身份聚合和同步 第 2 章：实施身份聚合和同步的方法

show toc
Microsoft 标识和访问管理
身份聚合和同步
第 2 章：实施身份聚合和同步的方法
发布日期： 2004年05月11日 | 更新日期： 2006年12月06日
典型的大型组织可能有许多用于身份信息的数据存储区。即使中小型组织通常也有多个身份存储区。问题是如何从组织中的所有身份聚合正确的数据，然后将正确的数据与可能具有不正确或过时数据的身份存储区同步。
例如，员工的职称和地址通常存储在多个身份存储区中。当员工变动或晋升时，必须在多个不同身份存储区中更新相同信息。使问题进一步复杂化的是，身份存储区通常由独立的部门管理。跟踪这些更改并将它们传播到组织中的所有身份存储区就是身份聚合和同步的过程。
本页内容
常见身份数据源
同步身份信息
常见身份数据源
身份数据源主要有三种类型：
•
目录
•
数据库
•
平面文件
本节还将讨论一种特殊类型的数据库：人力资源 (HR) 部门数据库。
作为身份数据源的目录
为了管理数据对象，组织通常使用称为目录的专门数据存储区。目录提供了具有关联属性的良好定义的对象类集和用于组织对象的层次结构视图。目录服务公开了定位和管理目录内容所必需的操作。
通常，目录用于：
•
电子邮件通讯簿或包含姓名和电子邮件地址的白页 (white page)。
•
包含有关用户和配置文件信息的电子商务目录。
•
包含有关用户、计算机、设备和应用程序信息的服务器操作系统目录。
过去，目录是旨在满足组织网络环境中特定角色的自定义应用程序。在许多情况下，组织实施单独的目录来包含相关信息以满足特定目标功能。
作为身份数据源的数据库
组织中有许多不是基于目录的身份存储区。由于以下原因，各个应用程序的身份存储区通常实施为数据库：
•
与目录服务相比，开发人员通常对数据库技术和界面拥有更好的了解。
•
目录服务管理员可能不希望开发人员改动目录架构。
对于这些情况，数据库可容易地适应身份信息的存储，但是存在若干缺点。数据库天生就不是层次结构的，但是在存储有关人员的信息时，模仿诸如公司、部门和团队等典型组织层次结构通常更方便。这些层次结构有助于轻松定位对象并提供直观的搜索功能。此外，数据库一般不遵循某个定义数据及其特征的公共架构。
而且，数据库没有附带一套安全服务来处理身份验证、授权、信任和安全审核 — 而这些全都是必须针对每个数据库唯一地（而且是不必要地）编程的必需功能。
作为身份数据源的平面文件
平面文件（诸如逗号分隔文件和 XML 文件等基于文本的文件）也可以用于存储身份信息，对于较旧的应用程序来说尤其如此。平面文件身份存储区遭遇了与数据库相同的所有问题，但是通常还提供了显著更差的性能和管理。
如果无法以其它方式实现直接集成，平面文件通常用于在数据源和平台之间导入和导出信息。
作为身份数据源的人力资源数据库
由于 HR 部门的职能及其在组织的用户管理中的作用，HR 数据库（或等效数据库）是一种特殊情况。HR 数据库通常是有关用户身份存在性和诸如员工 ID、名字、姓氏、家庭住址等许多关键人员属性信息的权威来源。
HR 部门通常最先知道某个员工已被雇佣或解雇，从而成为应该在环境中添加或删除某个用户身份的权威。HR 数据库还管理许多用户属性，从而使之成为必须与其它身份存储区同步的重要身份数据源。
出于安全和隐私的考虑，通常很难让 HR 数据库直接参与身份集成服务。然而，HR 部门通常允许对该数据库的缩减版视图进行只读访问，或允许使用包含 HR 数据库中特定字段的平面文件。
返回页首
同步身份信息
无论身份数据如何存储，都存在几种影响该信息的管理的常见方案。下表描述了其中的一些方案。
表 2.1.身份方案和要求
方案 要求
实施单点登录
跨许多不同平台和应用程序管理用户名、密码和访问权限信息。
管理全局通讯簿
在公司中使用的电子邮件目录之间同步邮箱信息。
管理电子商务应用程序
