设备和资源的对象，并能够将对象分组，以便进行管理、应用安全性和组策略。
•
用户访问网络资源的信息安全性和 SSO。与安全性紧密集成，不再需要对系统间用于身份验证和授权的帐户进行跟踪。一个用户名和密码的组合可以授予每个网络用户身份，这个身份将整个网络中伴随着用户。
•
可伸缩性。Active Directory 包括一个或多个域，每个域拥有一个或多个域控制器，这使得您能够扩展这个目录，满足任何网络需求。
•
灵活的全局搜索。用户和管理员可以使用桌面工具来搜索 Active Directory。在默认情况下，搜索将被定向到全局编目，这将能够提供全林的搜索功能。
•
应用程序数据的存储。Active Directory 为应用程序间共享的数据提供了中央的存储，也为需要在整个 Windows 网络中分发数据的应用程序提供了存储。
•
目录更新的系统性同步。更新通过在域控制器间安全和经济合算的复制方法在网络中分发。
•
远程管理。您可以从任何安装了管理工具的 Windows 计算机上远程地连接到任意域控制器。或者，您也可以使用“远程桌面”特性从远程计算机登录到域控制器。
•
单一、可修改且可扩展的架构。架构是一组对象和规则，为 Active Directory 对象提供结构要求。您可以修改架构，应用新类型的对象或对象属性。
•
对象名称与域名系统 (DNS)、基于 Internet 的计算机定位系统的集成。Active Directory 使用 DNS 来实现基于 IP 的命名系统，因此 Active Directory 服务和域控制器可以在 Intranet 和 Interent 中使用标准的 IP 进行定位。
•
支持 LDAP。轻量级目录访问协议 (LDAP) 是行业标准的目录访问协议，使得 Active Directory 能够广泛地用于管理和查询应用程序。Active Directory 支持 LDAPv3 和 LDAPv2。
Active Directory Application Mode （应用程序模式）
Active Directory Application Mode (ADAM) 拥有以下特性，因此适用于应用程序目录服务：
•
容易部署。开发人员、最终用户和 ISV 能够轻松地在大部分 Windows Server 2003 平台以及在运行 Microsoft Windows® XP Professional 的客户端上将 ADAM 部署为轻量级目录服务。您可以轻松地安装、重新安装或删除 ADAM 应用程序目录，使得它成为部署应用程序的理想目录服务。
•
降低基础结构成本。通过将同一种目录技术同时应用到网络操作系统 (NOS) 和应用程序目录，您可以降低总的基础结构成本。并且不需要为针对应用程序目录的培训和管理投入额外的资金。
•
标准化的应用程序编程接口 (API)。在 ADAM 和 Active Directory 中都实现了 LDAP、Active Directory Service Interfaces (ADSI) 和目录服务标记语言 (DSML)。这些功能使得您能够在 ADAM 上构建应用程序，然后只需进行少量修改，就可以根据需要将它们迁移到 Active Directory 上。
•
增加的安全性。由于 ADAM 与 Windows 安全模型相集成，任何使用 ADAM 的应用程序都可以利用企业中的 Active Directory 进行访问的身份验证。
•
增加的灵活性。应用程序所有者可以轻松地部署启用目录的应用程序，无需影响整个组织的目录架构，并继续使用存储在组织 NOS 目录中的身份信息和凭证。
•
可靠性和可伸缩性。当使用 ADAM 的应用程序在 NOS 环境中与 Active Directory 一起部署时，拥有相同的可靠性、可伸缩性及性能。
有关 ADAM 的更多信息，请下载白皮书"Active Directory Application Mode 的简介"
安全服务
下列的安全服务与 Windows 应用程序服务器、Windows 客户端操作系统以及运行 Windows 2000 Server 和 Windows Server 2003 的域控制器紧密集成：
•
Kerberos 版本5 协议支持身份验证，包括供客户端/服务器应用程序使用的 API，以及与 Active Directory 集成的 Kerberos 密钥分发中心 (KDC)。
•
Microsoft Security Support Provider Interface (SSPI) 是一个优秀的常用 API，可用于获取集成的安全服务，用于身份验证、邮件完整性、邮件隐私以及任何分布式应用程序的安全服务质量。
•
构建于 Windows Server 中的基于 X.509 的公钥证书服务器允许组织签发公钥证书，用于用户的身份认证，而不需要依靠商业证书颁发机构 (CA)的服务。
•
安全套接字层 (SSL) 和传输层安全性(TLS) 使用客户端/服务器 X.509 数字证书来支持强大的双向身份验证，并对通讯进行保护。
•
