身份識別管理與

身份識別管理與

存取控制最佳實務時間：2005/8/26(五)PM13:30~16:30主講人：許俊龍

恆逸資訊教育訓練中心專任講師認證：MCT、MCSE、MCSA、MCPs議程大綱企業(yè)安全認證機制與存取管理的挑戰(zhàn)Microsoft身份識別管理的策略及解決方案使用IIFP及MIIS管理身份識別內部網路驗證授權的挑戰(zhàn)和解決方案從外部網路存取內部資源的挑戰(zhàn)和解決方案如何提昇身份識別及存取管理的安全性企業(yè)安全認證機制與存取管理的挑戰(zhàn)管理數(shù)位身份識別的挑戰(zhàn)包括：多重身份識別存放區(qū)擁有10000位用戶的機構，每年約有54180員工工時花費在

管理身份識別內部網路存取管理擁有10000位用戶的機構，每年約有2666員工工時花費在

多重驗證系統(tǒng)外部網路存取管理不支援單一登入的機制，會迫使用戶需一再登入才能

存取各類資源

管理數(shù)位身份識別：有哪些挑戰(zhàn)？資料來源：PricewaterHouseCoopers/METAGroup2002年「身份識別管理的價值」調查報告

http://，2002June管理數(shù)位身份識別：有哪些挑戰(zhàn)？管理數(shù)位身份識別的挑戰(zhàn)包括：系統(tǒng)管理成本的增加

資訊人員需維護複雜的身份識別存放區(qū)降低員工生產力

新進員工需等候多時才能存取所有資源用戶需記住許多登入的帳號與密碼安全洩漏的風險性增加不一致的原則可能導致無意間授與用戶存取敏感資料的權限客戶服務與供應通路的整合

無法完整掌握而影響客戶服務或銷售商機2變更使用者-升級

-轉移

-應享權利變更1新使用者

-建立使用者ID

-核發(fā)認證

-應享權利3支援服務-密碼重設-新的應享權利4撤銷使用者

-刪除/凍結帳戶

-移除應享權利瞭解身份識別存續(xù)週期不同目錄存放區(qū)身份識別整合的方式包括：手動系統(tǒng)管理自訂指令碼整合各類型的服務運用身份識別整合產品管理身份識別整合真正發(fā)生的狀況是…身份識別混沌－IdentityChaos身份識別資訊的多種存放機制多個用戶代號、多個密碼分散管理、點對點資料共享中介檔案

－FlatFiles

與手動傳遞資料

－Sneaker-netEnterpriseDirectory人事系統(tǒng)基礎結構應用程式LotusNotes

應用程式內部應用程式商業(yè)性現(xiàn)成應用程式約聘人員系統(tǒng)自定應用程式驗證授權身份識別資料驗證授權身份識別資料驗證授權身份識別資料驗證授權身份識別資料授權身份識別資料驗證驗證授權身份識別資料驗證授權身份識別資料IdentityChaos授權身份識別資料驗證demonstration 1驗證身份識別管理的挑戰(zhàn)在多重資料來源之間驗證員工資料所面臨的挑戰(zhàn)何謂身份識別及存取管理？目錄服務存取

管理身份識別

存續(xù)週期

管理應用程式整合如何降低目錄管理投入的資源？降低目錄管理投入資源的做法包括：自動化提供與撤銷

實作身份識別彙整和同步處理建立目錄服務和安全性標準建立軟體開發(fā)和採購標準降低總體持有成本(TCO)如何改善使用者的感受？可改善使用者感受的做法包括：統(tǒng)合身份識別存放區(qū)

