身份識別管理與存取控制最佳實務.ppt

《身份識別管理與存取控制最佳實務.ppt》由会员分享，可在线阅读，更多相关《身份識別管理與存取控制最佳實務.ppt（57页珍藏版）》请在装配图网上搜索。

1、身份識別管理與存取控制最佳實務,議程大綱,企業安全認證機制與存取管理的挑戰 Microsoft身份識別管理的策略及解決方案 使用 IIFP 及 MIIS 管理身份識別 內部網路驗證授權的挑戰和解決方案 從外部網路存取內部資源的挑戰和解決方案 如何提昇身份識別及存取管理的安全性,企業安全認證機制與存取管理的挑戰,管理數位身份識別的挑戰包括：,多重身份識別存放區 擁有10000位用戶的機構，每年約有54180員工工時花費在管理身份識別 內部網路存取管理 擁有10000位用戶的機構，每年約有2666員工工時花費在多重驗證系統 外部網路存取管理 不支援單一登入的機制，會迫使用戶需一再登入才能存取各類資

2、源,管理數位身份識別：有哪些挑戰？,資料來源：PricewaterHouseCoopers/META Group 2002年身份識別管理的價值調查報告 ，2002 June,管理數位身份識別：有哪些挑戰？,管理數位身份識別的挑戰包括：,系統管理成本的增加 資訊人員需維護複雜的身份識別存放區 降低員工生產力 新進員工需等候多時才能存取所有資源 用戶需記住許多登入的帳號與密碼 安全洩漏的風險性增加 不一致的原則可能導致無意間授與用戶存取敏感資料的權限 客戶服務與供應通路的整合 無法完整掌握而影響客戶服務或銷售商機,瞭解身份識別存續週期,不同目錄存放區身份識別整合的方式包括：,管理身份識別整合,真正

3、發生的狀況是,身份識別混沌Identity Chaos 身份識別資訊的多種存放機制 多個用戶代號、多個密碼 分散管理、點對點資料共享,中介檔案Flat Files與 手動傳遞資料Sneaker-net,Enterprise Directory,人事系統,基礎結構 應用程式,Lotus Notes應用程式,內部 應用程式,商業性現成 應用程式,約聘人員系統,自定 應用程式,Identity Chaos,demonstration1,驗證身份識別管理的挑戰,在多重資料來源之間驗證員工資料所面臨的挑戰,何謂身份識別及存取管理？,目錄服務,存取管理,身份識別存續週期管理,應用程式整合,如何降低目錄管理

4、投入的資源？,降低目錄管理投入資源的做法包括：,自動化提供與撤銷 實作身份識別彙整和同步處理 建立目錄服務和安全性標準 建立軟體開發和採購標準 降低總體持有成本 (TCO),如何改善使用者的感受？,可改善使用者感受的做法包括：,統合身份識別存放區 改進密碼管理 啟用單一登入 (SSO) 改善員工、客戶及合作夥伴的存取,如何提升安全性？,可提升安全性的做法包括：,建立安全性及存取原則 帳號管理、密碼、安全稽核與隱私權的原則 管理VPN、外部網路、驗證與資料加密的存取原則 改進密碼管理 用戶一次動作即可變更所有的網路登入密碼與認證 強化驗證機制 建立安全性稽核原則 開發能辨識身份的應用程式,瞭解身

5、份識別及存取管理技術,目錄服務,使用者、屬性認證及群組Active DirectoryAD/AM,身份識別管理,身份識別整合提供/撤銷委派系統管理自助式系統管理認證和密碼管理,存取管理,驗證授權信任安全性稽核,議程大綱,企業安全認證機制與存取管理的挑戰 Microsoft身份識別管理的策略及解決方案 使用 IIFP 及 MIIS 管理身份識別 內部網路驗證授權的挑戰和解決方案 從外部網路存取內部資源的挑戰和解決方案 如何提昇身份識別及存取管理的安全性,Microsoft身份識別管理的策略及解決方案,Microsoft的策略及解決方案滿足現今客戶的需求,Windows Server基礎身份與存取

