第 2 章：术语和计划

show toc
Microsoft 标识和访问管理
基本概念
第 2 章：术语和计划
发布日期： 2004年05月11日 | 更新日期： 2006年12月06日
身份和访问管理集管理数据身份和指定如何使用数据身份访问资源的流程、技术和策略于一身。
身份和访问管理计划一般要比大多数其他 IT 项目更为复杂，这是因为需要协调工作中数量繁多且又各不相同的身份存储、协议、加密机制、策略和管理主体等。大型综合策略通过实施标准、减少身份存储数量、建立信任、委派管理、改善用户登录体验和增强安全，可以显著减少管理大型网络中数据身份的工作量。
身份和访问管理的组织策略需要对以下问题作出明确回答：
•
身份和访问管理计划可以产生哪些收益？
•
每项计划必须克服哪些挑战？
•
必须解决哪些具体组织因素？
•
支持每项计划需要哪些商业和技术项目和解决方案？
组织需要清楚地了解改进的身份和访问管理计划会为组织带来什么样的具体收益。缺乏这种远见，结果将不会得到实质上的改进，而且还可能致使系统更加复杂，更为蹩脚。
在评估潜在收益时，请不要忽视实现具体技术解决方案的挑战。在预期收益与每个解决方案的规模和复杂性之间要求取平衡。
本页内容
身份和访问管理术语
商业要求
身份和访问管理策略方面的计划
身份和访问管理术语
以下术语描述了身份和访问管理内的一些组件或流程。本系列文章的其他文章将使用这些术语并对其进行扩展。
•
数字身份。人员、组、设备或服务的唯一标识符和说明性属性。其示例包括 Active Directory 中的用户或计算机帐户、Microsoft Exchange Server 2003 中的电子邮件帐户、数据库表中的用户条目，以及自定义应用程序的登录凭证。
•
凭证。通常是与数字身份所处理机密信息相关或从中派生的一条信息，但这些机密信息并不适用于所有情况。凭证的示例包括密码、X.509 证书和生物特征信息。
•
安全主体。带有一个或多个可进行验证和授权，以便与网络进行交互的凭证的数字身份。
•
身份存储。包含数字身份的存储库。身份存储通常是通过 Active Directory 或 Microsoft SQL Server 等提供程序管理和访问的目录或数据库。身份存储可以集中（例如集中在大型机上），也可以分布；Active Directory 就是分布式身份存储的一个示例。它们通常具有明确定义可存储信息和记录信息方式的架构它们通常整合了某些形式的加密或散列算法，以保护数字身份的存储和组件，例如凭证。旧式身份存储和自定义身份存储可能不具备如此严谨的安全机制，而且可能以明文（没有加密）存储密码。
•
身份同步。确保多个身份存储所含给定数字身份数据一致性的流程。此流程可使用编程方法（如脚本）或者通过专用产品（如 MIIS 2003 SP1）来实现。
•
身份集成服务。跨多个相互连接的身份存储聚合、同步身份信息的服务，还可用于启用身份信息的集中配置和解除配置。MIIS 2003 SP1 和 Active Directory 的 Identity Integration Feature Pack 1a (IIFP) 提供了身份集成服务。
•
配置。向身份存储中添加身份和为其建立初始凭证和权利的流程。解除配置的作用方式与此相反，其结果是删除或禁用某个身份。配置和解除配置通常与身份集成服务相互配合使用，以将添加项、删除项和禁用项传播到所连接的身份存储中。
•
身份生命周期管理。保持数字身份最新且遵从管理策略的流程和技术。身份生命周期管理包括身份同步、配置、解除配置和正在进行的用户属性、凭证和权利管理。
•
身份验证。对照身份存储中的值检查安全主体凭证的流程。身份验证协议（如 Kerberos v5、安全套接字层 (SSL)、NTLM 和摘要式身份验证等）保护身份验证流程，以防凭证拦截。
•
权利。为经验证的安全主体指定访问权限和特权的一组属性集。例如，Windows 安全组和访问权限都是权利。
•
授权。使用在某个资源上配置的权限解析用户权利以控制访问的流程。Windows 操作系统中的授权包括文件、文件夹、共享和目录对象的访问控制列表 (ACL)。诸如 SQL Server、SharePoint® Portal Server 和 Exchange Server 等应用程序都会对其管理的资源实施访问控制机制。应用程序开发人员可以使用 Windows Authorization Manager 或者 ASP.NET 角色实施基于角色的访问控制。