改進密碼管理

啟用單一登入(SSO)改善員工、客戶及合作夥伴的存取

如何提升安全性？可提升安全性的做法包括：

建立安全性及存取原則帳號管理、密碼、安全稽核與隱私權的原則管理VPN、外部網路、驗證與資料加密的存取原則

改進密碼管理用戶一次動作即可變更所有的網路登入密碼與認證

強化驗證機制建立安全性稽核原則

開發(fā)能辨識身份的應用程式瞭解身份識別及存取管理技術目錄服務使用者、屬性

認證及群組

Active

Directory

AD/AM身份識別

管理身份識別整合

提供/撤銷

委派系統(tǒng)管理

自助式系統(tǒng)管理

認證和密碼管理

存取管理驗證

授權

信任

安全性稽核議程大綱企業(yè)安全認證機制與存取管理的挑戰(zhàn)Microsoft身份識別管理的策略及解決方案使用IIFP及MIIS管理身份識別內部網路驗證授權的挑戰(zhàn)和解決方案從外部網路存取內部資源的挑戰(zhàn)和解決方案如何提昇身份識別及存取管理的安全性Microsoft身份識別管理的策略及解決方案Microsoft的策略及解決方案

滿足現(xiàn)今客戶的需求WindowsServer基礎－

身份與存取的管理可擴增的目錄服務（DirectoryServices）彈性化的驗證鑑別結構以角色為基礎的存取管理環(huán)境技術與服務－

合作夥伴網頁單一簽入系統(tǒng)整合廠商生物特徵辨別驗證產品與服務－

簡化管理識別資訊的生命週期MIIS－目錄整合與提存HIS、SFU、SFN、BizTalk－交互合作、互通性Passport－身份管理的外部處理瞭解身份識別整合產品與服務您可以使用下列身份識別整合產品與服務來實作身份識別整合：Identity

Integration

Feature

Pack

MicrosoftIdentityIntegrationServer2003ServicesforUNIX

ServicesforNetWareHostIntegrationServerActiveDirectory連接器

ActiveDirectorytoADAM同步器Microsoft的解決方案

管理識別資訊的生命週期MicrosoftIdentityIntegrationServer目錄同步(Meta)自動化的帳戶提存整合式單一步驟的工作流程自我服務的密碼管理HostIntegrationServer延伸Windows單一簽入至RACF延伸Windows單一簽入至AS/400雙向密碼同步WindowsServicesforUNIXAD整合NIS伺服器密碼同步UNIX使用者名稱對應產品與服務－

簡化管理識別資訊的存續(xù)週期帳號目錄企業(yè)

應用程式ExchangeWebServiceFileShareApplicationApplicationActiveDirectory議程大綱企業(yè)安全認證機制與存取管理的挑戰(zhàn)Microsoft身份識別管理的策略及解決方案使用IIFP及MIIS管理身份識別內部網路驗證授權的挑戰(zhàn)和解決方案從外部網路存取內部資源的挑戰(zhàn)和解決方案如何提昇身份識別及存取管理的安全性使用IIFP及MIIS管理身份識別身份識別資訊的管理身份識別－Identity人、群組、資源（電腦、印表機…等），或任何希望被保存「事項」的彙整資訊姓名、E-Mail、地址、電話號碼、職務、部門、成員清單、地區(qū)…通常存放在企業(yè)內各種不同、不相容的目錄或資料庫中易產生不一致、衝突風險、管理成本與挫折、安全弱點身份識別整合系統(tǒng)儲存、整合企業(yè)中多個存放機制內的上述資訊根據(jù)符合企業(yè)處理程序、可組態(tài)的規(guī)則在這些目錄之間傳送維持一致性所需的資料MIISMicrosoftIdentityIntegrationServer使用IdentityIntegrationFeaturePack管理身份識別IIFP

是一項用來連接下列目錄和電子郵件應用程式的免費產品：

適用於

Windows

2000

Server

(含)

以後版本的

Active

Directory

ActiveDirectoryApplicationMode(AD/AM)適用於Exchange2000Server和ExchangeServer2003的GAL同步處理

demonstration 2使用MIIS2003的身份識別整合MIIS

如何解決不同資料存放區(qū)之間維護數(shù)位身份識別資訊的挑戰(zhàn)使用MicrosoftIdentityIntegrationServer管理身份識別MIIS

