dev375-microsoftdownloadcenter

1、DEV375基于身份和訪(fǎng)問(wèn)平臺(tái)的應(yīng)用開(kāi)發(fā),藺華ISV開(kāi)發(fā)合作經(jīng)理平臺(tái)及開(kāi)發(fā)技術(shù)部微軟（中國(guó)）有限公司,什么是身份？,數(shù)字身份: 某一個(gè)人、組、設(shè)備或者服務(wù)的唯一標(biāo)識(shí)和說(shuō)明性屬性。AD中用戶(hù)或者電腦的帳號(hào) 數(shù)據(jù)庫(kù)表中的用戶(hù)入口應(yīng)用中用戶(hù)登錄憑證需要認(rèn)證和授權(quán)的應(yīng)用都是基于身份的,,,,IntegrationServices(MIIS),DirectoryServices(AD, ADAM),AccessServi

2、ces(ADFS),微軟身份和訪(fǎng)問(wèn)平臺(tái)Smart client SSO, web SSO, 基于請(qǐng)求的訪(fǎng)問(wèn)控制, 聯(lián)合認(rèn)證自服務(wù)和委托管理元數(shù)據(jù)發(fā)布,身份和訪(fǎng)問(wèn)管理 策略管理, 適用性評(píng)估, 報(bào)表, 執(zhí)行等 生命周期管理 與其他的系統(tǒng)的連接性,WebClients,SmartClients,WebServers,ServerServices,,Microsoft和Non-Microsoft,微軟身份和訪(fǎng)問(wèn)平臺(tái),

3、我們今天要解決什么問(wèn)題？,對(duì)于那些把AD作為基礎(chǔ)目錄服務(wù)的機(jī)構(gòu)對(duì)于那些要跟蹤自己的資產(chǎn)的機(jī)構(gòu)或者，有相應(yīng)需求的部門(mén)等充分利用已有的架構(gòu)也可以開(kāi)發(fā)其他的一些解決方案: 自服務(wù)應(yīng)用來(lái)管理自己的資產(chǎn) 針對(duì)管理員的全服務(wù)管理功能,,認(rèn)證,Sync,,推薦的解決方案,資產(chǎn)跟蹤管理系統(tǒng),我們將學(xué)習(xí)到:User experience with the applicationsHow various app requirements a

4、re met by this solutionVisualize the end result – you can now move towards this solution,應(yīng)用開(kāi)發(fā)的需求,訪(fǎng)問(wèn)管理認(rèn)證(Authentication)授權(quán)(Authorization)存儲(chǔ)下面的信息：用戶(hù)憑證和其他信息數(shù)據(jù)應(yīng)用程序數(shù)據(jù)和配置數(shù)據(jù),我們認(rèn)證的需求,認(rèn)證:確認(rèn)某人是不是他說(shuō)的那個(gè)人的方法應(yīng)用程序的需求:增加帳戶(hù)但是不增

5、加麻煩允許非常靈活和可擴(kuò)展的增加新的用戶(hù),認(rèn)證的一些選項(xiàng),單點(diǎn)登陸基本/摘要HTTP基本的發(fā)送明文的密碼基于表單 在應(yīng)用表單中輸入用戶(hù)和密碼CookieLDAP (Light Directory Access Protocol 輕量級(jí)目錄訪(fǎng)問(wèn)協(xié)議),強(qiáng)有力的認(rèn)證支持單點(diǎn)登陸(SSO):當(dāng)客戶(hù)端連接到域時(shí)候，操作系統(tǒng)內(nèi)建的功能就支持SSO非微軟客戶(hù)端也可以通過(guò)合作伙伴的產(chǎn)品來(lái)實(shí)現(xiàn)SSO在域中使用很好的擴(kuò)展了集成認(rèn)證

6、/授權(quán)的功能能通過(guò)ADFS來(lái)實(shí)現(xiàn)跨機(jī)構(gòu)的聯(lián)合認(rèn)證富客戶(hù)端和Web應(yīng)用都能夠充分利用集成認(rèn)證IIS 集成整合 非常簡(jiǎn)單,集成認(rèn)證,強(qiáng)烈推薦！,怎么用在我們的解決方案中？,Windows集成認(rèn)證Web 應(yīng)用: 不需要任何代碼富客戶(hù)端:滿(mǎn)足需求充分利用AD來(lái)做認(rèn)證單點(diǎn)登陸（SSO）可擴(kuò)展性: 很容易添加新的用戶(hù),,API: AcceptSecurityContext(),,,Server,Authentication,

7、認(rèn)證的解決方案,Sync,應(yīng)用開(kāi)發(fā)的需求,訪(fǎng)問(wèn)管理認(rèn)證(Authentication) ?授權(quán)(Authorization)存儲(chǔ)下面的信息：用戶(hù)憑證和其他信息數(shù)據(jù)應(yīng)用程序數(shù)據(jù)和配置數(shù)據(jù),我們授權(quán)的需求,授權(quán): 基于身份來(lái)允許或者拒絕執(zhí)行某個(gè)任務(wù)應(yīng)用程序的需求:不用代碼在應(yīng)用中授權(quán)管理需要能夠進(jìn)行許可/拒絕訪(fǎng)問(wèn)操作不同的應(yīng)用需要使用相同模式(scheme),授權(quán)的選項(xiàng),授權(quán)管理器 (AzMan)ADFSWind

