1 / 59

Welcome

TechNet. Welcome. 同盟企業與異質平台識別整合. 蘇建榮 alan_su@uuu.com.tw 恆逸教育訓練中心(精誠資訊). 大綱. 身份識別與存取解決方案 同盟企業聯合身份識別 UNIX 平台驗證整合 Identity Lifecycle Manager. 身份識別. 護照 / 身份證. 帳號 / 密碼. 相片. 智慧卡. 身份識別. IP 位址. 生物特徵. 姓名、地址、電話號碼、行動電話等 …. 提示與主體已確立關聯的宣告 (claims) 聲明主體的身份. 服務原則. 必需提出的宣告. 身份識別提供者.

aida
Download Presentation

Welcome

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. TechNet Welcome

  2. 同盟企業與異質平台識別整合 蘇建榮 alan_su@uuu.com.tw 恆逸教育訓練中心(精誠資訊)

  3. 大綱 • 身份識別與存取解決方案 • 同盟企業聯合身份識別 • UNIX 平台驗證整合 • Identity Lifecycle Manager

  4. 身份識別 護照/身份證 帳號/密碼 相片 智慧卡 身份識別 IP 位址 生物特徵 姓名、地址、電話號碼、行動電話等… • 提示與主體已確立關聯的宣告(claims) • 聲明主體的身份

  5. 服務原則 必需提出的宣告

  6. 身份識別提供者

  7. 通行證(安全權杖) 宣告 簽發單位 主體

  8. Identity and Access 解決方案

  9. 目錄服務 - AD DS AP • Active Directory 網域服務 • 全球最普遍部署的目錄服務 • 集中進行身份識別驗證 • 提供目錄資訊 • Windows 管理 • Active Directory LDS • Lightweight Directory Services • 先前的版本稱為 ADAM • 網域控制站非必需 • 供應用程式使用

  10. 增強式驗證 - AD CS 憑證服務 • 提高存取安全性 • 驗證、加密、簽章 • 支援 OCSP 線上憑證狀態協定 • 降低整體成本 • Enterprise CA 與 AD 整合 • 簡化憑證管理 • 使用 MMC 嵌入式管理單元 • 憑證、CA、憑證範本 • 自動部署 • 使用群組原則

  11. 聯合身份識別 - AD FS • 自行管理與驗證 • 同盟企業自行管理自己的用戶 • 用戶仍在自己企業進行初始驗證 • 聯合識別 • 透過同盟信任(Federation Trust) • 使用 SAML 安全權杖 • 宣告對應 • 將雙方各自的宣告進行轉換 • 更加安全 • 不需 VPN • 使用 SSL (https)

  12. 資訊保護 -AD RMS 版權管理服務 • 持續保護 • 不受轉寄或轉存影響 • 原則控管 • 使用發行授權(PL) • 不只是唯讀、不允許列印 • 可使用權限原則範本簡化設定 • AD 整合 • 使用 AD 進行身份識別與驗證 • 支援 AD FS • 容易採用與部署 • Office 2003/2007 等應用軟體採用 • Windows Server 2008 與 Vista 內建

  13. 身份識別週期管理 - ILM • 由 MIIS 與 CLM 演變而來 • Metadirectory Service and User Provisioning • Certificate and Smart Card Management • 簡化身份識別與存取管理 • 目錄服務、主機系統、資料庫識別同步 • IT 人員與使用者管理憑證 • 提供 IT 更大的控制 • 以原則為依據的管理解決方案 • 提供一個彈性的系統 • 超過 30 個連接器 • 協力廠商解決方案

  14. 大綱 • 身份識別與存取解決方案 • 同盟企業聯合身份識別 • UNIX 平台驗證整合 • Identity Lifecycle Manager

  15. AD 與 Extranet • 以 Web 為基礎的應用系統 • 使用 AD 進行單一簽入(SSO) • 自行管理自己的使用者 • 挑戰 • 企業間是否允許建立 VPN 通道? • 是否需要變更防火牆設定? • 有些應用程式需要存取其他資源? • 其中一方沒有 AD?