2003

帶來了以下功能：身份識別彙整和同步處理支援超過

20

種儲存機制

提供使用者的單一企業(yè)檢視使用SQLServer作為資訊儲存機制帳戶提供自動化帳戶建立/刪除群組及通訊群組清單管理工作流程密碼管理簡化企業(yè)的身份識別管理身份識別資料LDAPSQL提供與工作流程自動化帳號的建立與刪除目錄同步ActiveDirectory與ADAMSun/iPlanetDirectoryNovelleDirectoryMicrosoftSQLServer2000與7Oracle9i/8iIBMDB2LotusNotes5.x/6.xMicrosoftExchange5.5、2K、2K3MicrosoftNT4.xDSML、LDIF、CSV、固定寬度文字…..密碼管理使用者自我服務的密碼變更支援中心進行密碼重設NOS商務應用程式瞭解使用MIIS的身份識別整合同步處理多重儲存機制不經代理程式連線到其他系統(tǒng)屬性層級控制管理全域通訊清單

自動化群組和DL管理圖例CS=連接器空間MA=管理代理程式MV=MetaverseCSCSCSCSMVMAMAMAMA內部網路

Active

DirectoryLotus

NotesMIIS

2003Sun

ONEDirectory外部網路

Active

DirectoryMIIS2003的主要元件MIISStore(SQLServer)連結器空間

（ConnectorSpace－CS）同步資訊

（Metaverse－MV）ConnectedDirectoryConnectedDirectoryConnectedDirectoryManagementAgentManagementAgentManagementAgent文字檔檔案基礎的

MA呼叫基礎的

MAs連結資料的來源SuzanFineAccountNameeMailEmployee#MIIS2003

的資訊流動MetadirectoryConnectorSpaceMetaverseSueFineNameeMailEmployee#SuzanFineFullNameTitleEmployee#人事資料庫FullNameTitleEmployee#SuzanFineNameeMailEmployee#SueFine=物件流動FullNameTitleEmployee#SuzanFine3FullNameTitleEmployee#NameeMailSuzanFineSuzanFineNameeMailEmployee#NameeMail

Employee#SueFineSueFineeMail

系統(tǒng)1)Staging2)Staging3)Projection4)Joining5)AttributeFlow7)ProvisioningAccountNameeMail

Employee#SuzanFineDirectory8)ExportSuzanFine6)Export=屬性流動Employee#改善的機會：身份識別整合身份識別整合“身份識別整合”--堅實穩(wěn)固整合身份識別的軟體人事系統(tǒng)基礎結構應用程式LotusNotes

應用程式內部應用程式商業(yè)性現(xiàn)成應用程式約聘人員系統(tǒng)自定應用程式驗證授權身份識別資料驗證授權身份識別資料驗證授權身份識別資料驗證授權身份識別資料授權身份識別資料驗證驗證授權身份識別資料驗證授權身份識別資料EnterpriseDirectory授權身份識別資料驗證demonstration 3使用MIIS2003的身份識別同步處理MIIS

如何同步處理不同資料存放區(qū)的數(shù)位身份識別資訊實作帳戶提供-Provision實作帳戶提供的一般方式包括：HR

主導式提供

連結的目錄存放區(qū)改變狀態(tài)，立即觸發(fā)自動化的提供程序網頁主導式提供

達到經由手動核準的工作流程使用MicrosoftBizTalkServer2004協(xié)調複雜的工作流程提供

聘僱流程的情境（提供）人事

系統(tǒng)MetadirectoryNotes約聘人員

系統(tǒng)AD/AMSQLServeriPlanetDirectoryActiveDirectoryLotusNotesFileLDAPLDAPSQLLDAP密碼管理MIIS

2003

提供了經由下列方式進行管理密碼的能力：由支援協(xié)助單位予以重設

由AD

發(fā)起的變更由網頁處理自我服務的作業(yè)

由其他系統(tǒng)透過非Microsoft軟體發(fā)起的

變更密碼管理Web應用程式2種風格：支援中心的應用程式處理密碼的重設用戶端專屬的應用程式進行自我服務方式的密碼變更LotusNotes4.6/5.0SunONEDirectoryWindowsNT4.0NovelleDirectoryActiveDirectory初始密碼設定/變更的請求