•
信任。表明不同参与方和系统之间实现身份信息共享的协议的一种状态。信任通常用于以控制方式扩展对资源的访问，消除了管理其他方安全主体的需要。信任机制包括 Windows Server 2003 中的跨林信任和使用 Kerberos v5 身份验证协议时域间的信任。
•
联合。两个不同组织间超越内部网络边界的特殊信任关系。
•
安全审核。记录和概述重要身份验证和授权事件以及身份对象变更的流程。组织对重要事件的定义各不相同。安全审核记录可写入到 Windows 安全事件日志。
•
访问管理。对遵从管理策略的资源访问加以控制和监视的流程和技术。访问管理包括身份验证、授权、信任和安全审核。
返回页首
商业要求
近来分布式计算领域（特别是通过 Internet）的迅猛发展使访问典型组织中信息的应用程序和其他机制迅速增生。同时，组织希望为员工、合作伙伴和客户提供对信息资产的安全访问，并希望继续寻求发展、降低访问成本、增强安全和遵从法规要求。
必须在复杂性日益增加的 IT 环境中提供对信息资产的安全访问。自定义或套装应用程序通常具有其自己的身份验证和授权系统，同时包含一些管理工具，可用于创建和管理未与全面的身份和访问管理平台相集成的用户帐户。这种应用程序往往会使数据身份信息孤立、复杂性提高。
如此复杂而又难于管理的系统使 IT 部门很难提供对信息资产的访问和满足其服务组织的商业需求。适当执行基于固定身份和访问管理平台构建的身份和访问管理基础结构可以帮助 IT 满足这些商业要求。
降低总拥有成本
如果组织没有实施设计良好的、可审核的自动化访问控制实施机制，管理和维护综合的访问管理策略将会十分昂贵。以下数字摘自 PricewaterhouseCoopers/Meta Group Survey 2002 中一篇题为“The Value of Identity Management”（身份管理的价值）的文章，原文可从该公司网站 http://www.pwcglobal.com 中获得。这些数字包括与管理数字身份有关的主要成本示例。
•
登录和身份验证。减少登录不同系统所用的时间可大幅提高知识工作者的工作效率。用户平均每天花费 16 分钟时间进行身份验证和登录。对于大型组织（在调查定义为拥有 10,000 个用户的组织）而言，这就相当于 2,666 小时，或者说每天相当于 1.3 个全日制 (FTE) 年。
•
管理身份生命周期。让组织的 IT 职员专注于提供资源可用性和确保网络安全等重要任务十分关键。通过低效机制管理身份所用的时间如果用来完成更重要的任务岂不更好。管理用户、用户存储和身份验证以及访问控制每年所用时间平均为 54,180 个小时。对于大型企业而言，即便是 25％ 的效率提高就相当于 13,545 个小时（或者 6.7 个 FTE）。
•
密码重置。密码重置占帮助台呼叫的 45%。自动化密码重置可将这种呼叫量减少近三分之一。对于拥有 10,000 个用户的组织而言，这就相当于每年成本节省约 648,000 美元。
•
重复数据。消除重复身份数据可以简化管理流程，降低总拥有成本。38% 的外部用户和 75% 的内部用户都包含在多个数据存储中。对于大型组织而言，集中、统一的用户存储管理预计平均每年可节省 1,236 小时。
存在身份和访问管理问题的组织可以大幅降低总拥有成本。即便是小范围的变化（如减少重置密码的帮助台电话数量），也会大幅提高最终用户和帮助台操作员的工作效率。
增强安全性
安全不仅是要防范谁或什么的问题；它还涉及允许谁或什么访问和授予其何种访问权限的问题。员工、承包商、客户和商业伙伴对于数据和应用程序访问的需求各不相同。组织应定义和实施访问管理策略，只允许经过明确授权的用户访问敏感信息，这一点非常重要。
安全还与高效的运营管理有关。如果对员工、合作伙伴和客户帐户进行管理的流程非常拙劣，则会导致安全风险的提高。例如，管理数百万在线客户帐户的工作可能超出常规用户帐户管理系统的承受范围。同样，组织也不能像了解和控制自身员工帐户那样了解和控制合作伙伴的员工。
受控制的身份和访问管理可以在不危害系统安全的情况下允许组织扩展其信息系统访问。组织可通过精确管理权利和迅速修改或终止访问权限来提供这种扩展的访问。
以下安全活动通常与身份和访问管理有关：
•