  16. AD FS 的優點 • 安全 • 使用 HTTPS (大多數的企業不需變更防火牆設定) • 不需連通對方 DC 與 FS • 不會曝露內部授權資訊 • 真正單一簽入(Single Sign On) • 存取多個站台與網站程式只需登入一次 • 使用 session cookie • 現有網站應用程式支援 • 宣告感知型應用程式 • NT 權杖型應用程式 • 帳戶儲存區 • Active Directory • AD LDS(ADAM)

  17. AD FS 的環境需求 • TCP/IP 網路與 DNS 服務 • Active Directory 或 AD LDS(ADAM) 帳戶儲存區 • 憑證授權單位(選擇性) • 商業 CA • 自行架設的 CA • 無 CA, 自行簽發憑證 • Windows Server 2008(或 2003 R2)作業系統 • Federation Service • Federation Service Proxy • AD FS Web Agent • 用戶端 • IE 5/5.5/6/7、Firefox 等

  18. AD FS 的運作 用戶端 HTTPS HTTPS HTTPS Firewall HTTPS Federation Service Proxy IIS Web Server AD FS Web Agent Web Application 應用程式 Federation Service Account Store

  19. Federation Service • 也稱為 Security Token Service (STS) • 宣告(Claims)對應 • 產生 security tokens • 管理 federation trust policy • 安裝需求 • Windows Server 2008(2003 R2), Enterprise Edition • IIS、ASP.NET 2.0、.NET Framework 2.0 • 啟用 TLS/SSL 設定的預設網站 • 權杖簽章憑證(Token-signing certificates) • 加入 Active Directory 網域

  20. Federation Service Proxy • 用戶端要求 token 的代理者 • 提供瀏覽器用戶端 UI 介面 • 安裝需求 • Windows Server 2008(2003 R2), Enterprise Edition • IIS、ASP.NET 2.0、.NET Framework 2.0 • 啟用 TLS/SSL 設定的預設網站 • 電腦的用戶端憑證 • 不能與 Federation Service 在同一部電腦 • 通常使用獨立的伺服器

  21. Web Agent • 強制用戶進行驗證(將用戶導向到 FS 或 FSP) • 根據 AD FS token 中所要求的權限產生授權內容 • 寫入 cookie 至用戶端 • 安裝需求 • Windows Server 2008(2003 R2), Standard Edition 或 Enterprise Edition • IIS、ASP.NET 2.0、.NET Framework 2.0 • 啟用 TLS/SSL 設定的網站

  22. Account Store • 存放使用者帳戶以供 FS 進行驗證 • 提供屬性值以供 FS 轉換為 AD FS token 的宣告內容 • FS 使用 LDAP 協定與 Account Store 進行通訊 • 可以同時有多個帳戶儲存區 • 帳戶儲存區的類型 • Active Directory 帳戶儲存區(僅能一個) • AD LDS (ADAM) 帳戶儲存區(可以多個)

  23. 宣告(Claims) • 針對使用者所作的相關陳述 • 用於應用程式中的授權用途 • 宣告的類型 • 識別、群組、自訂 • 宣告的使用方式 • 產生者或取用者 • 連入或連出

  24. 安裝 AD FS • 設定 Trust Policy

  25. 同盟信任(Federation trusts) • 建立夥伴組織 • 帳戶夥伴 • 負責用戶身份驗證 • 進行連出宣告的對應 • 簽發初始權杖(token,通行證) • 資源夥伴 • 驗證用戶出示由帳戶夥伴所簽發通行證(token) • 進行連入宣告的對應 • 簽發可被應用程式承認的權杖(token,通行證)

  26. 夥伴組織間的宣告對應 帳戶夥伴 使用者帳戶的屬性 連出宣告名稱 組織宣告 資源夥伴 組織宣告 連入宣告名稱 授權決策

  27. 應用程式 • 需在資源所在組織的 Federation Service 新增 • 『我的組織』中的『應用程式』新增該應用程式的 URL 及宣告 • Windows NT 權杖型(token-based)應用程式 • 使用傳統 Windows 授權機制的應用程式(例:ASP) • 程式本身無法辨識宣告的內容 • 還需在 IIS 管理員進行設定 • 宣告感知(Claims-aware)應用程式 • 使用ADFS API 開發的 Microsoft ASP.NET 應用程式 • 透過 ADFS API,可取得宣告的內容 • 依宣告的內容進行授權決策 • 還需在 web.config 進行設定