智能卡提供了可防止篡改的存储，能够保护私钥、帐户号码、密码以及其他形式的个人信息。它是 Microsoft 集成到 Windows® 平台中的公钥基础结构 (PKI) 的关键组件。
•
Microsoft Passport 为组织 Extranet 应用程序中的客户身份验证提供 SSO 用户体验。
•
静态资源上的访问控制列表 (ACL)。基于 Microsoft Windows Server™ 对象的安全模型允许管理员授予用户或组访问权限，以管理哪些人可以访问特定的对象。
•
Authorization Manager （授权管理器）支持自定义应用程序中的 RBAC。
注意   虽然 Authorization Manager 包含在 Windows Server 2003 中，但如要在 Windows 2000 Server 中使用，则必须从Windows 2000 Authorization Manager Runtime 页面中下载并安装。
•
安全审核允许通过“安全事件”日志来记录对目录对象的更改以及访问事件。
身份集成服务
Microsoft Identity Integration Server 2003 Enterprise Edition 及 Service Pack 1 （具有 SP1 的 MIIS 2003）包含下列特性，可以用来简化组织中的身份和访问管理：
•
跨多种不同身份存储的身份聚合、同步和配置。
•
用于连接多种身份存储的管理代理，包括目录服务、数据库和电子邮件系统。
•
密码管理和同步，包括用于密码重设的自服务 Web 应用程序。
•
在被连接身份存储上不留下连接器“足迹”。
•
基于事件或状态的同步过程。
•
通过 Microsoft Visual Studio® .NET 编程环境的轻松扩展。
简化特性集版本 Identity Integration Feature Pack for Active Directory 提供了：
•
针对 Active Directory、ADAM 和全局地址列表 (GAL) 同步的管理代理。
客户端操作系统
全部采用 Windows XP Professional 的组织能够获得以下收益：
•
支持 Windows 集成的身份验证与平台服务，实现针对文件、打印和 Web 应用程序服务的 SSO。
•
域等级上的组策略，强制实施增强的安全性。
•
在使用密码、X.509 数字证书以及 Windows 凭证管理器中 Microsoft Passport 帐户的不同组织间的其他 SSO 功能。
开发平台
Microsoft Visual Studio.NET 和 .NET Framework 提供了下列功能：
•
开发基于身份的应用程序，能够发挥 Microsoft 身份和访问管理平台的能力。
•
降低应用程序开发成本。
平台收益
实现 Microsoft 身份和访问管理平台，并使用随后章节中所介绍的解决方案，这样使得 Contoso 能够实现下列收益：
•
单一、安全、可信的身份信息来源。管理员能够可靠、及时地了解所有的应用程序和系统，以及所有的用户和他们的权利。
•
完美的应用程序集成。Microsoft 开发平台提供了安全、基于标准的身份验证、授权以及数据保护机制。
•
改善的安全性和配置。在员工、客户或合作伙伴与组织的关系结束时，多个系统中的相关身份能够马上删除。
•
简化的管理和降低的管理成本。管理员可以在一个集中的地方便捷地添加、更改和删除数字身份和权限。
•
精细的访问控制。管理员可以更准确地控制用户可以访问哪些资源、能够对资源进行哪些操作以及安全策略如何适用于用户和资源。
•
使用更少的密码和更好的密码管理。用户可以更方便地访问应用程序，帮助台人员将减少花费在管理密码问题上的时间。
•
身份系统和操作系统间的互操作性。这个解决方案提供了通过标准访问和身份验证机制的互操作性，从而减少了集成和管理多个系统所需的时间。
•
安全、可靠的审核。审核提供了必要的跟踪，能够解释谁在何时何地访问了网络中的哪些资源，以及如何进行的访问。
•
本地凭证管理。通过使用 Windows 凭证管理器对本地存储密码凭证的强大保护。
虽然这个平台提供了身份和访问管理所需的核心服务，但是要实现所有这些收益还需要实施各种其他解决方案。本文的第 4 章“设计基础结构”将讨论这些解决方案。
返回页首第 2 页，共 9 页

本文内容
•第 1 章：《平台和基础结构》的简介
• 第 2 章：选择平台的各种方法
•第 3 章：问题和要求
•第 4 章：设计基础结构
•第 5 章：实施基础结构
•第 6 章：运行基础结构
•附录 A – Microsoft 身份和访问管理系列的配置设置
•链接
•致谢

下载
获取 Microsoft 身份与访问管理系列文章
更新通知
注册以了解有关更新和新版本的信息
反馈
将您的意见和建议发送给我们

 适合打印机打印的版本 通过电子邮件发送此页面
个人信息中心 |联系我们 |新闻邮件
©2008 Microsoft Corporation. 版权所有.  与我们联系 |保留所有权利 |商标 |隐私权声明