show tocMicrosoft 标识和访问管理基本概念第 3 章：微软身份与访问管理技术发布日期： 2004年05月11日 | 更新日期： 2006年12月06日有效的身份和访问管理涉及多项相互依赖的技术和流程。这些元素结合起来以保持组织中身份的统一形式，并行之有效地使用它们。在身份和访问管理中讨论的主要主题包括目录服务、身份生命周期管理、访问管理及应用程序应如何与基础结构相集成。注意本章简要介绍这些主题中的每个主题，其余章节将更为详细地探讨每个主题中的流程和服务。有关这些主题的概述，请阅读本章内容。有关更严谨、技术性更强的论述，请阅读第 4 至 7 章。许多身份和访问管理技术及解决方案分别有不同程度的演变，以应对具体的战术性问题。组织、分析家、供应商及系统集成商已经逐渐认识到，这些技术和商业问题都是相互依赖的，因而可归为一个单独的类别，该类别可简单描述为“身份和访问管理”。为了直观显示这种相互依赖性，微软创建了身份和访问管理框架，以图形方式说明身份和访问管理中包含的服务和流程。下图显示了微软身份和访问管理框架的主要组成部分：图 3.1.身份和访问管理框架的主题本章确立了这些框架主题中的各个主题，并介绍了支持这些主题的技术、服务和流程。遍布于微软身份和访问管理框架中的元素包括管理业务、安全和隐私策略，这些元素将组织的特定要求具体化。这些元素可帮助定义一些商业设想、规则、标准和约束条件，用以控制如何应用技术和流程才能符合商业目标。例如，安全策略广泛而深远，会影响身份和访问管理的所有方面。隐私策略受组织、行业及实施的国家/地区的影响。这些策略定义合理的步骤，以保护组织身份存储中的个人数据。国家和国际法规（例如，美国 1996 健康保险可携性与责任法案 (HIPAA)、英国 1998 数据保护法案、欧盟数据保护指令 95/46/EC）及国际安全港协议和原则在建立隐私策略时都起到了重要作用。本页内容

目录服务

身份生命周期管理

访问管理

应用程序

总结目录服务目录服务奠定了所有身份和访问管理基础结构的基础。目录服务提供了权威数字身份信息的单一来源。此类信息可包括安全信息（例如密码和 X.509 证书映射），也包括用户属性形式的用户配置文件信息，其中用户属性包括地址、电话号码、办公场所、称谓和部门名称。微软建议标识少量成为组织受信任数字身份存储的目录。此缩减带来了直接收益并提供了用以集成所有其他组件的坚实基础。采用微软技术的目录服务早在引入 Windows NT® 3.1 时，微软就开始在 Microsoft® Windows® 平台上支持目录服务。目前微软的目录服务包括：•Microsoft Active Directory® 目录服务，它是 Windows 2000 Server 和 Windows Server™ 2003 不可或缺的一部分。•Active Directory 应用程序模式 (ADAM)。有关微软目录服务的更多信息，请参见后文第 4 章的“目录服务”。

