ActiveDirectory(AD)SSO解决方案微软(中国)有限公司ActiveDirectory(AD)SSO解决方案统一身份介绍什么是SSO微软统一身份授权管理系统解决方案结合(AD)的SSO优点总结ActiveDirectory(AD)SSO解决方案IP-地址用户名/密码生物特征智能卡护照照片身份Identity姓名,地址,电话机,手机,传真,房间号,…Identity,用于证明“我是谁”(Who)的凭据在IT领域,身份一般特指数字身份ActiveDirectory(AD)SSO解决方案Pre1980’s1980’s1990’s2000’s数字身份的数量TimeMainframeClientServerInternetBusinessAutomationCompany(B2E)Partners(B2B)Customers(B2C)MobilityActiveDirectory(AD)SSO解决方案企业内部员工供货商合作伙伴分支机构客户提高客户满意度节省成本人性化要求合作外包快速商务周期流程自动化价值链ActiveDirectory(AD)SSO解决方案如何实现身份信息统一管理与集成如何管理人员详细信息如何实现单点登录如何实现基于身份的统一授权与审计如何保证越来越高的安全性需求(多要素验证)统一身份管理与授权平台ActiveDirectory(AD)SSO解决方案SSO(SingleSign-On)统一认证(又叫单点认证),是一个用户认证的过程,允许用户一次性进行认证后,就可以访问加入统一认证系统中不同的应用,而不需要每次都重新输入用户名和密码(凭据),用一句话来形象的解释就是“单点登录、全网漫游”。基于Web的标准方式认证单点认证与接入应用业务无关验证时用户只需一次提交用户名和密码用户鉴权集中控制ActiveDirectory(AD)SSO解决方案1.访问请求SSOServiceWebServer3.根据用户提交的信息,验证用户身份创建UserToken(内存,具有时效性),颁发给用户。SSOService同时提供标准的对外接口,方便其他系统和平台的接入5.返回用户访问的页面用户身份识别跨域的SSO实现,基于加密的cookie(UserToken[身份令牌])OtherWebServerActiveDirectory(AD)SSO解决方案帐号没有规范标准密码安全性不强支持认证方式单一缺少独立的用户管理功能结论各方面扩展性不强ActiveDirectory(AD)SSO解决方案扩展基于表单的Passport认证认证服务支持单点登录的应用Http协议用户的浏览器第一次访问应用的页面没有认证过,需要重定向到认证服务转到认证服务如果没有其它应用认证过,则显示认证页面。最终将认证信息,加密为Ticket,重定向回应用携带ticket,再次访问应用ActiveDirectory(AD)SSO解决方案WindowsWindowsServerActiveDirectoryADSISSO认证服务提供了可扩展的基于集成身份认证登录方式密码安全性加强(密码策略强、密码不可逆)用户数据访问扩展性好(LDAP协议开放)数据库ActiveDirectory(AD)SSO解决方案实现Web应用跨服务器的表单认证为Asp.net应用提供认证的HttpModule,自动完成Principal的构造提供登录和注销的控件可定制性ActiveDirectory(AD)SSO解决方案应用系统SSO服务浏览器访问应用统一登录认证页面判断用户身份(ticket)是否有(ticket)统一登录页面否成功登录操作返回之前应用页面生成当前应用可以识别的ticketActiveDirectory(AD)SSO解决方案认证服务Ticket的加密算法定制认证操作认证界面Cookie的加解密算法应用Ticket的解密算法Cookie的加解密算法认证方式(集成Windows认证)Principal的构造ActiveDirectory(AD)SSO解决方案管理用户身份验证的过程,同时根据信任策略和相应的应用授权策略控制用户对应用资源的访问行为。存储用户帐户、身份信息以及安全信息。与ActiveDirectory紧密结合技术和流程,用来实现用户创建、删除(注销)和身份变化以及策略应用过程的自动化管理。人员目录服务访问/授权管理身份的生命周期管理ActiveDirectory(AD)SSO解决方案新用户-用户ID的创建-身份的认证-访问权限控制帐号管理-权限升级-帐号转移-添加新权限-帐号属性修改密码管理-强密码设定-“丢失”密码管理-密码重置离开的用户-删除/冻结用户账号-删除/冻结用权限身份同步-对各处存储的用户ID信息进行生命周期的全过程管理ActiveDirectory(AD)SSO解决方案ADHROA其他应用接口组织机构管理用户授权管理身份信息同步身份管理系统门户SSO服务ActiveDirectory(AD)SSO解决方案B/S三层结构设计,保证系统灵活高效;程序环境:IIS6.0+.NetFramework2.0+(兼容3.5)数据库:MicrosoftSQLServer2005+(支持2008)ActiveDirectoryServerSSO服务MicrosoftIIS6.0+ADServer/WindowsServer综合管理门户ASP.Net2.0SQLActiveDirectory(AD)SSO解决方案机构管理•新建/修改/禁用•删除/移动/排序人员管理•创建/修改•禁用/启用/删除•异动/口令修改人员组管理•创建/修改/删除/移动•组员添加/删除/排序ActiveDirectory(AD)SSO解决方案机构和人员信息基础信息:机构和人员的唯一ID和显示名称帐户信息:登录名、帐户有效性信息(有效期,禁用标志)…授权可能相关的信息:用户级别个人属性:电话号码,通信地址等…不同的信息维护界面不同基础信息、帐户信息和授权相关的信息管理员操作个人属性由个人或管理员操作ActiveDirectory(AD)SSO解决方案应用功能角色机构人员人员组ActiveDirectory(AD)SSO解决方案身份同步接口服务活动目录其他系统OA系统HR系统人员身份信息新建/变更/删除等员工A类信息A类A类+B类A类+B`类A类+B``类ActiveDirectory(AD)SSO解决方案ActiveDirectory(AD)SSO解决方案WebService数据访问标准接口LDAP数据访问基于角色权限认证的定制开发统一AD用户管理AD组织目录管理基本角色分配自动同步AD数据统一登录入口统一身份鉴权统一注销统一身份管理授权系统带来了……统一登录统一用户管理对外扩展统一身份授权管理系统和AD中数据是一致的,AD访问方式是开放的ActiveDirectory(AD)SSO解决方案