改进帐户策略实施。通过预定义的标准来管理帐户可改善系统安全。强制实施帐户策略定义了实施高级安全措施的规则和过程。例如，要求管理员使用智能卡、确保所有用户都具有复杂密码并经常更改密码。
•
删除过期帐户。及时删除过期帐户可显著提高计算机的安全。一旦不再需要这些帐户，组织必须禁用相关员工、承包商、合作伙伴和客户的帐户。如果没有禁用这些帐户，原有帐户的所有者则可能会误用其帐户对系统进行未授权访问。过期帐户是最受恶意用户和攻击者关注的目标，因为这些帐户可能具有过时的静态凭证，而且这些帐户的误用和潜在危害不易引起注意。
•
改善应用程序数据防护。若要满足组织的安全需求，应用程序必须通过安全机制来传输数据。在访问敏感数据前，必须提供适当的身份验证和授权凭证，并且必须在网络上保护敏感数据，以防攻击者截取（嗅探）这些数据。
•
实施强身份验证。常用的身份验证技术和凭证可能无法提供重要应用程序和数据所需的安全级别。微软建议尽可能使用强身份验证机制（如 Kerbero 版本 5 协议和公钥基础结构 (PKI) 技术），以提高计算资源的整体安全性。
•
用目录服务管理凭证。目录服务在组织中有许多用途，而且还可以提供具体的安全收益。例如，高级身份验证方法（如智能卡和生物特征）可大大提高组织的安全级别。遗憾的是，这种系统同时还会提高复杂性，增加更多必须严格维护和可集中访问的用户数据。在实施了强健的目录基础结构后，部署这种系统将更为简单。
•
改进授权。授权必须具备一定的灵活性，以提供对资源的常规访问和精确访问。例如，常规访问允许所有员工访问某个具体的应用程序，而精确访问则只允许销售部门的员工在 9 AM 到 5 PM 时间段内在应用程序中执行某些操作。用户应从逻辑上映射到组织或者应用程序上下文中的角色，例如，数据库管理员、帮助台操作员或者应用程序用户。
•
通过配置管理权利。准确实施的配置系统会对申请和批准权利强制实施一致的应用程序策略。在所有的商业单位都能轻松遵循同一流程时，强制实施会更加容易。配置系统还提供审核跟踪，记录由何人在何时做出了决策和批准。
•
实施身份生命周期管理。身份生命周期管理流程有助于保证在用户职业历程中其权利始终保持最新。例如，如果某员工从“财务”部门调到“市场”部门，身份生命周期管理流程则会关闭并删除该员工对财务应用程序的访问权限，并为其提供对市场应用程序的访问权限。身份生命周期管理流程可以手动，也可以自动处理。自动化流程通常可以更加及时地删除和授予访问权限，并可根据需要确保这两个操作同时进行，这极大地提高了组织的安全级别。
•
管理组。良好的安全实践要求组织通过有效的组管理来控制组成员身份。组成员身份可提供访问权限和特权，因此应确保每个组只包含正确的帐户，这一点非常重要。身份和访问管理系统可将用户帐户分配到正确的组，或者创建依赖某个帐户属性的动态组，然后将这些组配置到目录服务和电子邮件系统中。
•
减小攻击面。如果没有按通用的高标准管理每个存储，多身份存储则将意味着用户帐户受到损害的风险将会加大。同样，多种身份验证机制通常意味着对整个系统的威胁更具隐蔽性或者更难缓解。减少安全系统和机制总量意味着其余系统或机制可受到更加优质的管理，更加安全。
•
帮助用户轻松执行正确操作。单一登录 (SSO) 使用户可以更加轻松地遵从组织的密码策略。在面对不得不记忆和管理多个密码的情况下，人们很自然地会创建简单易记的密码或者记下复杂密码，这些复杂密码在工作区中无法得保护。
完善访问
为了改进对信息资产的访问，身份和访问管理技术应满足以下要求：
•
通过有效的帐户和硬件配置，使员工能够快速提高生产效率和访问信息资源。
•
通过远程访问组织内部网络环境之外的重要应用程序，提高员工工作效率。
•
允许合作伙伴以托管和受控方式直接参与到商业应用程序中，从而简化跨越组织界限的商业流程。
•
通过个性化信息和提供在线购买产品和服务的功能吸引客户。通过改善用户体验和增加客户满意度来提高利润。
•
通过实施联合实现节省，联合实施可以产生更多的商机，从而使组织可以直接与合作伙伴协同工作，而无需管理合作伙伴参与人员的身份和凭证。
通过满足这些主要的身份和访问管理需求，组织可以提高员工工作效率、降低成本和完善商业集成。
确保法规遵从
身份已迅速成为许多政府和法律政策的焦点。这源于人们对隐私的日益关注，越来越多的私人信息都存储在信息系统上。控制对客户和员工信息的访问不仅仅是良好的商业操作；在此方面未能做出良好表现的组织将蒙受重大的经济损失，并会追究其法律责任。