返回页首身份生命周期管理存在多个用于管理用户、用户权利及其凭证的相关流程。这些流程包括：•身份集成服务，其中包括聚合和同步。•配置，包括配置前、配置期间和配置后对相关流程的管理（通常称为“工作流”）。•委派管理，例如由合作方工作人员管理帐户。•自助管理，例如用户发出的权利请求。•凭证和密码管理，包括最终用户密码更改和帮助台密码重置。•取消配置，包括禁用或删除帐户。•管理组身份集成服务当组织有多个目录或身份存储时，通常需要身份集成服务。由于这些目录中的每个目录都包含关于用户所有信息的子集，从而身份集成服务可通过创建所有身份存储信息的聚合视图来提供帮助。身份集成服务通过从多种权威来源（例如现有目录、人力资源 (HR) 和会计应用程序、电子邮件目录及各种数据库）提取身份信息来创建此聚合视图。由身份集成服务汇集到一起的所有身份信息构成了单一数据库或 metaverse — 一个全局的集成视图，可查看从多个连接数据源的身份信息聚合的所有组合对象。通过此中央信息数据库，可将规则应用到控制导入和导出操作期间数据流的数据。基于规则导入导出数据流的功能允许实现身份同步，甚至于配置。由于该同步和配置可通过程序规则、身份集成服务实现自动化，从而降低了组织与管理身份数据相关的成本，并限制了人力管理产生的错误。配置身份和访问管理的一个重要组成部分是如何创建数字身份。配置流程提供了一个功能强大的工具，它利用组织目录基础结构中包含的用户信息来加速信息资源用户帐户和权利的授予和撤销。这些资源包括电子邮件、电话服务、HR 应用程序、行业 (LOB) 和功能应用程序、Intranet 和 Extranet 访问及帮助台服务。实现数字身份创建流程自动化可显著降低成本，大幅提高式作效率。例如，在新员工加入组织时，配置系统可将获得用户帐户和访问权限所需的时间从一周以上缩减为几个小时。自动配置还节省了经理处理相关文书工作所用的时间，以及财务、人力资源和 IT 专家在批准和实现请求上所花用的时间。工作流工作流是多数配置流程的必备条件。在线输入的资源请求经由预设路径传送给审阅者和批准者，然后传送给创建用户帐户的人员或系统。请求和支持材料的电子副本会自动发送到流程中的每个参与者。所有部门必须统一、完全地应用流程，而且每条信息只能输入一次。有关获得批准人员及何时获得批准的完整审核追踪将会可用。如果审阅或批准操作没有及时完成，受到自动监视的工作流会通知高级经理或管理员。工作流在一些委派管理和自助服务流程（例如转发待批准的请求）中也大有用处。委派管理典型的管理模型包括一小组能够管理身份存储各个方面的可信人员。这些管理员创建和删除用户、设置和重置密码，而且可以设置所有用户属性。但是，通常有充分的商业理由不让单一的中央组管理员管理用户身份的所有方面。如果合作伙伴帐户在 Extranet 目录中，首选方法就是所属组织将帐户管理委派给合作伙伴组织中的管理员。合作伙伴管理员将对其自己员工的所有帐户负责。这样安排从管理角度来看很合理，因为合作伙伴可以更好地决定何时需要创建或删除用户，而且可在本地处理援助请求。委派管理还可发生在组织内，组织内不同部门中的可信人员可管理组织的部分身份存储。自助服务管理典型用户（例如员工）有许多与安全无关的用户属性；组织可能考虑允许这些用户修改此类属性。例如，可允许用户更改其手机号码。但是，自助服务管理应有适当的约束条件，例如强制执行命名约定和有效性检查。凭证管理由于凭证是身份验证和授权的“密钥”，它们具有特殊的管理需要，并应具有针对所有相关流程的严格安全注意事项。凭证需要进行配置和管理（例如撤销证书或重置密码），而用户需要自助服务功能（例如更改其密码）。接收凭证的机制应受到严密审查（例如，通过显示标识亲自接收智能卡，或通过加密的直接通道接收重置密码）。密码管理密码管理凭证管理的一个特殊子集。在目前的网络和应用程序中，使用用户名和密码这二者的组合进行身份验证仍是最广泛使用的技术。管理跨不同环境的密码信息可使用不同的技术。密码管理的一个方面包括利用技术手段从一个系统向另一系统自动传播密码信息。这种传播允许用户使用相同的密码登录多个系统，从而可降低忘记密码的可能性及因忘记密码而导致的相关帮助台呼叫。由于平台和应用程序之间的密码一致，通常要求通过公共界面集中进行密码更改和帮助台密码重置操作。只有在完全了解每个参与方系统的安全性特性之后才考虑密码传播。例如，在使用 Telnet 并通过网络发送纯文本密码的 UNIX 环境下，不应使用 Active Directory 帐户所用的同一密码来完成业务关键的敏感事务。解除配置解除配置是身份生命周期管理的另一个重要功能。解除配置可确保系统化地禁用或删除帐户，并在雇员离开组织时即取消其权利。良好的安全实践建议，应可快速禁用帐户（防止受到不满离职雇员的攻击），但在一段适当的时间内不要将其删除，以备重新启用（或重命名和重新分配）该帐户时使用。一些组织需要确保某些身份属性（例如帐户名称）的唯一性，不能在符合策略要求的时期内重复使用，对于这样的组织，禁用帐户（而非删除）也很有用。管理组组管理包括自动和手动为组分配用户帐户，以及从组中删除帐户。组通常存在于目录服务或电子邮件系统中，例如 Active Directory 或 Lotus Notes。组可分为以下两种类型：安全组和分发组。安全组可用于配置权利，分发组列出组织电子邮件收件人。用户帐户接收它们所属任意组的权限和许可。组织可能想要实现基于查询的组，其中的组成员身份取决于目录服务中所选属性的值。例如，这一措施使身份和访问管理系统可以生成包含特定城市或办公室中所有用户的组。每个城市或办公室只能用唯一一个值创建组。如果组不再有成员，该组将被删除。接着，这些组名称和成员身份将传播到所有连接的目录服务和电子邮件系统。采用微软技术的身份生命周期管理用于身份生命周期管理的微软技术包括：•Active Directory，包括 Active Directory 用户和组微软管理控制台 (MMC) 及内置管理委派功能。•Microsoft Identity Integration Server 2003, Enterprise Edition (MIIS 2003 SP1)，包括以下特定功能：•配置•密码同步和用于密码重置和密码更改的 Web 界面•Identity Integration Feature Pack for Microsoft Windows Server Active Directory。•自助和自动化 X.509 证书注册。•Services for UNIX 3.5 (SFU 3.5)。•Services for NetWare。•Windows 凭证管理器。•Identity and Access Management Tools and Templates 中的 IdM 通知服务、组管理 Web 应用程序和 Group Populator 工具。有关采用微软技术实现身份生命周期管理的更多信息，请参见后文中的第 5 章“身份生命周期管理”。