与驻留在周边网络中的电子商务目录同步供应商和外部用户信息，如数字证书。
雇佣/解雇员工
将有关新雇佣员工的信息快速传播到需要身份信息的所有系统，并在员工离开时快速逆向执行同一过程。
下面几个小节将描述许多通常用于完成这些任务的方法，包括：
•
手动管理。
•
通过自定义脚本实施自动化。
•
通过特定于产品的集成服务来实施自动化。
•
使用元目录产品。
•
使用身份集成产品。
手动管理
手动管理是管理身份存储区中用户属性的默认机制。有些身份存储区，如 Microsoft® Active Directory® 目录服务，提供了类似于 Microsoft 管理控制台 (MMC)“Active Directory 用户和组”管理单元的工具。该工具提供易于使用的便利图形界面，并提供对用户属性的方便快捷的操作。
虽然手动工具对于经过培训的 IT 管理员来说非常直观且易于使用，但是跨多个身份存储区使用它们却很麻烦，并且经常导致错误和不一致性。
自定义脚本
在手动管理变得不方便之后，对 IT 管理员来说，通常的下一步就是创建脚本来管理各种存储区中的身份属性。通过诸如 PERL 或 Visual Basic® 等功能强大的脚本语言和诸如 Active Directory Scripting Interface (ADSI) 等接口，创建能够操作组织中的身份数据的脚本相当容易。
虽然易于创建并且实施成本不高，但是大多数基于脚本的身份同步解决方案都具有下列一个或多个问题：
•
缺乏集中控制。由于脚本很容易创建，它们可能很快散布在整个组织中。遗憾的是，对它们的维护通常也非常糟糕，许多组织对当前使用的所有脚本知之甚少。这种维护和认识的缺乏可能导致严重的身份存储区问题，从而导致安全问题和数据丢失。
•
有限的错误和异常处理功能。不正确的错误处理可能导致脚本提前中止，从而可能导致身份存储区之间的数据不同步，或者破坏身份存储区数据库本身的完整性。有限的错误报告可能会隐藏问题还存在的事实。异常处理甚至可能有更严重的影响；编写得糟糕的脚本可能删除目标身份存储区中的所有身份信息。这种后果的严重性可能从烦恼到灾难不等，但是几乎肯定会降低管理员或用户的工作效率，或同时降低这两者的工作效率。
•
对部署它们的人的依赖性。对自定义脚本的投资通常是在幕后进行的，并且懂得全部脚本的专家通常数量有限。当那些人不在或离开组织而问题出现时，组织就会遭遇严重后果。
•
没有预览模式。使用一个身份存储区中的对象数据来更新另一个身份存储区中的对象的脚本可能具有重大影响。预览模式可以在脚本运行前展示运行该脚本的结果。遗憾的是，大多数脚本都没有这样完善，每次运行脚本都像是在碰运气一样。您不知道将会发生什么事情 — 您只能不得不信任该脚本。
•
不合要求的安全特征。具有糟糕安全特征的脚本可能将管理员等效帐户的用户名和密码硬编码到脚本中。遗憾的是，这种情况太普遍了。基于脚本的机制的另一个常见特征在于，管理员或管理员组需要保留允许对某些身份存储区进行高特权访问的凭据，以便他们在自己的用户上下文中运行的脚本能够读写每个存储区中的身份信息。
•
有限的可伸缩性和冗余。大多数脚本都无法很好地伸缩以支持大量身份存储区，没有包括针对硬件故障和其它异常的冗余，并且通常无法满足更大型组织的需要。
集成服务
集成服务提供了另一种自动化身份信息维护的方法，虽然它们通常仅与单种类型的身份存储区集成，而没有完整身份集成产品的灵活性。这些集成服务的示例包括：
•
Windows Server 2003 R2。Windows Server 2003 R2 包括内置的互操作性组件，可帮助您集成 UNIX 和 Windows 环境。该互操作性包括 Subsystem for UNIX-based Applications、目录服务集成以及“文件和打印”服务。有关 UNIX 互操作性的更多信息，请参见Windows Server 2003 R2 UNIX 互操作性组件.