6、的管理,可擴增的目錄服務（Directory Services） 彈性化的驗證鑑別結構 以角色為基礎的存取管理環境,技術與服務合作夥伴,網頁單一簽入 系統整合廠商 生物特徵辨別驗證,產品與服務簡化管理識別資訊的生命週期,MIIS目錄整合與提存 HIS、SFU、SFN、BizTalk交互合作、互通性 Passport身份管理的外部處理,瞭解身份識別整合產品與服務,您可以使用下列身份識別整合產品與服務來實作身份識別整合：,Identity Integration Feature Pack Microsoft Identity Integration Server 2003 Services for

7、 UNIX Services for NetWare Host Integration Server Active Directory 連接器 Active Directory to ADAM 同步器,Microsoft的解決方案管理識別資訊的生命週期,Microsoft Identity Integration Server 目錄同步 (Meta) 自動化的帳戶提存 整合式單一步驟的工作流程 自我服務的密碼管理 Host Integration Server 延伸Windows單一簽入至RACF 延伸Windows單一簽入至AS/400 雙向密碼同步 Windows Services for

8、 UNIX AD整合NIS伺服器 密碼同步 UNIX使用者名稱對應,產品與服務簡化管理識別資訊的存續週期,帳號目錄,議程大綱,企業安全認證機制與存取管理的挑戰 Microsoft身份識別管理的策略及解決方案 使用 IIFP 及 MIIS 管理身份識別 內部網路驗證授權的挑戰和解決方案 從外部網路存取內部資源的挑戰和解決方案 如何提昇身份識別及存取管理的安全性,使用 IIFP 及 MIIS 管理身份識別,身份識別資訊的管理,身份識別Identity 人、群組、資源（電腦、印表機 等），或任何希望被保存事項的彙整資訊 姓名、E-Mail、地址、電話號碼、職務、部門、成員清單、地區 通常存放在企業內

9、各種不同、不相容的目錄或資料庫中 易產生不一致、衝突風險、管理成本與挫折、安全弱點 身份識別整合系統 儲存、整合企業中多個存放機制內的上述資訊 根據符合企業處理程序、可組態的規則 在這些目錄之間傳送維持一致性所需的資料,MIIS,Microsoft,Identity,Integration,Server,使用 Identity Integration Feature Pack 管理身份識別,IIFP 是一項用來連接下列目錄和電子郵件應用程式的免費產品：,適用於 Windows 2000 Server (含) 以後版本的 Active Directory Active Directory App

10、lication Mode (AD/AM) 適用於 Exchange 2000 Server 和 Exchange Server 2003 的 GAL 同步處理,demonstration2,使用 MIIS 2003 的身份識別整合,MIIS 如何解決不同資料存放區之間維護數位身份識別資訊的挑戰,使用 Microsoft Identity Integration Server 管理身份識別,MIIS 2003 帶來了以下功能：,身份識別彙整和同步處理,支援超過 20 種儲存機制 提供使用者的單一企業檢視 使用 SQL Server 作為資訊儲存機制,帳戶提供,自動化帳戶建立/刪除 群組及通訊群

11、組清單管理 工作流程 密碼管理,簡化企業的身份識別管理,身份識別資料,提供與工作流程 自動化帳號的建立與刪除 目錄同步 Active Directory 與 ADAM Sun/iPlanet Directory Novell eDirectory Microsoft SQL Server 2000 與 7 Oracle 9i/8i IBM DB2 Lotus Notes 5.x/6.x Microsoft Exchange 5.5、2K、2K3 Microsoft NT 4.x DSML、LDIF、CSV、固定寬度文字 . 密碼管理 使用者自我服務的密碼變更 支援中心進行密碼重設,商務應用程式