返回页首访问管理访问管理涉及控制用户对资源的访问权限，采用的方法是使用身份验证识别用户、使用凭证映射将数字身份彼此关联，或者使用授权检查用户身份对资源的访问权限。其他访问管理主题将讨论实现联合和信任来扩展访问，及跟踪和记录用户操作的审核功能。身份验证身份验证是为网络、应用程序或资源验证用户或对象数字身份的流程。经过身份验证之后，用户可根据其通过验证流程的权利访问资源。身份验证技术身份验证技术的范围从基于用户标识和密码信息（您已知道）的简单登录、生物特征（用以将您与他人区别开来）到更为强大的安全机制，例如令牌、数字证书和智能卡（您已具有）。高安全性环境可能需要多因素身份验证流程。例如，将所了解的信息（例如密码）与区分特性（例如指纹）或某些具备的事务（如智能卡）相结合。在电子商务环境中，用户可访问跨单一站点或多个站点中多台 Web 服务器的多个应用程序。有效的身份和访问管理策略会部署身份验证服务，以简化用户体验和减少管理开销。因此，身份验证服务必须支持不同种类的环境。身份验证技术的示例包括：•用户名和密码•个人标识码 (PIN)•X.509 数字证书•一次性密码•生物特征（例如指纹或虹膜扫描）•智能卡•电子护照•硬件令牌强、弱身份验证技术对比身份验证技术的范围可从简单技术（用户直接向应用程序或主机提供密码）到很复杂的技术（使用高级加密机制保护用户凭证不受潜在恶意应用程序和主机的破坏）。向应用程序或主机提供纯文本密码（即不以任何方式加密的密码）的机制被视为最弱的身份验证技术，因为这样存在中途拦截身份验证序列的危险。此外，如果用户验证恶意主机，该主机的所有者将获得在网络上随处冒充该用户的所有必要信息。如果您将密码看作是机密，那么，在用户必须告诉网络上每台计算机这一秘密内容的情况下，它便不再是机密了。较强的身份验证技术会保护身份验证凭证，这样，用户所验证的主机或资源就不会了解机密的实际内容。通常，这项工作通过用只有用户和受信任的第三方（例如，Active Directory 域控制器）知道的秘密密码加密签名数据来完成。计算机通过向可信的第三方提供该签名数据的方式来对用户进行身份验证。然后，第三方将该签名与其所了解的用户签名相比较，并通知计算机其是否相信用户的真实身份与所声称的身份一致。此类机制有助于保持密码真正的机密性。单一登录任何关于身份验证的讨论都包括一个重要概念，即单一登录 (SSO)。应用程序层的 SSO 包括在客户端与服务器之间建立“会话”，允许用户一直使用应用程序，不必每次在应用程序内执行操作时都提供密码。同类观点可延伸，形成一套可在网络上使用的应用程序。为在不同应用程序中实现 SSO，可在客户端、网络上受信任的第三方和各种服务器应用程序及网络资源之间建立会话。该会话在很多实现中都是由通常可视为用户替代凭证的票证或 cookie 来表示。身份验证期间不需要用户提供其凭证，而是将票证或 cookie 发送到服务器并作为用户身份证明接收。最终结果就是用户在使用许多应用程序之前只需登录一次，因而提供了单一登录体验。注意只有在非常特殊的情况下，身份验证机制才能强制用户重新提供身份验证凭证。另一方面，在执行特别敏感的操作前，应用程序可能会提示提供凭证。采用微软技术的身份验证Microsoft Windows Server 2003 Active Directory 完全支持一系列身份验证方法，其中包括：•基于公钥基础结构 (PKI) 的身份验证•Kerberos v5 身份验证协议•X.509 证书映射•Microsoft Passport•Windows NT LAN Manager (NTLM) 挑战/响应•可扩展的身份验证协议 (EAP)•安全套接层 (SSL) 3.0 和传输层安全 (TLS) 1.0 加密•支持使用 X.509 证书的智能卡Windows Server 2003 Internet Information Services 6.0 (IIS) 支持上述的所有内容，还支持：•摘要身份验证•基于表单的身份验证•基本身份验证应用程序可通过应用程序编程接口 (API)（例如，安全支持提供程序接口 (SSPI)，其中包括安全协议协商 (SPNEGO)）来调用身份验证方法。Windows XP 包括用于工作站登录和资源访问的集成身份验证、用于对网站进行集成身份验证的 Internet Explorer 和管理密码、数字证书及身份验证 Passport 的凭证管理器。授权授权是指决定是否允许数字身份执行所请求操作的流程。授权在身份验证之后进行，它将与数字身份（例如组成员身份）相关的属性映射到资源的访问权限，以确定该数字身份可访问哪些资源。访问控制列表不同平台使用不同的机制存储授权信息。