数据完整性或数据隔离规定现已成为法律条文。美国的组织可能需要满足以下一项或多项要求：
•
Sarbanes-Oxley 上市公司会计改革与投资人保护法案。
•
Gramm-Leach-Bliley 金融服务现代化法案。
•
健康保险便利及责任法案 (HIPAA)。
HIPAA 安全法规严格规范了医疗保健组织应如何处理可确认个人身份的医疗信息，这是上述法规如何影响组织的一个示例。这些指导方针包括适当的审核控制、访问管理和授权等内容。有效的身份和访问管理基础结构可精确地将跨不同信息系统的患者病历与相应的患者关联起来。此外，这种基础结构审核对病历的访问，并验证审查病历的人员身份。
并非只有美国的组织要面对不断强化的法规制度，正如“欧盟数据保护指令 1998”法令和“加拿大私人信息保护和电子文件法 (PIPEDA)”中规定的那样，欧盟和加拿大也都规定了有关身份信息的严格指导方针。还有许多地方法律也规定了如何存储和使用与身份有关的数据。
法规遵从可确保组织满足任何适用法规在隐私、身份验证、授权以及审核方面规定的适用要求。
帮助合并和收购
对于已合并或收购了其他组织的组织而言，集成其身份和访问管理系统存在独特的挑战和机遇。若要最大程度地提高新组织的价值，IT 部门必须使用公共标准合并新加事例盟组织的数据和信息，使员工可以尽快使用这些数据和信息。
为了使新组织中的所有员工都能以适当权限访问合并后的数据，必须实施集成的身份和访问管理系统。另外，还必须合并新组织不再需要的冗余身份存储和管理流程，以保证合理的管理成本。
在合并和收购过程中 IT 部门的挑战包括：
•
使两个组织的身份存储相互兼容。
•
将各个系统的帐户组整合到一个系统中。
•
使用联合，通过信任关系将多个身份和访问管理系统联合起来。
•
同步身份存储，此过程通常在合并或收购过程中无法立即合并不同系统时的一种可接受的短期解决方案。
•
更新安全策略，以整合和遵从因合并或收购所带来的新的法规要求。
返回页首
身份和访问管理策略方面的计划
每个组织都有不同的商业驱动因素要求确定并实现身份和访问管理策略。为了确保最大的成功可能性，策略必须与商业目标一致才能推动业务开花结果。项目优先级应考虑以下方面：
•
快速见效可促使执行人员主动支持。取得一些成本低、见效快的成绩以增加动力和加强管理层的赞同。
•
尽早处理高风险领域。安全问题通常是应尽快处理的主要商业问题。
•
标准和基础结构通常是实施其他计划的前提条件。根据过去的投资，通过策略建立标准并建立支持它们的基础结构可能会涉及到大量的人力和物力。然而，考虑到其他大多数项目的成功都依赖于这些条件的满足，这种投资还是值得的。
每个考虑使用身份和访问管理策略的组织都要考虑一个唯一的目标与优先级组合。以下部分介绍了一些更加普通的计划，其中每个计划都是由一个或多个业务和技术方案组成的，其中包括：
•
建立安全和访问策略。
•
建立目录服务和安全标准。
•
实现身份聚合和同步。
•
自动化配置和解除配置。
•
提供有效的组管理。
•
合并身份存储。
•
提供密码管理和同步。
•
实现互操作性以及单一登录。
•
加强身份验证机制。
•
改善员工、客户和合作伙伴的访问。
•
建立安全审核策略。
•
更新软件采购标准。
•
为身份的使用建立软件开发标准。
•
开发并迁移身份识别应用程序。
建立安全和访问策略
许多书面的组织安全策略（涉及人员、流程和技术元素）都可在目录服务中直接实现，而其他的策略则需要由可强制执行安全策略的特定系统和流程来控制。组织访问策略可在全局级别指定关于访问特定应用程序或成组应用程序的商业规则。这样的访问策略通常使用角色、资源、操作以及限制来定义。
安全和访问策略以及其中角色的示例包括：
•
帐户管理策略，它规定应定期从身份存储中删除过期帐户。
•
密码策略，它可能指示帐户密码必须定期更改，且密码需要达到某个最小长度和复杂性。
•
安全审核策略，它可能定义必须报告哪些操作。
•
隐私策略，它可能定义“独处的权利”（免于受到不请自来的通信干扰，如垃圾邮件）以及信息隐私规则（个人控制自己的私人信息使用和收集的能力）。
•
访问管理策略，它可能坚持：
•
VPN 访问需要智能卡或者其他多因素身份验证。
•
特定应用程序需要生物测定身份验证。
•
对某些系统的 Extranet 访问仅限于通过了身份验证的用户并且由边界防火墙服务强制执行。
•
域管理员登录需要智能卡。
•
到高价值系统的计算机连接需要使用 IPSec 加密。