8、ows ACL(訪(fǎng)問(wèn)控制列表)模式最方便的授權(quán)訪(fǎng)問(wèn)模式LDAP 授權(quán)授權(quán)信息以數(shù)據(jù)的形式存儲(chǔ)應(yīng)用服務(wù)器都以合適的方式訪(fǎng)問(wèn)這些信息COM+ 和 ASP.NET 角色,Mary(Admin),Bob(User),基于角色的授權(quán) API管理角色而不是ACL對(duì)象簡(jiǎn)化報(bào)表和審計(jì)過(guò)程基于查詢(xún)的組能很好的捕捉業(yè)務(wù)動(dòng)態(tài)應(yīng)用程序用在AzMan里定義好的角色來(lái)進(jìn)行授權(quán)在設(shè)計(jì)時(shí)建立角色策略,,,,InfrastructureDire

9、ctory,,authorization,Server,Authentication,授權(quán)管理器,強(qiáng)烈推薦??！,授權(quán)管理器 API,內(nèi)嵌于Windows Server 2003, Windows 2000 可以下載安裝該組件在AD/ADAM中針對(duì)角色和策略的可伸縮的, 應(yīng)用程序特定的存儲(chǔ),,'------- at application boot --AzPol.Initialize 0,“msldap://Server:p

10、ort/CN=MyStore,DC=…App = AzStore.OpenApplication(“AssetTracker")'------- at client Connect --Context = App.InitializeClientContextFromName'------- on request --Context.AccessCheck(“ViewRpt",Scope

11、,Operations,Names,Values)Context.GetRoles (),怎么用在我們的解決方案中？,滿(mǎn)足需求一致的角色映射, 跨應(yīng)用重用管理員在AzMan中完成角色指配，而不是在代碼中完成,授權(quán)管理器極易使用的 API:,,授權(quán)的解決方案,Authentication,ADAM,AuthZ,Sync,訪(fǎng)問(wèn)管理,我們將學(xué)習(xí)到:Integrated authenticationAuthorization : A

12、zMan roles, tasksNew user has no access, admin adds to group, automated access; disabled user, access automatically denied,應(yīng)用開(kāi)發(fā)的需求,訪(fǎng)問(wèn)管理認(rèn)證(Authentication) ?授權(quán)(Authorization) ?存儲(chǔ)下面的信息：用戶(hù)憑證和其他信息數(shù)據(jù)應(yīng)用程序數(shù)據(jù)和配置數(shù)據(jù),數(shù)據(jù)存儲(chǔ): 用戶(hù)

13、憑證和其他信息數(shù)據(jù)應(yīng)用程序數(shù)據(jù)和配置數(shù)據(jù)應(yīng)用程序的需求充分利用已有的基礎(chǔ)架構(gòu)和數(shù)據(jù)可伸縮，穩(wěn)定的存儲(chǔ)無(wú)縫的安裝和配置 易于管理,數(shù)據(jù)存儲(chǔ)的需求,數(shù)據(jù)存儲(chǔ)的選項(xiàng),數(shù)據(jù)庫(kù)目錄關(guān)鍵因素編程和數(shù)據(jù)模型開(kāi)發(fā)的經(jīng)驗(yàn)管理成本及其經(jīng)驗(yàn)易于部署參看更多信息: http://www.microsoft.com/adam,對(duì)于用戶(hù)來(lái)說(shuō),用活動(dòng)目錄(AD)來(lái)存儲(chǔ)身份數(shù)據(jù)組織范圍內(nèi)的用戶(hù)信息都存放在AD支持基于標(biāo)準(zhǔn)的認(rèn)證支持 (Ke

14、rberos, SSL, Digest)在添加另外的身份存儲(chǔ)時(shí)不會(huì)帶來(lái)身份危機(jī),強(qiáng)烈推薦！,,,,Infrastructure Active Directory,,Client,Server,App partition,LDAP,AD 針對(duì)整個(gè)組織范圍的應(yīng)用程序數(shù)據(jù) 針對(duì)對(duì)安全性要求很高的應(yīng)用ADAM 針對(duì)應(yīng)用程序數(shù)據(jù) – 相當(dāng)獨(dú)立應(yīng)用特定的用戶(hù)數(shù)據(jù)或者配置信息利用Windows身份機(jī)制,Sync,應(yīng)用程序數(shù)據(jù)的存儲(chǔ),目錄

15、訪(fǎng)問(wèn) API,托管代碼:System.DirectoryServices : 簡(jiǎn)單易用的高度抽象的對(duì)象模型System.DirectoryServices.Protocols : 針對(duì)高性能的目錄應(yīng)用提供了全面的LDAP訪(fǎng)問(wèn)能通過(guò) ADO.NET進(jìn)行有限的訪(fǎng)問(wèn)本地代碼Active Directory Service Interfaces (ADSI) LDAP Win32 API(C and C++),托管代碼實(shí)例,,--

16、UsersContainer entryreturn new DirectoryEntry(string.Format("CN=Users,{0}", partitionName), null, null, AuthenticationTypes.Secure | AuthenticationTypes.Sealing | AuthenticationTypes.Signing);-- SaveAsset

17、 (SortedList attributes, string className) string cn = ((AttributeInfo)attributes["cn"]).Value;// Add a new but empty child entry to the Asset container DirectoryEntry newEntry = AssetContainer.Children.A

18、dd(string.Format("CN={0}", cn), string.Format("{0}{1}",schemaPrefix, className));// Commit the changesnewEntry.CommitChanges();-- Search in the directoryDirectorySearcher search = new Di

19、rectorySearcher(topEntry); search.Filter = string.Format("({0})", entryCriteria);return search.FindAll();,,數(shù)據(jù)存儲(chǔ)的解決方案,Authentication,ADAM,Store/Retrieve Data,Sync,身份和數(shù)據(jù)存儲(chǔ),我們將學(xué)習(xí)到:User in AD and app data in