文档介绍：基于微软身份管理和访问控制平台的解决方案开发
李英歌
技术专家
微软中国技术中心
场景: 业务需求
企业使用活动目录作为主要的目录服务
企业希望能够记录资产使用情况
利用现有基础架构
开发人员被要求开发:
一个web应用提供资产管理的基本功能,供普通用户使用
一个全功能应用提供提供资产管理的全部功能,供部门管理员使用
应用需求
访问控制
验证
鉴权
身份存储
用户凭证(credentials)及配置信息(profile data)
对数据生命周期的管理
应用需求: 验证
验证:
用户是谁?
需求:
为减少身份管理问题,不能为该应用增添新的一套用户ID及密码。
必须足够灵活以便于新用户访问应用
验证:可选方案
与工作站登录集成的单点登录
Basic/Digest
HTTP协议相关的验证方式
Basic发送明文密码
基于Form的
用户在form中输入用户名和密码
Cookie被写回浏览器
认证强度高
单点登录
Windows内置功能允许域或森林内的单点登录
可扩展至跨域或森林的验证
通过ADFS可实现跨组织机构的身份认证
Rich client及web应用都可以使用
与IIS集成
无需编码
验证:集成验证
建议使用
验证:实现
实现
Web client: 无需代码
Rich client:
Winsock: SSPI
RPC: 已集成
DCOM: 已集成
Web Service: WSE
满足需求
利用现有活动目录验证用户
单点登录
易于添加新用户
Server
Infrastructure
Active Directory
Authentication
ADAM
Store /
retrieve
Data
Web Client
验证: 解决方案
Web
portal
Rich Client
Sync
应用需求
访问控制
验证
鉴权
存储
用户凭证(credentials)及配置信息(profile data)
对身份数据生命周期的管理