•
实施操作限制，例如“出纳员只可在 9am 到 5pm 时间段内提取客户帐户上的款项”。
收益
建立安全和访问策略的潜在优点包括：
•
增强了整个组织的安全性。
•
增强了特定高价值系统的安全性。
•
完善了安全审核制度。
•
实现了法规遵从。
挑战
建立安全和访问策略的挑战包括：
•
需要为每个访问方案建立适当的安全要求。
•
即便认识到所选技术存在约束和限制，也要使用它来进行策略实施。
•
管理开销的增加，以及以非自动化方式增强安全可能带来的效率降低。
•
安全机制更为复杂。
•
管理互相冲突的安全要求。
建立目录服务和安全标准
无论是使用 Active Directory 还是其他替代应用程序，具有标准的目录服务都是身份和访问管理的主要动力。然而，组织经常会发现他们需要不止一个目录服务。合并、收购以及应用程序选择可能会在组织中引入两个、三个甚至更多的目录服务。有效的身份和访问管理策略可以将这些目录服务合并到最少数量的身份存储中，集合成为组织的标准目录服务。
各种目录服务都可强制执行安全策略标准，但是组织可能会在其内部运营中发现这些目录之间存在相当大的差异。例如，由于一次并购，引入了一个与组织现有目录服务不同的单独目录服务和安全策略，有可能会产生一个部门。由于与身份有关的安全标准通常与目录服务紧密集成，因此应将其放在一起来讨论。
建立目录服务和安全标准是建立应用程序开发和采购标准、保持较低管理成本以及以安全方式扩展访问所必需的前提条件。
收益
建立标准目录服务和统一安全标准的潜在优点包括：
•
减少了管理开销。
•
简化了配置。
•
增强了整个组织的安全性。
挑战
建立标准目录服务和统一安全标准的挑战很多，其中可能包括：
•
具有特殊目录要求的行业 (LOB) 应用程序和平台。
•
很难取得一致的不兼容安全策略。
•
组织内部问题，如部门自治。
•
组织内信息和管理边界的法规要求，例如对金融机构，要求个人银行业务与保险业务分开。
•
寻找一个可供组织中现有应用程序和身份存储使用的公用身份验证协议。
•
以一种组织中的不同应用程序和系统都可使用的公用形式来展示权利。
本系列文章中的“平台和基础结构”一文介绍了有关建立目录服务和安全标准的详细信息。
实现身份聚合和同步
很多情况下，将多个身份存储和应用程序迁移到一个标准目录服务并不实际。但是，通过集成这样的系统来共享它们的身份信息，并通过公用策略来创建并维护相同的权利，以此方式来减少管理成本和最小化生产效率损失却是可能的。
身份聚合将来自不同身份存储中的多个数字身份链接在一起。如果没有身份聚合，则无法得知人力资源 (HR) 系统的中“Li, George Z.”与 Intranet 上的“George Li”以及电子邮件目录中的“G. Li”其实是同一个人。身份聚合和同步使您的组织可通过身份集成服务（例如 MIIS 2003 SP1 所提供的那些服务），创建并维护完整的数字身份。
收益
身份聚合和同步的优点包括：
•
减少了将分布在多个身份存储中的身份信息链接起来的管理开销。
•
增加了因组织中所有数字身份的统一呈现而提供的商业信息。
•
改进了来自单个身份存储的身份管理。
挑战
与聚合多个身份存储相关的特殊挑战包括：
•
发现组织中的所有托管身份存储。
•
同意聚合身份存储和同步信息。
•
选择哪些身份存储拥有哪些属性。
•
实现人力资源、IT、法律和其他参与商业部门的跨部门协作。
•
确定构成整个组织内所使用数字身份的各种属性的权威来源。
•
创建组织身份信息的全局视图。
•
通过一个包含组织所有身份信息的全局视图来审核更改。
•
同步组织内不同身份存储中的身份信息。
本系列文章中的“身份聚合和同步”一文介绍了有关此主题的详细信息。
自动化配置和解除配置
组织希望新员工和承包商能够尽快发挥作用。它们无法承受职员花上几小时、几天甚至几星期的时间，等待获得对应用程序的访问权限。
自动化配置可从一个身份存储中获得新条目，然后在每个托管身份存储中创建对应的条目。解除配置以相反的方式工作，在注意到某个存储中的更改后，例如停用帐户，再将该更改传播到其他的身份存储中。因此，只要改动了其中一个身份存储中某一个字段的值（例如，在 HR 系统中，将员工状态从“员工”更改为“前员工”），几分钟之内，就会在所连接的多个存储中禁用或删除一系列与之相关的数字身份。
收益
自动化配置和解除配置的优点包括：
•