最常见的授权机制称为访问控制列表 (ACL)，它是数字身份及它们在资源上可执行的一组操作（也称为权限）的列表。操作通常相对于 ACL 所保护对象的类型进行定义。例如，打印机可能允许诸如“打印”或“删除作业”的操作，而文件可能允许诸如“读”或“写”之类的操作。安全组支持大量用户的操作系统通常支持若干安全组，这些安全组构成了特殊类型的数字身份。使用安全组降低了处理大型网络中数千用户的管理复杂性。安全组简化了管理，因为 ACL 可具有几个条目，这些条目可以指定哪些组具有访问对象的特定访问级别。对于设计细致的组，ACL 应相对较为稳定。通过操作由集中授权机构（例如目录）维护的组成员，用户一次可轻松更改多个对象的授权策略。组之间彼此嵌套可增加用于管理授权的组模型的灵活性。角色许多应用程序使用“角色”这一术语来指代用户分类。例如，“经理”角色可用于指代“财务经理”安全组的所有成员，该组的成员将自动获得该角色所具备的网络资源访问权利。角色还可以基于能够提供更大灵活性的动态、运行时决策，例如费用报告应用程序中的授权。该应用程序可具有只能由授权用户（或主体）以“审批经理”角色来验证的批准操作。但是，在授权批准一笔费用之前，系统会查询目录以确定提交者的“经理”属性是否与批准这笔费用的人员名称相符。此类商业驱动逻辑几乎不可能用 ACL 类型机制来配置。角色可进行全局定义（例如由目录中的组成员身份来定义），也可以用根据动态查询结果确定角色成员身份的应用程序代码来定义。还有两种类型相结合的定义方式，例如定义了“经理”角色的应用程序，该角色已在本地定义为包括全局组的“人办资源经理”和“工程经理”角色。这些方法各有其优点。精心设计的角色机制为应用程序开发人员提供了极大的灵活性，从而可以从众多机制中做出适当的选择。采用微软技术的授权Windows Server 2003 完全支持这一系列的授权方法。微软授权技术和支持组件包括：•访问控制列表 (ACL)•通过 Windows 授权管理器进行的基于角色的访问控制•IIS 6.0 URL 授权•ASP.NET 授权有关微软授权技术的更多信息，请参见后文的第 6 章“访问管理”的“授权”部分。信任由于组织需要不断与其商业伙伴共享资源，从而信任概念变得越来越重要。在独立管理的系统间建立信任的能力对于 IT 系统支持所需数据交换级别至关重要。信任使用较少的管理开销即可在自治信息系统之间启用安全的身份验证和数字身份授权。为了使身份验证和后续授权流程可用，很多任务必须在独立组织之间执行，因而使得信任机制越来越复杂。信任组织需要具有与可信组织进行通信的安全机制。在信任组织对外部数字身份进行身份验证之后，它必须将有关该外部帐户的权利信息并入信任组织内的授权流程中。联合联合是在不同组织之间建立的超出内部网络界限的一种特殊信任关系。联合根据信任主体在自治信息系统之间启用安全身份验证和数字身份授权。例如，公司 A 的用户可使用公司 B 提供的信息，因为在两个公司之间存在联合信任关系。注意联合包括实现不断完善的规范，例如 WS 联合，最早由微软和 IBM 确立，目的是为了将公司在跨组织边界分布的不同身份验证和授权系统中共享用户和计算机标识的方式标准化。有关 WS 联合的更多信息，请参见Web 服务联合语言。联合的用途是消除管理多处帐户的要求。在联合中，一个组织的用户可使用其常规网络帐户对另一组织管理的资源直接进行验证。这一点很流行，因为它消除了管理多个不同帐户的要求（或者至少使要求更易满足）。假设有一个与一百个不同的合作伙伴有业务往来的组织。联合的替代方法是指组织使用委派管理接口管理这一百个不同合作伙伴 Extranet 上的帐户。通过该示例可明显看出，某些技术（如委派管理）并不适合于连接复杂的商业环境。可靠安全地联合数字身份对及早把握商机至关重要。采用微软技术的信任和联合Microsoft Windows 通过以下技术为信任和联合提供支持：•Windows NT 4.0 和 Windows 2000 Server 中的外部信任。•Windows Server 2003 中的跨林信任。•Kerberos v5 身份验证协议。•影子帐户。•PKI 信任。•Windows Server 2003 R2 中的 Active Directory Federation Service (ADFS)。安全审核审核提供了一种监视访问管理事件和更改目录对象的方法。安全审核通常用于监视问题或安全违规的发生。采用微软技术的安全审核Microsoft Windows 提供了安全事件日志用以记录引人关注的安全事件，如：•身份验证事件。•授权事件。•更改目录对象。Microsoft Operations Manager (MOM) 2005 SP1 可以整合环境中的事件日志，提供有用的审核报告。