  28. ADFS API • Namespace • System.Web.Security.SingleSignOn 同盟信任的設定及使用者驗證有關的各種資訊 • System.Web.Security.SingleSignOn.Authorization 與宣告有關的各種資訊 <% @Import Namespace="System.Web.Security.SingleSignOn" %> <% @Import Namespace="System.Web.Security.SingleSignOn.Authorization" %> : SingleSignOnIdentity ssoId = User.Identity as SingleSignOnIdentity; username = ssoId.Name ; : foreach (SecurityProperty securityProperty in ssoId.SecurityPropertyCollection) { NewDataRow["ClaimValue"]=securityProperty.Value; }

  29. 建立 Federation Trust • 設定 Applications

  30. AD AD FS-A FS-R RAC RAC CLC CLC 10 3 12 11 1 2 5 6 7 8 9 4 PL UL • 假設 B 公司人員已完成應有的啟動動作 • B 公司人員送出受保護的 E-Mail 給 A • A 公司收件人對 AD RMS 提出要求 • B 公司 RMS 電腦的 AD FS Web agent 攔截此要求 • RMS client 將被重新導向到 B 公司 的 FS-R ,並提示自己的 realm 為 A 公司 • RMS client 將再被重新導向到 A 公司 的 FS-A 進行驗證(由 A 公司 Account Store,例:AD 網域) • RMS client 在驗證過後被重導回 B 公司 的 FS-R 進行確認與對應 • RMS client 對 AD RMS 伺服器提出要求 • AD FS Web agent 攔截此要求並檢查 FS-R 所發出的 AD FS Token 內容後,送出要求給 AD RMS server • RMS server 發出 RAC 給收件人 • RMS server 發出 UL 給收件人 • 收件人存取受保護的文件 AD RMS 與 AD FS 整合 Web Agent AD RMS B 公司 A 公司

  31. 在 AD RMS 設定 Federation Identity Support

  32. 大綱 • 身份識別與存取解決方案 • 同盟企業聯合身份識別 • UNIX 平台驗證整合 • Identity Lifecycle Manager

  33. IDMU (Identity Management for UNIX) • 由 Server Manager 安裝 • Role: Active Directory Domain Services • Role Service: Identity Management for UNIX • 密碼同步服務(Password Synchronization) • AD 對 UNIX 進行密碼同步 • UNIX 對 AD 進行密碼同步 • Server for NIS • 讓 Active Directory 提供 NIS server 的功能 • 若裝在 DC 上,則一定扮演 Master • 擴增 Active Directory Schema • 依循 RFC 2307 規範 (partial set)

  34. 密碼同步如何運作 Pluggable Authentication Module (pam) Password Synchronization Service in Windows Server Single Sign On Daemon (ssod) HP-UX Solaris AIX Red Hat Linux 圖例: 在 UNIX 系統變更密碼 在 Windows 系統變更密碼

  35. 支援的 UNIX 作業系統 • 下載 ssod.tar.gz • http://go.microsoft.com/fwlink/?LinkId=59120 • 支援的 UNIX 作業系統 • Hewlett-Packard HP-UX 11i • IBM AIX 5L 5.2 • Red Hat Linux 8 & 9 • Sun Solaris version 8 (x86 & SPARC) Solaris version 9 (SPARC)

  36. 在 2008 設定 Password Synchronization Service • 設定 Password Synchronization • 勾選同步的方向 • Windows to UNIX • UNIX to Windows • 變更加密與解密的 Key • 在 Unix-Based Computers • 將安裝 ssod.tar.gz 中的 ssod 或 pam 元件的 unix 電腦加入

  37. 在 UNIX 進行設定 • AD 對 UNIX 進行密碼同步 • 將 ssod.tar.gz 中的 ssod.rhl copy 到 /usr/bin/ssod • sso.cfg copy 到 /etc/sso.conf • 修改 sso.conf 中 ENCRYPT_KEY 與 SYNC_HOSTS • UNIX 對 AD 進行密碼同步 • 將 ssod.tar.gz 中的 pam_sso.rhl copy 到/lib/security/pam_sso.so.1 • 修改 /etc/pam.d/system-auth