通过自动创建和删除多个身份存储中的帐户降低了成本。
•
通过减少为新员工创建帐户、密码和访问权限所需的时间，提高了生产效率。
•
自动生成必要的属性，如邮箱和帐户名称。
•
组成员关系管理更加轻松。
•
角色管理更加轻松。
•
通过确保立即撤销离职员工的所有访问权限，增强了安全性。
挑战
自动化配置和解除配置的挑战包括：
•
确定需要配置的商业流程。
•
确定配置新帐户所必需的部门和批准。
•
处理影响及时配置和安全解除配置的商业流程延误。
•
将现有的手动任务替换成包含工作流和审核的自动流程。
•
将数字身份配置到多个身份存储中。
•
为通过不同身份存储或授权机制在不同应用程序间游走的用户创建和管理一组集成的权利。
•
迅速收集必要的信息以确保及时配置。
自动化组管理
组管理可以实现自动化配置和解除配置。组织经常使用通信组分发电子邮件，并使用安全组方便地将具有相似权利的用户进行分组。
当员工加入组织时，他们的用户帐户应自动加入到工作所需的通信组和安全组。另外，组织可能会创建基于公用属性值（如“堪萨斯的所有用户”）的组。手动创建基于属性的组相当耗时且容易出错，因此自动创建和分配组是身份和访问管理的理想组件。
收益
自动化组管理的优点包括：
•
由于加强了对组成员关系和权利的控制，增强了安全性。
•
通过配置可将员工分配到正确的组。
•
当用户离开组织、转换角色或者调动部门时，从组中删除帐户。
•
创建基于查询的组，例如，某个管理人员所有直接下属的通信列表。
挑战
自动化组管理的挑战包括：
•
标识适当的安全组和通信组。
•
对属性值进行标准化，以避免创建不必要的查询组。
•
实施适当的审核流程以跟踪组创建和成员关系。
•
遵从法规要求。
合并身份存储
除了聚合和同步身份数据之外，还要减少正在使用的身份存储的数量。例如，如果组织有两个应用程序都使用轻型目录访问协议 (LDAP) 进行身份验证和授权，则有可能将多个独立的 LDAP 身份存储组合成一个存储。
可通过在很大程度上实现自动化的机制在身份存储之间同步和管理身份数据。然而，这些机制的维护以及几乎一定会发生的异常将会增加管理开销且增大安全攻击面。
收益
合并身份存储的优点包括：
•
减少了管理开销。
•
通过削减服务器和许可证降低了 TCO。
•
减少了服务器维护要求。
•
硬件和软件升级的支出费用更低。
•
应用程序部署更容易。
挑战
合并身份的挑战包括：
•
在单个的身份存储中创建聚合架构。
•
不同身份存储的 LDAP 或其他协议实现之间的差异。
•
应用程序迁移。
提供密码管理和同步
密码管理和同步进一步推动了身份聚合流程。密码管理涉及许多领域，如建立并强制执行密码策略以及更改或重置密码。接着，密码同步再将这些密码更改传播到所连接的所有身份存储中。例如，密码管理和同步使得用户可以在一个操作中更改其网络登录密码、SAP 帐户凭证、电子邮件凭证和 Extranet 协作站点密码。密码同步可支持分组实施，即对于关键系统实施强密码策略，而对于无法处理现代密码强度标准的其他系统实施弱密码策略。
收益
密码管理和同步的收益包括：
•
降低了管理和支持成本，因为帮助台职员不必为多个身份存储重置用户密码。
•
通过限制用户必须记住的密码个数和降低用户将会写下密码的可能性而提高了安全性。
•
由于在策略元素（如密码长度和复杂性要求）方面应用一致的密码策略而提高了安全性。
•
减少了用户为重置其密码而等待帮助台支持的空闲时间。
挑战
密码管理和同步的挑战包括：
•
处理具有不同长度和复杂性标准的多个密码策略。
•
处理多个平台间的密码过期和历史间隔问题。
•
确定哪些系统由于存在不安全的身份存储或身份验证技术以及其他弱点而不应向其传播密码。
•
根据需要从多个平台获取密码变更。
•
连接并将更新的密码安全地传输到目标身份存储。
•
确保用户在请求密码重置时身份正确。
•
确保新重置的密码以安全方式发送给最终用户。
•
处理具有硬编码密码或者本地配置密码的应用程序和服务。
本系列文章的“密码管理”一文介绍了有关此主题的更多信息。
实现互操作性和单一登录
各组织间跨平台的互操作性方案有着巨大的差异，因为每个组织要集成的目录服务、数据库、应用程序和相关身份存储组合都别各有其特点。
互操作性和单一登录 (SSO) 方法包括：
•
与服务器操作系统（如 Microsoft Exchange Server 2003 和 SQL Server 2000 等产品使用的系统）相集成。