運用WMI介面進行WebServer/ASP.Nethttps密碼管理Web應用程式密碼同步LotusNotes4.6/5.0SunONEDirectoryWindowsNT4.0NovelleDirectoryActiveDirectoryActiveDirectorydemonstration 4使用MIIS2003的密碼管理MIIS

如何同步處理不同資料存放區(qū)數(shù)位身份識別的密碼

身份識別管理：最佳實務建議訓練開發(fā)及支援中心的人員鑑別可能與身份識別同步處理衝突的所有現(xiàn)存系統(tǒng)或處理程序

實作前先定義所有商務規(guī)則決定服務等級的議約擘劃自訂程式碼的開發(fā)規(guī)範實作災害復原計畫及保護

MIIS

的服務帳戶üüüüüü議程大綱企業(yè)安全認證機制與存取管理的挑戰(zhàn)Microsoft身份識別管理的策略及解決方案使用IIFP及MIIS管理身份識別內部網路驗證授權的挑戰(zhàn)和解決方案從外部網路存取內部資源的挑戰(zhàn)和解決方案如何提昇身份識別及存取管理的安全性內部網路驗證授權的挑戰(zhàn)和解決方案內部網路存取管理：有哪些挑戰(zhàn)？與內部網路存取管理有關的一般商務挑戰(zhàn)包括：沒有單一登入的功能導致用戶混淆、降低生產力、增加支援與系統(tǒng)管理的成本密碼重設的要求過多增加支援中心的工作負荷安全服務採多重且不一致的方式一個員工每天得花費15分鐘進行各系統(tǒng)間的登入驗證作業(yè)單一登入的方式(SSO)單一登入的方式

(依照一般偏好的順序)

採用

Windows

安全服務的應用程式整合

採用Windows目錄及安全服務的平臺整合

採用Windows目錄服務的應用程式整合透過認證對應的間接整合

同步處理的帳戶和密碼

實作單一登入實作單一登入的方式包括：桌面整合式

SingleSignOnWeb

SingleSignOn認證對應、或企業(yè)

SingleSignOn使用認證管理員「認證管理員」支援下列認證類型：使用者名稱與密碼的組合

X.509數(shù)位憑證MicrosoftPassport認證「認證管理員」會儲存使用者的認證，以供爾後存取資源時自動帶入

demonstration 5使用認證管理員使用「認證管理員」來管理各項資源的驗證瞭解Windows的授權選項Windows

Server

2003

支援以下授權機制

Windows

存取控制清單架構的模型

角色架構式授權

ASP

.NET授權瞭解WindowsServer2003授權管理員「授權管理員」可將使用者組織成應用程式中的不同定位，依其角色賦予存取能力：楊先民許薰尹應用程式伺服器

檢查授權角色架構的

資源存取授權原則存放區(qū)楊先民=使用者許薰尹=

經理demonstration 6使用授權管理員使用「授權管理員」來管理角色架構基礎的資源存取議程大綱企業(yè)安全認證機制與存取管理的挑戰(zhàn)Microsoft身份識別管理的策略及解決方案使用IIFP及MIIS管理身份識別內部網路驗證授權的挑戰(zhàn)和解決方案從外部網路存取內部資源的挑戰(zhàn)和解決方案如何提昇身份識別及存取管理的安全性從外部網路存取內部資源的挑戰(zhàn)和解決方案外部網路存取管理：有哪些挑戰(zhàn)？與外部網路存取管理有關的挑戰(zhàn)包括：提供安全的

Web

工作階段需要可靠的驗證與存取控制機制需要包括驗證、WebSSO、授權和個人化的通用安全性模型鑑別外部網路的注意事項可能影響外部網路存取管理方式的事項：虛擬私有網路或

Web

SSO

存取

目錄服務選擇ActiveDirectoryAD/AMSQLServer或其他資料庫系統(tǒng)現(xiàn)有應用程式身份識別存續(xù)週期管理密碼安全性

瞭解外部網路存取的驗證方法使用於外部網路存取的通訊協(xié)定包括：SSL

3.0

和

TLS

1.0

Passport

驗證

摘要式驗證

表單驗證

基本驗證

瞭解外