欢迎来到天天文库
浏览记录
ID:27549124
大小:1.94 MB
页数:33页
时间:2018-12-02
《基于微软身份管理和访问控制平台解决方案开发》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、基于微软身份管理和访问控制平台的解决方案开发李英歌技术专家微软中国技术中心场景:业务需求企业使用活动目录作为主要的目录服务企业希望能够记录资产使用情况利用现有基础架构开发人员被要求开发:一个web应用提供资产管理的基本功能,供普通用户使用一个全功能应用提供提供资产管理的全部功能,供部门管理员使用应用需求访问控制验证鉴权身份存储用户凭证(credentials)及配置信息(profiledata)对数据生命周期的管理应用需求:验证验证:用户是谁?需求:为减少身份管理问题,不能为该应用增添新的一套用户ID及密码。必须足够灵活以便于新用户访问应用验证:可选方案与工作站登录集成
2、的单点登录Basic/DigestHTTP协议相关的验证方式Basic发送明文密码基于Form的用户在form中输入用户名和密码Cookie被写回浏览器认证强度高单点登录Windows内置功能允许域或森林内的单点登录可扩展至跨域或森林的验证通过ADFS可实现跨组织机构的身份认证Richclient及web应用都可以使用与IIS集成无需编码验证:集成验证建议使用验证:实现实现Webclient:无需代码Richclient:Winsock:SSPIRPC:已集成DCOM:已集成WebService:WSE满足需求利用现有活动目录验证用户单点登录易于添加新用户ServerI
3、nfrastructureActiveDirectoryAuthenticationADAMStore/retrieveDataWebClient验证:解决方案WebportalRichClientSync应用需求访问控制验证鉴权存储用户凭证(credentials)及配置信息(profiledata)对身份数据生命周期的管理应用需求:鉴权鉴权:基于用户身份赋予或拒绝完成某一任务的权限需求:授权不能硬编码在应用中Adminmustbeabletogrant/denyaccess两种应用共享配置鉴权:可选方案AuthorizationManager(AzMan)ADFS
4、claimsWindowsACLmodel细粒度控制应用程序专用方式鉴权信息与数据共同存储应用使用私有方法使用鉴权信息COM+角色ASP.NET角色Mary(Admin)Bob(User)基于角色的鉴权基于查询的组保证业务灵活性应用程序设计时定义角色策略ADAMInfrastructureDirectoryWebportalauthorizationServerAuthenticationAzManAzMan鉴权:AuthorizationManager建议使用鉴权:AzManPolicydefinitionscript:SetApp=AzManStore.Create
5、Application(“AssetTracker")App.CreateOperation(“ViewRpt")SetTask=App.CreateTask(“ViewReport")Task1.AddOperationCStr(“ViewRpt")AzMan:WindowsServer2003,Windows2000(需下载)高可伸缩性的角色和策略存储:AD/ADAM'-------atapplicationboot--AzPol.Initialize0,“msldap://Server:port/CN=MyStore,DC=…App=AzStore.OpenApp
6、lication(“AssetTracker")'-------atclientConnect--Context=App.InitializeClientContextFromName'-------onrequest--Context.AccessCheck(“ViewRpt",Scope,Operations,Names,Values)Context.GetRoles()鉴权:实现满足需求一致的角色映射,可在多个应用间重用角色分配可由管理员指定,未硬编码入应用AuthorizationManagerWebportalServer鉴权:解决方案Infrastructu
7、reActiveDirectoryAuthenticationADAMAuthZWebClientRichClientAzManAppDataSync应用需求访问控制验证鉴权身份存储用户凭证(credentials)及配置信息(profiledata)对身份数据生命周期的管理身份存储用户凭证(credentials)用户配置信息(profiledata)需求利用现有基础架构及数据可伸缩性、可用性Seamlesssetup&configuration易于管理需求:身份存储身份存储:可选方案数据库目录身份存储:活动目录活动目录是为身份存
此文档下载收益归作者所有