•
使用基于标准的安全身份验证协议，如 Kerberos v5 身份验证协议。
•
对于不支持 Kerberos v5 协议的应用程序或平台使用 LDAP 身份验证和授权。
•
使用凭证映射和企业 SSO（如 Microsoft BizTalk® Server 2004、SharePoint Portal Server 2003 和 Host Integration Server 2004 等产品使用）。
•
跨多个平台和应用程序同步用户名和传播密码。此方法不支持真正的 SSO，但可减少用户记忆多个用户名和密码的要求；此方法可通过改进身份同步和密码管理来实现。
•
实现 Intranet 和 Extranet 方案的 Web SSO。
收益
互操作性以及单一登录的收益包括：
•
简化应用程序部署。
•
实现更高标准的网络身份验证和数据安全。
•
通过 Intranet SSO 减少用户向多个身份存储重复提供身份验证所用的时间。
挑战
互操作性和单一登录的挑战包括：
•
为组织平台选择正确的机制。
•
在 Web 和网络 SSO 机制同时可用的情况下选择其中一个。
•
选择使用 LDAP 目录服务进行身份验证和授权的方式与时机。
•
选择何时重新配置应用程序和平台以实现密码传播。
•
LDAP 协议或架构实施中的差异。
•
处理实施基于标准的身份验证机制时的微小变动。
本系列文章中的“Intranet 访问管理”一文介绍了有关互操作性和 Intranet SSO 的更多信息。
强化身份验证机制
选择实施强身份验证机制的原因有许多。这种举措可能是强化组织计算资源安全性的常规计划的一部分、可能是对具体威胁作出的反应，（最坏的情况下）也可能是对一次成功攻击的响应。最后，可能需要满足行业标准或者法规标准以获得认可或与此相似的结果。
大部分组织仍使用用户名和密码组合向其应用程序和资源提供身份验证。基于密码的身份验证机制可能非常安全，也可能非常不安全，具体取决于所实施的应用程序、协议、身份存储以及密码长度与复杂性。
如今，更加安全的非密码机制和技术得到了广泛使用，如 X.509 数字证书、基于时间的硬件令牌（也称为一次性密码 (OTP) 设备），或者使用生物特征的二次确认。
将不同身份验证机制（或者因素）结合起来创建多因素的身份验证将可实现最高级别的安全性。将智能卡上的 X.509 数字证书与 PIN（用于解锁与证书相关联的私钥）结合起来，可以创建非常强的凭证，进而转化成强大的身份验证。
收益
加强身份验证机制的收益包括：
•
增强的安全性。
•
符合在访问资源时需要额外确认的法规要求。
挑战
加强身份验证机制所涉及的挑战包括：
•
平衡额外基础结构的成本与加强安全的需要。
•
跨不同的平台和应用程序集成更强的凭证机制和身份验证协议。
•
避免为最终用户和管理增加复杂性。多因素机制通常会增加可能出错的问题数量（例如，用户丢失智能卡或者忘记了他们的 PIN）。
•
最大程度降低与部署硬件以支持凭证（如，智能卡和 OTP 令牌）相关的成本和资源。
改善员工、客户和合作伙伴的访问
许多组织希望通过放宽访问来包括更多的用户类型、应用程序和网络，来优化其信息系统，从而实现竞争优势。此方法通常被称为“扩展网络边界”，因为组织网络周围的防火墙不再是防止外部用户进入的一道屏障。
例如，客户访问信息和应用程序可能会带来新的商机。商业伙伴通过集成库存、运输、财务和产品开发系统来简化供应链，从而能够共享机密的定价、产品和支持信息。由于员工与客户和合作伙伴密切合作，因此他们有更多的机会进行远程协作和沟通。
收益
改善访问的主要收益包括：
•
快速应用程序开发。
•
更快的应用程序部署。
•
增强的资源访问控制。
•
更加优质的最终用户体验。
•
降低的管理开销。
挑战
为外部用户改善访问的挑战有很多，其中包括：
•
与现有的应用程序集成。
•
选择适当的身份存储。
•
为各类用户选择适当的身份验证机制。
•
选择适当的授权模型。
•
权衡身份验证和授权机制。
•
管理许多合作伙伴和客户的身份。
•
根据用户在组织中所处的角色及其使用的应用程序，授予其相应的资源访问权限。
•
在合作伙伴和组织之间建立信任所固有的复杂性。
本系列文章中的“Extranet 访问管理”一文介绍了在提供单一登录体验的同时，为员工、客户和合作伙伴提供内部应用程序安全访问的概念。
建立安全审核策略
