作者 主題: Teched 2007 會後筆記-同盟企業暨異質平台使用者身份識別整合  (閱讀 3105 次)

0 會員 與 1 訪客 正在閱讀本文。

小徒兒

  • 鑽研的研究生
  • *****
  • 文章數: 622
    • 檢視個人資料
同盟企業暨異質平台使用者身份識別整合
講師:    蘇建榮
alan_su@uuu.com.tw
恆逸教育訓練中心(精誠資訊)

***resource
- Windows Server 2003 R2 http://www.microsoft.com/windowsserver2003/R2

- Active Directory Federation Service
http://www.microsoft.com/windowsserver2003/R2/Identity_Management  

--Federation service step by step, Using Identity Federation with Active Directory Rights Management Services Step-by-Step Guide

http://technet2.microsoft.com/windowsserver2008/en/library/e3fbbda7-40a6-4f08-ae2f-c2da3cf0493f1033.mspx?mfr=true


- Microsoft Identity and Access Vision
http://www.identityblog.com  

- Identity Management
http://www.microsoft.com/IDM

- AD
http://www.microsoft.com/AD

- View Microsoft .NET Show on ADFS
http://msdn.microsoft.com/theshow/episode047/default.asp

- Get familiar with Web Services security and identity model
http://msdn.microsoft.com/webservices/

- Attend WS-* workshops
http://msdn.microsoft.com/webservices/community/workshops/default.aspx

- Get started with WS-* using Web Services Enhancements
http://msdn.microsoft.com/webservices/building/security/






***Claim
by id password/ smart card/ip/ photo/passport/ biological Identifty

主體: name
宣告: company
簽發單位: teched

IDA : Microsoft Idnetity and Access 解決方案
IAM : Identity and Access Management
ADFS : Active Directory Federation Service


***身份識別與存取解決方案
--AD RMS 版權管理服務
    http://www.slime.com.tw/nctu/tutorial/RMS.pdf
   Windows Right Management Service




***AD CS 增強式驗證(憑證服務)
Active Directory Cerificate service


***AD DS 網域服務
AD LDS - Active Directory Lightweight Directory Services

--Active Directory Lightweight Directory Services (ADLDS) (這是一種 LDAP 目錄服務),可提供組織對啟用目錄的應用程式所需的彈性支援。與 Microsoft 「聯合身份識別」、「增強式驗證」、「資訊保護」,及「身份識別生命週期管理」解決方案整合之後,可使 Active Directory 成為是建置完整身份識別及存取解決方案的理想基礎結構。


***AD and Extranet
Single sign on (SSO)

!!challenge
企業間是否允許建立 VPN 通道
是否需要變更防火牆設定
有些應用程式需要存取其他資源
其中一方沒有 AD

代碼: [選擇]

***同盟企業聯合身份識別
--AD FS 聯合身份識別
   Active Directory Federation Services
   http://technet2.microsoft.com/Office/en-us/library/23b837d1-15d9-4621-aa0b-9ce3f1c7153e1033.mspx?mfr=true


***AD FS 優點
-- resource:
http://technet2.microsoft.com/WindowsServer/zh-CHT/Library/cb6ab1be-5af6-49d5-972d-d8fdeb21d1491028.mspx?mfr=true

**安全
v 使用 HTTPS (大多數的企業不需變更防火牆設定)
v 不需連通對方 DC 與 FS
v 不會曝露內部授權資訊

**真正單一簽入(Single Sign On)
v 存取多個站台與網站程式只需登入一次
v 使用 session cookie

*** 宣告感知型應用程式 (Claims-based )
- 需要 AD 帳戶來產生相關的授權內容
- ADFS 負責自動進行 NT Impersonation 與本機身份對應

*** NT 權杖型應用程式(NT Token-based )->write cookies in xml
- 不需要 NT token
Windows® Authorization Manager
- RBAC (Role Based Access Control) 整合
完整的從應用程式中抽象化出驗證機制
- Microsoft® ASP.NET IsInRole()
字串比對,開發人員自行提供相關授權邏輯
- ASP.NET Raw Claims API


*** 可以使用 AD LDS 作為帳戶儲存區
***  容易管理與稽核




A.  Federation Service
     同盟服務
      a.1 安全權杖服務 (STS)
    a.2 將使用者的屬性值轉換為宣告
      a.3 發行安全權杖(通行證)
    a.4 管理同盟信任原則
     a.5 Win2008/2003R2 企業版及 IIS

should be added in AD Domain

B. Federation Service Proxy
can be added in Workgroup
Let the Workgroup PC as an proxy

a.1 代理用戶端與 FS 通訊Provides UI
a.2 提供用戶端登入界面
a.3 不需要加入網域
a.4 Win2008/2003R2 企業版及 IIS
   

C. Web Agent

c.1 處理使用者驗證
c.2 根據 ADFS token 中所要求的權限產生授權內容
c.3 NT Impersonation-based 應用程式
c.4 “claims-aware” 應用程式
c.5 需要 IIS6 & Windows 2003 R2
   

-session cookie
-Active Directory over ADAM
-SSO (Single Sign On)



-AD DS or ADLDS (user identity, attribute managemnet)


Security token services (STS)


***UNIX 平台驗證整合
密碼同步
1) unix 改 windows 跟著改
 http://www.kernel.org/pub/linux/libs/pam/
2)  windows 改 unix跟著改
ssod.tar.gz

/usr/bin/ssod
/etc/sso.conf

SSOD

a.   ENCRYPT_KEY=AbCdEfGh12345
b.   PORT_NUMBER=6677
c.   SYNC_HOSTS=(domainController[, portNumber [, encryptionKey]])
 SYNC_HOSTS=(store, 6677, AbCdEfGh12345)
d.   USE_NIS=0



C) use windows AD as unix NIS master server
mount -t nis de1 /mnt

ypcat passwd >passwd
ypcat group >group


**copy the file to windows 2008
NIS Map selection
Migrate map
NIS domain


4) 2008 NIS (Master) to transfer the change to UNIX NIS slave

***password syncronization
***Microsoft Identify Management for Unix
***at least 2003 sp1



下載 ssod.tar.gz
http://go.microsoft.com/fwlink/?LinkId=59120
支援的 UNIX 作業系統
Hewlett-Packard HP-UX 11i
IBM AIX 5L 5.2
Red Hat Linux 8 & 9
Sun Solaris version 8 (x86 & SPARC)
            Solaris version 9 (SPARC)
排除特定帳戶
SYNC_USERS= all,-root
PasswordPropDeny



IDMU (Identity Management for UNIX)
密碼同步服務(Password Synchronization)
Server for NIS
讓 Active Directory 提供 NIS server 的功能
擴增 Active Directory Schema
依循 RFC 2307 規範 (partial set)
File and Print Services for UNIX
NFS 伺服器與用戶端
使用者名稱對應
Subsystem for UNIX-based Applications (SUA)
依循 POSIX 規格的子系統
需要重新編譯,甚少需要修改原始程式碼



***Identity Lifecycle Manager
ILM 2007



***
聯合身份識別 – AD FS
持續性的對資訊進行保護 – AD RMS
UNIX 平台驗證整合 – IDMU
同步識別資訊、快速的提供使用者帳戶、管理憑證與智慧卡 - ILM



--部分資料來源參考
運用Windows Server 2003 R2 之聯邦式AD 服務輕鬆達到Web 單一簽入及聯邦式身分交換
作者: 曹祖聖
http://download.microsoft.com/download/6/b/3/6b3eb4a5-1ba1-4e37-a501-73b977f9a5c8/012406_WindowsServer2003R2_ADFS.ppt