•
Services for UNIX。Windows Services for UNIX 3.5 版提供了程序和服务来支持 Windows 与 UNIX 或 Linux 计算机之间的身份集成。有关 Services for UNIX 的更多信息，请参见Windows Services for UNIX 3.5 下载页。
•
Services for Netware。Services for NetWare 5 所包括的 Microsoft Directory Synchronization Services (MSDSS) 支持将身份信息从 Active Directory 传播到 Novell eDirectory 8.7。有关 MSDSS 的更多信息，请参见Microsoft Windows Services for NetWare 5.03 页。
•
Host Integration Server (HIS)。全面的主机集成平台 HIS 允许通过用户的 Active Directory 帐户对基于主机的系统进行无缝访问，并且同时提供了对 Active Directory 和主机系统中的身份的自动身份验证。HIS 在 Windows 和主机系统之间维护帐户信息，以支持单点登录和密码管理。通过添加第三方工具，主机安全系统（RACF、ACF/2 和 Top Secret）还可以使用双向密码同步。有关更多信息，请参见Host Integration Server 网页。
•
Active Directory Connector (ADC).ADC 提供目录同步和导入/导出工具。它允许管理员在 Microsoft Exchange 服务器和 Active Directory 之间复制目录对象层次结构。有关更多信息，请参见Exchange Server 2003 Active Directory Connector 解决方案中心.
•
Data Transformation Services (DTS)。一组 Microsoft SQL Server™ 2000 组件，允许数据库管理员导入、导出和转换关系及非关系数据源，从而提供在系统之间转换数据的强大工具集。DTS 可能是用于在多种数据库源和平面文件之间转换身份数据的适当选择。有关 SQL Server DTS 的更多信息，请参见数据提取、转换和加载技术 页。
元目录的作用
元目录是包含来自多个目录的信息的存储区。它提供了来自整个企业中不同身份存储区的关系数据的集中视图。尽管单独的目录无法共享信息，但是元目录使得来自所有目录的数据的这种关系视图成为可能。
虽然元目录产品可能尝试提供身份的单一视图，但它们并不始终聚合身份信息和与每个连接数据源同步身份信息。客户需要这个关键功能来确保使用每个身份存储区的应用程序向其用户传递准确和最新的信息。
Microsoft Identity Integration Server 2003, Enterprise Edition 的前身 Microsoft Metadirectory Server 2.2 就是元目录产品的一个例子。
身份集成产品
身份集成产品旨在提供脚本和集成服务的所有功能，但同时还解决前几小节所列出的缺点。身份集成产品还提供了可能很难或无法使用脚本来实施的其它功能。
身份集成产品通常提供以下功能集：
•
跨多个身份存储区的身份信息聚合和同步。
•
密码管理服务，包括密码更改和重设的传播。
•
安全和分发组的组管理，包括跨不同身份存储区的组同步。
•
身份信息的自动化配置和集中管理。
•
诸如 Microsoft Exchange Server 和 Lotus Notes 等异构系统之间的电子邮件联系人同步。
•
其它特定于供应商的功能，如跨多个林的 Microsoft Exchange 2000 Server 和 Exchange Server 2003 全局地址列表 (GAL) 同步。
Microsoft 提供了两种身份集成产品：
•
Microsoft Identity Integration Server 2003, Enterprise Edition with Service Pack 1 (MIIS 2003 with SP1)。
•
Identity Integration Feature Pack 1a for Windows Server™ Active Directory。
两个产品具有类似的软件要求：Windows Server 2003, Enterprise Edition 和 Microsoft SQL Server 2000, Enterprise Edition 或 SQL Server 2000 Developer Edition（仅用于测试目的）。然而，对于与外部系统的集成，每个产品提供了不同级别的支持。
注意   SQL Server 2000 Developer Edition 是按开发人员授予许可的，只能用于设计、开发和测试目的。不要将它与 Microsoft SQL Server Desktop Engine (MSDE) 混为一谈。有关更多信息，请参见Microsoft SQL Server：如何购买.