典型组织具有要求在平台和应用程序级别进行审核的安全性策略。实施本章中所述身份和访问管理计划的一个最大好处是身份存储、平台和身份验证与授权机制的合并。这种合并使审核更加容易且更加可靠，因为它减少了存在安全性事件的位置和方式。
组织下一步要做的是详细叙述需要哪种审核类型以及如何获取、存储和使用审核信息。
收益
建立安全审核策略的收益包括：
•
减小了外部安全审核的影响。
•
提高了发生安全攻击时进行法庭辩论的能力。
•
提高了实时检测攻击的能力，因此而警告管理员启动紧急情况处理过程。
•
增强了逆向强制执行在发生时难于强制执行的策略的能力。
挑战
建立安全审核策略的挑战包括：
•
不同平台和应用程序的审核机制不同。
•
不同级别特性的审核能力不同。
•
组织不同业务单位的审核需求不同。
•
在中央位置整合审核报告。
•
筛选大量信息。
•
生成有意义的报告。
•
存档大量的审核数据。
更新软件采购标准
应用程序通常是导致身份和访问管理系统复杂的根源。应用程序往往会引入不同类型的身份存储、不同的身份验证机制和授权策略。一旦具有了标准化的目录服务、安全和访问策略，就应建立或者更新组织的软件采购标准，从而使得新软件可以与组织的其他系统很好地集成，这一点非常重要。
在从独立软件供应商 (ISV) 选择软件时应部分考虑软件是否可以与所选目录服务相集成，是否能够满足已建立的安全和访问策略。
收益
更新软件采购标准的收益包括：
•
快速部署新应用程序。
•
易于与身份和访问管理基础结构相集成。
•
更低的总拥有成本。
•
增强的安全性。
•
降低了最终用户的培训要求。
•
提高了最终用户的工作效率。
挑战
更新软件采购标准的挑战包括：
•
找到具有所需功能的正确软件。
•
了解需要使用或购买哪些可选组件。
•
选择最大程度提高安全性的软件。
•
选择最大程度提高工作效率的软件。
建立供身份使用的软件开发标准
随着组织商业需求的发展，需要采用新的应用程序来实现新的商业功能。通过设置和强制实施描述应用程序如何与身份和访问管理基础结构交互的开发标准，即可设定降低总拥有成本和提高安全性的发展阶段。
收益
建立软件开发标准以供身份使用的收益包括：
•
应用程序不会产生新的身份管理问题。
•
可以更快地开发应用程序。
•
降低了管理成本。
•
通过降低攻击面增强了安全性。
挑战
建立软件开发标准的挑战包括：
•
为身份信息提供新应用程序可利用的权威来源。
•
要求并确保应用程序使用现有身份存储和现有身份验证和授权功能。
•
创建并发布包含所有软件开发生命周期 (SDLC) 方法的清晰指南，说明应用程序必须如何与身份和访问基础结构相集成。
•
培训内部和外部开发人员如何遵守这些指南。
开发并迁移身份识别应用程序
一旦为应用程序开发建立了标准，组织便可以使用这些标准开发新的应用程序。现有应用程序还应具有与身份和访问管理基础结构相同级别的集成。
为此，需要清查和分类现有应用程序。考虑每个应用程序的价值、它们提供的信息以及它们的安全特性，以便确定其相对重要性。权衡这些因素与迁移或变更每个应用程序的成本，以确定应当优先迁移的应用程序。
收益
开发和迁移身份识别应用程序的收益包括：
•
降低了管理身份的管理开销。
•
增强了安全性。
•
实现了应用程序间的一致性。
挑战
开发和迁移身份识别应用程序的挑战包括：
•
了解应用程序的工作机制，以便决定如何最有效地集成它们。
•
选择迁移应用程序的平台。
•
选择应用程序开发的语言或开发人员环境。
•
选择满足组织和应用程序要求的身份存储。
•
选择满足要求的身份验证和授权技术。
本系列文章中的“开发可识别身份的 ASP.NET 应用程序”一文论述了构建与微软身份和访问管理平台集成的应用程序所必需的技术。
返回页首第 2 页，共 9 页

本文内容
•第 1 章：“基本概念”简介
• 第 2 章：术语和计划
•第 3 章：微软身份与访问管理技术
•第 4 章：目录服务
•第 5 章：身份生命周期管理
•第 6 章：访问管理
•第 7 章：应用程序
•链接
•致谢

下载
获取微软身份与访问管理系列文章
更新通知
注册以了解有关更新和新版本的信息
反馈
将您的意见和建议发送给我们

 适合打印机打印的版本 通过电子邮件发送此页面
个人信息中心 |联系我们 |新闻邮件
©2008 Microsoft Corporation. 版权所有.  与我们联系 |保留所有权利 |商标 |隐私权声明