基于微软身份管理和访问控制平台解决方案开发.ppt
《基于微软身份管理和访问控制平台解决方案开发.ppt》由会员分享,可在线阅读,更多相关《基于微软身份管理和访问控制平台解决方案开发.ppt(33页珍藏版)》请在三一文库上搜索。
1、基于微软身份管理和访问控制平台的解决方案开发,李英歌 技术专家 微软中国技术中心,场景: 业务需求,企业使用活动目录作为主要的目录服务 企业希望能够记录资产使用情况 利用现有基础架构 开发人员被要求开发: 一个web应用提供资产管理的基本功能,供普通用户使用 一个全功能应用提供提供资产管理的全部功能,供部门管理员使用,应用需求,访问控制 验证 鉴权 身份存储 用户凭证(credentials)及配置信息(profile data) 对数据生命周期的管理,应用需求: 验证,验证: 用户是谁? 需求: 为减少身份管理问题,不能为该应用增添新的一套用户ID及密码。 必须足够灵活以便于新用户访问应用,
2、验证:可选方案,与工作站登录集成的单点登录 Basic/Digest HTTP协议相关的验证方式 Basic发送明文密码 基于Form的 用户在form中输入用户名和密码 Cookie被写回浏览器,认证强度高 单点登录 Windows内置功能允许域或森林内的单点登录 可扩展至跨域或森林的验证 通过ADFS可实现跨组织机构的身份认证 Rich client及web应用都可以使用 与IIS集成 无需编码,验证:集成验证,建议使用,验证:实现,实现 Web client: 无需代码 Rich client: Winsock: SSPI RPC: 已集成 DCOM: 已集成 Web Service:
3、WSE 满足需求 利用现有活动目录验证用户 单点登录 易于添加新用户,Server,Authentication,验证: 解决方案,Sync,应用需求,访问控制 验证 鉴权 存储 用户凭证(credentials)及配置信息(profile data) 对身份数据生命周期的管理,应用需求: 鉴权,鉴权: 基于用户身份赋予或拒绝完成某一任务的权限 需求: 授权不能硬编码在应用中 Admin must be able to grant/deny access 两种应用共享配置,鉴权:可选方案,Authorization Manager (AzMan) ADFS claims Windows ACL
4、 model 细粒度控制 应用程序专用方式 鉴权信息与数据共同存储 应用使用私有方法使用鉴权信息 COM+角色 ASP.NET角色,Mary (Admin),Bob (User),基于角色的鉴权 基于查询的组保证业务灵活性 应用程序设计时定义角色策略,Infrastructure Directory,authorization,Server,Authentication,鉴权:Authorization Manager,建议使用,鉴权:AzMan,AzMan: Windows Server 2003, Windows 2000 (需下载) 高可伸缩性的角色和策略存储: AD / ADAM,-
5、at application boot - AzPol.Initialize 0,“msldap:/Server:port/CN=MyStore,DC= App = AzStore.OpenApplication(“AssetTracker“) - at client Connect - Context = App.InitializeClientContextFromName - on request - Context.AccessCheck(“ViewRpt“,Scope,Operations,Names,Values) Context.GetRoles (),鉴权:实现,满足需求 一致
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 基于 微软 身份 管理 访问 控制 平台 解决方案 开发
链接地址:https://www.31doc.com/p-2351350.html