Microsoft Identity Integration Server 2003, Enterprise Edition with Service Pack 1
MIIS 2003 with SP1 是 Microsoft 推出的企业身份集成产品；它取代以前的元目录产品 Microsoft Metadirectory Services (MMS) 2.2。MIIS 2003 with SP1 提供了前一节列出的所有身份集成产品功能。
有关 MIIS 2003 with SP1 的更多信息，包括 MIIS 2003 技术参考，请参见 Microsoft.com 上位于 www.microsoft.com/miis 的 MIIS 2003 页面和Microsoft Identity Integration Server 2003 常见问题 页面。
MIIS 2003 with SP1 使用 Microsoft SQL Server 2000, Enterprise Edition 或 Standard Edition 作为其用于 Metaverse 以及用于每个连接目录、应用程序或数据源的各个视图的身份存储区。下表定义了 MIIS 2003 with SP1 中可用的连接身份存储区（称为管理代理）。
表 2.2.MIIS 2003 with SP1 管理代理类别
连接身份存储区 示例
网络操作系统和目录服务
Microsoft Windows NT®
Active Directory（Windows 2000 Server 和更新版本）
Active Directory 应用程序模式
Novell eDirectory 8.6.2、8.7 和 8.7.3
Sun ONE Directory Server 5.0、5.1 或 5.2（以前的 iPlanet Directory Server）
IBM Directory Server 4.1、5.1 或 5.2
资源访问控制工具 (RACF)
X.500 系统
电子邮件系统
Microsoft Exchange 5.5
Microsoft Exchange 2000 和更新版本（GAL 同步）
Lotus Notes 和 Domino 4.6 及更新版本
应用程序系统
PeopleSoft
SAP
ERP1
电话交换机
基于 XML 和 DSML 的系统
数据库
Windows 上的 IBM DB2 Universal Database 7、Linux 上的 8.1 和 OS/400 上的 5.1.5
Microsoft SQL Server 7.0 和 2000
Oracle 8i 和 9i
基于文件的代理（用于通用连接）
DSML v2（目录服务标记语言）
LDIF（LDAP 数据交换格式）
CSV（逗号分隔的值）和其它分隔格式
固定宽度
属性-值对
有关 MIIS 2003 with SP1 中受支持的系统和其它增强的最新列表，请参见MIIS 2003 产品概述.
Identity Integration Feature Pack 1a for Active Directory
Identity Integration Feature Pack (IIFP) 1a for Windows Server Active Directory 是 MIIS 2003 with SP1 的精简功能集版本，只具有有限数量的管理代理。Identity Integration Feature Pack 只提供了对以下目录和电子邮件应用程序的连接：
•
Active Directory for Windows 2000 Server 和更新版本。
•
Active Directory 应用程序模式 (ADAM)。
•
Microsoft Exchange 2000 Server 和 Exchange Server 2003 的 GAL 同步。
IIFP 适合于操作 Microsoft 目录产品的环境。例如，它对于在多个林和 ADAM 实例之间同步身份信息非常有用。
IIFP 的软件要求类似于 MIIS 2003 with SP1：Windows Server 2003, Enterprise Edition 和 Microsoft SQL Server 2000, Enterprise Edition、Standard Edition 或 Developer Edition（仅用于测试目的）。
下载Identity Integration Feature Pack 1a for Windows Server Active Directory.
返回页首第 2 页，共 9 页

本文内容
•第 1 章：身份聚合和同步文章简介
• 第 2 章：实施身份聚合和同步的方法
•第 3 章：问题和要求
•第 4 章：设计解决方案
•第 5 章：实施解决方案
•第 6 章：测试解决方案
•第 7 章：操作注意事项
•链接
•致谢

下载
获取微软身份和访问管理系列文章
更新通知
注册以了解有关更新和新版本的信息
反馈
将您的意见和建议发送给我们

 适合打印机打印的版本 通过电子邮件发送此页面
个人信息中心 |联系我们 |新闻邮件
©2008 Microsoft Corporation. 版权所有.  与我们联系 |保留所有权利 |商标 |隐私权声明