12、,瞭解使用 MIIS 的身份識別整合,同步處理多重儲存機制 不經代理程式連線到其他系統 屬性層級控制 管理全域通訊清單 自動化群組和 DL 管理,圖例 CS = 連接器空間 MA = 管理代理程式 MV = Metaverse,內部網路 Active Directory,Lotus Notes,MIIS 2003,Sun ONE Directory,外部網路 Active Directory,MIIS 2003 的主要元件,Connected Directory,Connected Directory,Connected Directory,Management Agent,Managemen

13、t Agent,Management Agent,文字檔,檔案基礎的 MA,呼叫基礎的 MAs,連結資料的來源,Suzan Fine Account Name eMail Employee #,MIIS 2003 的資訊流動,Sue Fine Name eMail Employee #,Suzan Fine Full Name Title Employee #,人事資料庫,Suzan Fine Name eMail Employee #,eMail 系統,1) Staging,2) Staging,3) Projection,4) Joining,5) Attribute Flow,7) Pr

14、ovisioning,Directory,8) Export,Suzan Fine,6) Export,= 屬性流動,Employee #,改善的機會：身份識別整合,身 份 識 別 整 合,“身份識別整合”-堅實穩固整合身份識別的軟體,人事系統,基礎結構 應用程式,Lotus Notes應用程式,內部 應用程式,商業性現成 應用程式,約聘人員系統,自定 應用程式,Enterprise Directory,demonstration3,使用 MIIS 2003 的身份識別同步處理,MIIS 如何同步處理不同資料存放區的數位身份識別資訊,實作帳戶提供-Provision,實作帳戶提供的一般方式包括

15、：,HR 主導式提供 連結的目錄存放區改變狀態，立即觸發自動化的提供程序 網頁主導式提供 達到經由手動核准的工作流程 使用 Microsoft BizTalk Server 2004 協調複雜的工作流程提供,聘僱流程的情境（提供）,人事系統,Metadirectory,Notes,約聘人員系統,AD/AM,SQL Server,iPlanet Directory,Active Directory,Lotus Notes,File,LDAP,LDAP,SQL,LDAP,密碼管理,MIIS 2003 提供了經由下列方式進行管理密碼的能力：,由支援協助單位予以重設 由 AD 發起的變更 由網頁處理自

16、我服務的作業 由其他系統透過非 Microsoft 軟體發起的變更,密碼管理 Web 應用程式,2 種風格：,支援中心的應用程式處理密碼的重設,用戶端專屬的應用程式進行自我服務方式的密碼變更,Lotus Notes 4.6/5.0,Sun ONE Directory,Windows NT 4.0,Novell eDirectory,Active Directory,初始密碼設定/變更的請求 運用 WMI 介面進行,Web Server / ASP .Net,https,密碼管理 Web 應用程式,密碼同步,Lotus Notes 4.6/5.0,Sun ONE Directory,Window

17、s NT 4.0,Novell eDirectory,Active Directory,Active Directory,demonstration4,使用 MIIS 2003 的密碼管理,MIIS 如何同步處理不同資料存放區數位身份識別的密碼,身份識別管理：最佳實務建議,訓練開發及支援中心的人員,鑑別可能與身份識別同步處理衝突的所有現存系統或處理程序,實作前先定義所有商務規則,決定服務等級的議約,擘劃自訂程式碼的開發規範,實作災害復原計畫及保護 MIIS 的服務帳戶,議程大綱,企業安全認證機制與存取管理的挑戰 Microsoft身份識別管理的策略及解決方案 使用 IIFP 及 MIIS 管理