返回页首应用程序通用的商业应用程序是身份和访问信息的最终使用者。因此，它们应与身份和访问管理平台相集成。应用程序常常通过 API 与框架的身份验证和授权组件相集成。无法集成的应用程序会增加环境的复杂性，从而增加管理成本，并且通常会产生新的攻击面，导致安全漏洞的出现。集成应用程序虽然集成应用程序需要大量工作，但此集成流程却会为组织带来极高的投资回报 (ROI)。如果应用程序具有自己的身份验证系统，那么，组织将应用程序完全集成到身份验证流程中的唯一方法是重新设计该应用程序，使之与平台一起使用。因此，为了确保应用程序与身份和访问管理框架的兼容性，组织的软件开发生命周期 (SDLC) 方法必须包括规定应用程序应如何使用标准平台身份验证和授权功能的明确标准。有关使用微软技术集成应用程序的更多信息，请参见后文第 7 章“应用程序”。

返回页首总结下图列出了微软身份和访问管理框架中的所有流程和服务。图 3.2.微软身份和访问管理框架中的流程和服务

返回页首

第 3 页，共 9 页

本文内容•第 1 章：“基本概念”简介•第 2 章：术语和计划• 第 3 章：微软身份与访问管理技术•第 4 章：目录服务•第 5 章：身份生命周期管理•第 6 章：访问管理•第 7 章：应用程序•链接•致谢下载获取微软身份与访问管理系列文章更新通知注册以了解有关更新和新版本的信息反馈将您的意见和建议发送给我们

 适合打印机打印的版本

 通过电子邮件发送此页面个人信息中心 |联系我们 |新闻邮件©2008 Microsoft Corporation. 版权所有.  与我们联系 |保留所有权利 |商标 |隐私权声明