第 5 章：身份生命周期管理

show toc

Microsoft 标识和访问管理

基本概念

第 5 章：身份生命周期管理

发布日期： 2004年05月11日 | 更新日期： 2006年12月06日

大部分组织都必须管理多个身份存储。只要在网络环境中使用多个位置存储数字身份，便会与管理多个身份有关的问题。

身份生命周期管理包含在遵从管理策略的前提下配置、取消配置、管理和同步数字身份的流程和技术。身份和访问管理的成功与否主要取决于如何有效管理数字身份生命周期。

身份生命周期管理服务可用于安全主体创建、属性管理、同步、聚合和删除。此外，还必须用全面的审核追踪安全地完成这些操作。本部分将介绍微软产品如何满足这些要求。

本页内容

身份集成

身份集成 (IdI) 服务链接多个目录、数据库以及其他身份存储中的身份信息。这些服务为用户提供了统一的视图，而且可以跨多个存储实现身份的配置和取消配置。

微软提供了两个用于身份集成的相关应用程序，本部分将对它们进行讨论。这两个产品是：

•

Microsoft® Identity Integration Server 2003, Enterprise Edition (MIIS 2003 SP1)。

•

Identity Integration Feature Pack 1a for Microsoft Windows Server™ Active Directory。

MIIS 2003 SP1 通过提供范围广泛的互操作功能扩充了 Microsoft Active Directory® 目录服务，这些互操作功能包括：

•

与各种身份仓库相集成。

•

跨多个存储配置身份信息。

•

关联身份信息、自动检测更新和跨系统同步更改。

•

转换某一身份存储中的数据以适合另一个身份存储中的架构。

Identity Integration Feature Pack 1a for Microsoft Windows Server Active Directory 是 MIIS 2003 SP1 的精简版功能集，可以免费下载获得。该功能包提供了在 Active Directory 、ADAM 和 Exchange 2000/2003 全局地址列表间集成身份信息的功能。若要下载此功能包，请访问微软下载中心网站上的Identity Integration Feature Pack 1a for Microsoft Windows Server Active Directory 页。

微软还提供了运行与特定平台相集成的产品。这些产品使您可以将非微软操作系统集成到 Windows 环境中，而且可以在 MIIS 2003 SP1 不完全支持的一些场合中发挥用处，另外，如果只需要与一个其他平台相集成的话，这些产品也会对您有所帮助。

其他这些集成产品包括：

•

Services for UNIX。此产品对 Active Directory 记录进行了适当的扩展，以包括 UNIX 凭证和权利，从而使您可以通过管理 Windows 用户和用户组的相同的方式来管理 UNIX 用户和用户组。此产品还支持 UNIX 和 Active Directory 间的密码同步。

•

Services for NetWare。此产品提供了高度灵活的服务，在 Active Directory 与 Novell eDirectory 8.7 和 Bindery 间提供了完整的互操作性解决方案。此产品通过 Active Directory 和 Novell 系统之间的双向密码同步降低了身份和访问管理的成本。

•

Services for Macintosh。此产品启用了 Microsoft Windows Server 的集成组件，以使运行 Windows 和 Macintosh 操作系统的计算机可以共享文件和打印机。此外，Windows Server 还可以作为 AppleTalk 路由器使用。Services for Macintosh 还包含微软用户身份验证模块 (MSUAM)，该模块使用 Windows Server 2003 为 Macintosh 客户端访问应用程序提供了一个安全的 SSO 机制。

•

Host Integration Server (HIS)。此产品提供了应用程序、数据和网络集成功能，将访问范围从基于 Windows 的操作系统扩展到遗留主机系统，如运行 DB2、RACF、ACF2 和其他操作系统的 AS/400 及大型机）的访问。HIS 还可以在不更改主机安全环境的情况下，将用户 ID 和密码从 Windows 操作系统映射到主机系统。

返回页首

配置

管理数字身份生命周期的中心问题是确保可以在 Active Directory 维护的集中化身份存储，以及在其他没有与 Active Directory 完全集成的应用程序身份存储中添加和删除安全主体。此场景通常称为“雇用/解雇”场景。

向配置过程添加工作流

配置过程通常需要与组织的运营过程联系在一起。例如，如果雇用了一名新员工，该员工的经理需要批准其配置流程。向配置机制中添加工作流的方法主要三种。

•

MIIS 2003 SP1 规则扩展。使用 MIIS 2003 SP1 规则扩展可以实施由工作流驱动的简单配置。接着，连接数据库中的状态更改（如人力资源 (HR) 应用程序）启动自动化的配置序列。MIIS 2003 SP1 中的规则扩展控制相应身份存储中数字身份的最终创建。不过，此机制不支持任何手动批准流程。

•

简单工作流。另一种选择方法是实施简单的工作流应用程序，可能包含支持自动配置流程中手动工作流步骤的 Web 界面。这种方法可能包括新员工需要经理批准这种场景，不过，经理只能批准其自己管辖的新员工。当 HR 部门创建新员工帐户时，他们输入经理的详细信息，以便向相关经理发送通知电子邮件。当该经理登录到网站时，他们就会看到待批准的新员工名单。通过批准后，在所有相关的身份存储中创建新用户帐户。