18、身份識別 內部網路驗證授權的挑戰和解決方案 從外部網路存取內部資源的挑戰和解決方案 如何提昇身份識別及存取管理的安全性,內部網路驗證授權的挑戰和解決方案,內部網路存取管理：有哪些挑戰？,與內部網路存取管理有關的一般商務挑戰包括：,沒有單一登入的功能 導致用戶混淆、降低生產力、增加支援與系統管理的成本 密碼重設的要求過多 增加支援中心的工作負荷 安全服務採多重且不一致的方式 一個員工每天得花費15分鐘進行各系統間的登入驗證作業,單一登入的方式 (SSO),單一登入的方式 (依照一般偏好的順序),採用 Windows 安全服務的應用程式整合 採用 Windows 目錄及安全服務的平台整合 採用 W

19、indows 目錄服務的應用程式整合 透過認證對應的間接整合 同步處理的帳戶和密碼,實作單一登入,實作單一登入的方式包括：,桌面整合式 Single Sign On,Web Single Sign On,認證對應、或企業 Single Sign On,使用認證管理員,認證管理員支援下列認證類型：,使用者名稱與密碼的組合 X.509 數位憑證 Microsoft Passport 認證,認證管理員會儲存使用者的認證，以供爾後存取資源時自動帶入,demonstration5,使用認證管理員,使用認證管理員來管理各項資源的驗證,瞭解 Windows 的授權選項,Windows Server 2003

20、 支援以下授權機制,Windows 存取控制清單架構的模型 角色架構式授權 ASP .NET 授權,瞭解 Windows Server 2003 授權管理員,授權管理員可將使用者組織成應用程式中的不同定位，依其角色賦予存取能力：,楊先民,許薰尹,應用程式伺服器檢查授權,角色架構的資源存取,授權原則存放區,楊先民 = 使用者,許薰尹 = 經理,demonstration6,使用授權管理員,使用授權管理員來管理角色架構基礎的資源存取,議程大綱,企業安全認證機制與存取管理的挑戰 Microsoft身份識別管理的策略及解決方案 使用 IIFP 及 MIIS 管理身份識別 內部網路驗證授權的挑戰和解決方

21、案 從外部網路存取內部資源的挑戰和解決方案 如何提昇身份識別及存取管理的安全性,從外部網路存取內部資源的挑戰和解決方案,外部網路存取管理：有哪些挑戰？,與外部網路存取管理有關的挑戰包括：,提供安全的 Web 工作階段 需要可靠的驗證與存取控制機制 需要包括驗證、Web SSO、授權和個人化的通用安全性模型,鑑別外部網路的注意事項,可能影響外部網路存取管理方式的事項：,虛擬私有網路或 Web SSO 存取 目錄服務選擇 Active Directory AD/AM SQL Server 或其他資料庫系統 現有應用程式 身份識別存續週期管理 密碼安全性,瞭解外部網路存取的驗證方法,使用於外部網路存

22、取的通訊協定包括：,SSL 3.0 和 TLS 1.0,Passport 驗證,摘要式驗證,表單驗證,基本驗證,瞭解外部網路存取的授權技術,外部網路的授權使用下列技術：,外部網路存取使用信任和映射帳戶,使用信任的替代方式包括：,使用映射帳戶 對應另一個目錄進行帳號屬性與密碼的變更 實作公開金鑰基礎結構的信任 外部用戶的憑證對應到內部帳號的名稱 使用限定從屬關係 限制子層CA可承認的憑證,實作安全性稽核,使用安全性稽核監視下列服務：,目錄服務 驗證 授權,安全性稽核與回報的產品和技術：,Windows 安全性事件記錄檔 WMI MOM,demonstration7,外部網路存取,設定映射帳戶與安全性稽核,議程大綱,企業安全認證機制與存取管理的挑戰 Microsoft身份識別管理的策略及解決方案 使用 IIFP 及 MIIS 管理身份識別 內部網路驗證授權的挑戰和解決方案 從外部網路存取內部資源的挑戰和解決方案 如何提昇身份識別及存取管理的安全性,如何提昇身份識別及存取管理的安全性,單元總結,後續行動,尋找其他安全性訓練活動： 註冊安全性公告： 訂購安全性指導工具： 取得其他安全性工具和相關資訊：,Questions?,謝謝大家,