微軟統(tǒng)一身份管理與授權系統(tǒng)解決方案

微軟(中國)有限公司微軟統(tǒng)一身份授權管理系統(tǒng)解決方案日程統(tǒng)一身份介紹什么是SSO微軟統(tǒng)一身份授權管理系統(tǒng)解決方案結(jié)合(AD)的SSO優(yōu)點總結(jié)什么是身份？IP-地址用戶名/密碼生物特征智能卡護照照片身份Identity姓名,地址,電話機,手機,傳真,房間號,…Identity，用于證明“我是誰”(Who)的憑據(jù)在IT領域，身份一般特指數(shù)字身份挑戰(zhàn)：企業(yè)數(shù)字身份的爆炸式增長Pre1980’s1980’s1990’s2000’s數(shù)字身份的數(shù)量TimeApplicationsMainframeClientServerInternetBusinessAutomationCompany(B2E)Partners(B2B)Customers(B2C)Mobility挑戰(zhàn)：企業(yè)資源訪問方式也在擴展企業(yè)內(nèi)部員工供貨商合作伙伴分支機構(gòu)客戶提高客戶滿意度節(jié)省成本人性化要求合作外包快速商務周期流程自動化價值鏈關鍵問題總結(jié)如何實現(xiàn)身份信息統(tǒng)一管理與集成如何管理人員詳細信息如何實現(xiàn)單點登錄如何實現(xiàn)基于身份的統(tǒng)一授權與審計如何保證越來越高的安全性需求（多要素驗證）統(tǒng)一身份管理與授權平臺SSO是什么SSO(SingleSign-On)統(tǒng)一認證(又叫單點認證)，是一個用戶認證的過程，允許用戶一次性進行認證后，就可以訪問加入統(tǒng)一認證系統(tǒng)中不同的應用，而不需要每次都重新輸入用戶名和密碼（憑據(jù)），用一句話來形象的解釋就是“單點登錄、全網(wǎng)漫游”?；赪eb的標準方式認證

單點認證與接入應用業(yè)務無關

驗證時用戶只需一次提交用戶名和密碼

用戶鑒權集中控制SSO系統(tǒng)具有特點SSO實現(xiàn)機制1.訪問請求SSOServiceWebServer2.轉(zhuǎn)發(fā)訪問請求3.根據(jù)用戶提交的信息，驗證用戶身份創(chuàng)建UserToken（內(nèi)存，具有時效性），頒發(fā)給用戶。SSOService同時提供標準的對外接口，

方便其他系統(tǒng)和平臺的接入4.認證成功給Webserver5.返回用戶訪問的頁面用戶身份識別跨域的SSO實現(xiàn)，基于加密的cookie（UserToken[身份令牌]）OtherWebServer通用SSO系統(tǒng)缺陷帳號沒有規(guī)范標準密碼安全性不強支持認證方式單一缺少獨立的用戶管理功能結(jié)論

各方面擴展性不強擴展基于表單的Passport認證認證服務支持單點登錄的應用Http協(xié)議用戶的瀏覽器第一次訪問應用的頁面沒有認證過，需要重定向到認證服務轉(zhuǎn)到認證服務如果沒有其它應用認證過，則顯示認證頁面。最終將認證信息，加密為Ticket，重定向回應用攜帶ticket，再次訪問應用解決之道-

ActiveDirectorySSOWindowsWindowsServerActiveDirectoryADSI基于ADSSO認證服務(擴展)SSO認證服務提供了可擴展的基于集成身份認證登錄方式密碼安全性加強(密碼策略強、密碼不可逆)用戶數(shù)據(jù)訪問擴展性好(LDAP協(xié)議開放)數(shù)據(jù)庫統(tǒng)一身份授權(SSO)系統(tǒng)功能介紹實現(xiàn)Web應用跨服務器的表單認證為A應用提供認證的HttpModule，自動完成Principal的構(gòu)造提供登錄和注銷的控件可定制性應用系統(tǒng)SSO服務訪問應用到統(tǒng)一認證過程瀏覽器訪問應用統(tǒng)一登錄認證頁面判斷用戶身份(ticket)是否有(ticket)統(tǒng)一登錄頁面否成功登錄操作否返回之前應用頁面生成當前應用可以識別的ticket有統(tǒng)一身份授權管理系統(tǒng)可定制性認證服務Ticket的加密算法定制認證操作認證界面Cookie的加解密算法應用Ticket的解密算法Cookie的加解密算法認證方式（集成Windows認證）Principal的構(gòu)造統(tǒng)一身份授權管理系統(tǒng)概述管理用戶身份驗證的過程，同時根據(jù)信任策略和相應的應用授權策略控制用戶對應用資源的訪問行為。存儲用戶帳戶、身份信息以及安全信息。