•

Microsoft BizTalk® 2004 商业流程。BizTalk 2004 商业流程针对复杂的异类环境提供了高级的工作流功能。

配置影子帐户

第 6 章“访问管理”中介绍了如何将影子帐户作为在两个不信任领域间创建信任的备用方案使用。为了维护此机制并保证其稳健性，最好是将不同领域间影子帐户的创建和删除过程自动化。MIIS 2003 SP1 是实现影子帐户配置和同步的优秀工具。

返回页首

委派管理

身份生命周期管理包括委派管理 Active Directory 中所维护数字身份某些方面的能力。通过界面选择使用 Active Directory 中内置的精确访问控制可以实现这种委派。如果已正确配置该架构中针对 Active Directory 对象访问控制列表 (ACL) 的授权策略，微软管理控制台 (MMC) 管理单元则提供委派 Active Directory 中所有对象管理的方法，包括表示数字身份的用户帐户。

另一种常用的管理界面选择是创建集成 Active Directory 的 Web 应用程序来提供帐户和属性管理。专门从事访问管理的微软合作伙伴通常会在其产品中加入此功能。

有关 Active Directory 委派管理功能的更多信息，请访问 Microsoft TechNet 上的“在 Active Directory 中设计管理委派的注意事项”。

返回页首

自助服务

为普通用户提供管理其目录属性中某些子集的能力是降低身份管理成本的关键。微软产品通过 Active Directory 中对属性级别的详细授权间接支持此功能。许多微软客户都使用 Visual Studio .NET 开发了自己的界面（通常为网页）以实现自助式属性修改。对于想要购买现有产品的客户，微软合作伙伴提供了简单易用的 Web 界面，允许用户自我管理某些属性信息。

返回页首

凭证管理

通常，不同的身份验证机制使用不同的凭证（例如 x.509 证书、Kerberos 身份验证协议密码和 Microsoft Passport 密码），因此任何支持多种身份验证机制的平台都应该为用户提供管理多种凭证的功能。在 Windows 中，此功能称为 Windows 凭证管理器。

Windows 凭证管理器为最终用户提供了缓存凭证并将其与特定位置相关联的能力。例如，用户可以在不同的网站使用不同的 Microsoft Passport 帐户，而且还可以标识用于不同 Web 应用程序的不同证书。

密码管理

许多环境都包含无法轻松与 Windows Server 2003 和 Active Directory 中的安全功能相集成的系统和应用程序。这些系统通常依赖于不同的身份验证协议，或使用单独的身份存储进行身份验证。

但是，其中许多系统都使用密码进行身份验证。通过对登录 Active Directory 时所用的帐户和凭证（密码），以及其他系统中所用的帐户和密码进行配置、同步和管理，有可能提供更好的用户体验（但也可能会增加受攻击面）。执行密码管理的微软产品包括：

•

MIIS 2003 SP1。此产品可通过 Windows 管理规范 (WMI) 接口在连接的目录之间传播密码。WMI 接口的应用对象是随 MIIS 一同提供的用于密码更改和重置的预构建网页，或使用 Windows 其他功能（例如，此列表中最后一项介绍的密码通知筛选器）的自定义解决方案。

•

Services for UNIX。此产品在 Active Directory 和 UNIX 平台之间进行密码传播。

•

Services for NetWare。此产品在 Active Directory 和 NetWare 之间进行密码传播。

•

Host Integration Server (HIS)。此产品在 Active Directory 和各种基于主机的系统之间进行密码同步。

•

Active Directory 自定义密码通知筛选器。Windows 平台软件开发工具包 (SDK) 以及本系列文章中的“密码管理”一文包括了有关开发自定义密码通知筛选器，以实现增强密码管理服务的信息。

借助 MIIS 2003 SP1，您可以管理其他系统的帐户和密码，尤其是其他目录系统和身份存储数据库。此产品提供了与最常用的目录和数据库相集成的连接器，简化了密码管理机制的部署过程。MIIS 2003 SP1 支持以下列方式管理密码：

•

帮助台重置。帮助台人员通过随 MIIS 提供的 Web 界面重新设置用户密码。您可以将密码变更配置为指向 Active Directory 和 MIIS 2003 SP1 支持的其他目录，以进行密码管理。

•

通过 Web 进行更改。用户通过基于 Web 的公共密码更改应用程序更改密码。然后，密码被分发到所有受 MIIS 支持的目录和系统，包括 Active Directory 。

•

通过 Windows 进行更改。用户通过 Windows 客户端计算机上的“更改密码”对话框来更改密码。Active Directory 密码通知筛选器获取更改的密码后，再通过 MIIS 2003 SP1 将其分发到其它系统。此工具目前还未内置于 MIIS 2003 SP1 中，但可使用 Visual Studio .NET 通过自定义编码来实现，如本系列文章“密码管理”一文中附带的示例所示。

•

通过其他系统进行更改。用户可以通过非 Windows 操作系统更改密码。密码通过受操作系统支持的机制来获得，然后通过 MIIS 2003 SP1 进行分发。只有在使用与 Active Directory 或 MIIS 2003 SP1 相集成的非微软应用程序时，才支持此功能。

无论采用哪种密码来管理系统，只有在该系统简单易用，而且用户了解如何进行访问该系统的情况下，您才能从中受益。

返回页首

第 5 页，共 9 页

本文内容

• 第 5 章：身份生命周期管理