  38. AD 與 UNIX 進行密碼同步

  39. Server for NIS AD 與 NIS整合 UNIX 電腦 Windows網域 Active Directory +Server for NIS Master Server Windows 電腦 NIS Slave Server#1 NIS Slave Server#n 用戶端 #1 用戶端#2 用戶端 #3 用戶端 #m

  40. 為何以 AD 做為 NIS Master Server • 不需更動您的 UNIX clients • 它們不需要重新連結(rebind) AD 的 NIS 伺服器(使用 broadcast 時) • NIS 是 single-master,AD 提供 multi-master 複寫 • 容易管理 • 您只需在 AD 建立使用者帳戶即可 • UNIX 的 NIS servers 可以解除安裝

  41. 設定 NIS • 在 UNIX 使用 ypcat 將 passwd 與 group 等,匯出成檔案 • 在 2008 安裝 IDMU 後,請重新開機兩次 • 在 Server for NIS 使用 NIS data migration wizard 進行遷移 • 設定 Password Synchronization 與 NIS 進行密碼同步 • 在 AD 中的 user 物件,userPasswd 與 unixUserPassword 是2個不同的屬性

  42. 使用 NIS data migration wizard 進行遷移

  43. 大綱 • 身份識別與存取解決方案 • 同盟企業聯合身份識別 • UNIX 平台驗證整合 • Identity Lifecycle Manager

  44. Identity Lifecycle Manager 2007 • 身份識別同步 • 跨企業系統使用者單一檢視 • 跨系統身份識別資訊一致化 • 使用者管理 • 自動化處理員工到職與離職 • 強制跨系統使用一致的憑據 • 憑證與智慧卡管理 • 簡少管理憑證的成本 • 自動化的憑證發行與撤銷 • 很容易的進行智慧卡的部署

  45. 伺服器系統需求 • Metadirectory services and user provisioning • Windows Server 2003 Enterprise Edition 或 Windows Server 2003 R2 Enterprise Edition • Microsoft .NET Framework 2.0 • Microsoft SQL Server 2000 sp3(含以上) 或 Microsoft SQL Server 2005 (建議 sp1 或更新) • Certificate and smart card management • Active Directory • Windows Server 2003 Enterprise Edition 的Enterprise CA • Windows Server 2003 Enterprise Edition sp1 • Microsoft .NET Framework 2.0

  46. ILM 2007 連接能力 • Active Directory 與 ADAM • Microsoft NT 4.0 • Sun Directory Server 4.x/5.x • Novell eDirectory 8.7.x/8.7/8.6.2 • IBM Tivoli Directory Server/Resource Access Control Facility • Computer Associates eTrust ACF2/Top Secret • Microsoft SQL Server 2005/2000/7 • Oracle 10g/9i/8i • IBM DB2 • Lotus Notes 6.x/5.0/4.6 • Microsoft Exchange 2007/2003/2000/5.5 • DSML、LDIF、CSV、固定寬度文字等..

  47. Metadirectory 服務的主要元件 Store (SQL Server) 連結器空間(Connector Space-CS) 同步資訊(Metaverse-MV) 連結資料的來源 Management Agent Connected Directory 呼叫基礎的 MAs Management Agent Connected Directory Management Agent Connected Directory 文字檔 檔案基礎的 MA

  48. 憑證服務的應用 VPN Client Wireless Client RAS/VPNServer CertificateServer ActiveDirectory IAS/RADIUS Server Wireless AP Switch Certificate Templates Client Computer

  49. CLM 2007 結構 其它服務 邏輯結構 實體結構 Microsoft Certificate Authority CLM Policy Module CLM Exit Module Microsoft CAs E-mail Server CLM AD Integration CLMWeb App Active Directory Internet Information Server Microsoft CLM Server Internet Explorer SQL Server CLM Browser Control Smart Card Middleware End User

  50. 安裝與設定 ILM 2007

More Related