IO 功能: 身分和存取管理 - 合理化至動態層級

  • 發行項
本頁內容

簡介 簡介
需求: 跨異質系統的集中式自動化使用者帳戶佈建 需求: 跨異質系統的集中式自動化使用者帳戶佈建
需求: 外部客戶及企業合作夥伴的目錄式驗證 需求: 外部客戶及企業合作夥伴的目錄式驗證

簡介

身分和存取管理是一項核心基礎結構最佳化功能,也是在基礎結構最佳化模型中實作多項功能的基礎。

下表列出在身分和存取管理中移至動態層級的高層級挑戰、適用解決方案,以及優點。

挑戰

解決方案

優點

業務挑戰

使用者仍需要支援工程師才能存取資源—無使用者佈建

缺乏清楚的組織身分識別

IT 挑戰

雖然身分是集中管理,而且設定和組態也很容易管理,但缺乏跨多個系統的單一登入

使用者每天都會收到多次驗證提示

專案

實作解決方案以集中化管理使用者佈建

實作跨組織及平台界限的聯合身分管理解決方案

業務效益

提供跨多個系統的單一登入,降低管理成本並提高使用者生產力

各種身分儲存機制都聯合連接在防火牆或受信任系統內部,以允許身分識別工作流程佈建

IT 優勢

集中化的密碼管理

自動化身分識別帳戶取消佈建,以及生命週期管理

降低支援成本與使用者停機時間

持續的身分和存取管理著重於 Microsoft 身分和存取管理系列中所述之下列功能:

請注意,上述功能在任何組織中均屬於「身分和存取管理」服務的重要部分。如需詳細資訊,請參閱 Microsoft 身分和存取管理系列 (英文)。

基礎結構最佳化模型中,身分和存取管理的標準化與合理化層級所探討的是一致化目錄服務及自動化強制設定與安全性原則的主要範圍。動態層級實作自動化的使用者帳戶佈建,並確保協力廠商安全存取網路資源,以延伸這些功能。

需求: 跨異質系統的集中式自動化使用者帳戶佈建

對象

如果您並沒有在 80% 以上的異質系統中採用集中化及自動化的工具執行使用者帳戶佈建,請閱讀本章節。

概觀

現今的大型組織針對電腦網路使用者的資訊系統佈建程序通常很複雜,且程序設計不良。例如,有些組織的新進資訊人員必須花上兩週時間,才能存取電子郵件及工作所需的應用程式。身分佈建常見的手動且工作密集的程序會提高經常性的費用、延遲員工生產力,且通常會導致不安全的網路環境。

手動管理佈建工作的速度慢,且不強制一致的存取及驗證原則。沒有可靠的自動化程序,即使嘗試實作所有想要的原則也不切實際。

組織將身分識別資訊儲存在多個儲存機制或資料儲存裝置中。使用的產品內含中繼目錄功能,可讓您同步處理現有的資料,以便維持這些儲存庫的一致性。若要移至動態層級,您必須實作及利用允許集中化和自動化佈建的技術。

階段 1: 評估

在「評估」階段,您應該遵循常見活動,這些都是當員工加入組織、調任或員工改組時、重設密碼,或對使用者目錄的其他自行驅動的一般要求時所執行的活動。任何組織中都會有這些程序或工作流程,而有些工作流程的變更會比其他變更更需要手動程序。「評估」階段會產生一個目錄,內含的工作流程可解決一般目錄佈建要求、任何存取及驗證的現有原則,以及識別變更或存取驗證的必要手動控制。從初始要求到變更解決方法一般所需的時間之記錄,也有助於規劃工作的優先順序,並於實作佈建解決方案以計算生產力提升後可使用。

階段 2: 識別

一旦您識別執行一般使用者佈建所需的基礎工作流程、原則及嘗試後,「識別」階段就會找出現有目錄或使用者活動的改進部分。

本文件強調執行「識別」階段的三個主要情形:

  • 人力資源導向佈建

  • 群組管理

  • 自助佈建

這些情形通常對應於許多與組織的帳戶佈建和目錄服務相關的挑戰,但上述項目並非完整的清單。此階段的結果是要找出在專案的「評估和規劃」階段期間,許多改善或違反目前原則事項的主要範圍。成功的準則應該包括與工作相關的效率提升,以及下列章節所述的問題修正。

人力資源導向佈建

在此情形下,同步處理識別資訊只是必要解決方案的一部分。除了能全面性的檢視您的使用者,您還需要自動化的佈建解決方案。

人力資源導向的佈建可以解決並修正以下問題:

  • 維持不同資料儲存庫的重複作業

  • 資料不一致

  • 使用者「借用」其他人的帳戶

  • 老舊的帳戶 (未立即停用或移除的帳戶)

  • 不當的存取

群組管理

組織通常會使用發佈群組以發佈電子郵件和安全性群組,方便以類似的權限將使用者分組。此處的挑戰便是管理這些不同類型的群組,以確保根據營運規則及時授與或撤銷適當的權限,同時提供最有效的電子郵件路由和最佳的使用者體驗。

沒有集中化及自動化的佈建解決方案,在佈建程序就很難將使用者分類至適當的群組中,並在使用者的工作生涯改變角色、位置及地點時管理群組。這個情形會造成使用者困擾、提高呼叫支援工程師的機會,以及將不當的存取權授與某些使用者。

群組管理可以解決並修正以下問題:

  • 新使用者的延遲存取

  • 不正確的發佈清單

  • 老舊的群組

  • 重複的電子郵件

  • 當員工離開群組卻沒有移除授權

  • 管理帳戶的數目過多

自助佈建

雖然人力資源導向的佈建通常被視為永久員工的授權來源,但卻不一定是驅使約聘人員和暫時性員工的完全自動化佈建的授權資料來源。

自助服務佈建可解決並修正以下問題:

  • 延遲約聘人員進行工作

  • 老舊的帳戶

  • 密碼傳送方式效率差或安全性低

  • 重複帳戶

階段 3: 評估與規劃

在「評估與規劃」階段,您要查看哪些技術可用於輔助自動化使用者帳戶佈建與自助作業。您應該評估並比較與工具及實作這些工具相關的功能與成本。一旦選定技術後,在規劃程序階段您應該要探討佈建技術的實作及排定不同情況的優先順序。Microsoft 提供幾項工具可讓您在異質運算環境中使用集中化及自動化的使用者佈建:

  • Microsoft Identity Lifecycle Manager 2007 (ILM 2007)

  • Microsoft Identity Integration Server (MIIS) 2003

  • 零接觸佈建 (ZTP)

Microsoft Identity Lifecycle Manager 2007

Microsoft Identity Lifecycle Manager 2007 (ILM 2007) 是建議用於自動化使用者帳戶佈建的技術。ILM 2007 提供整合性且全面性的解決方案,以管理使用者身分識別及其相關憑證的生命週期。ILM 2007 以 Microsoft Identity Integration Server 2003 (MIIS 2003) 中的中繼目錄及使用者佈建功能為基礎,並加入新的功能以管理強大的憑證,例如以 Certificate Lifecycle Manager 2007 (CLM 2007) 管理智慧卡。提供身分識別同步處理、憑證與密碼管理,以及在 Microsoft Windows® 及其他組織系統使用的單一解決方案使用者佈建。因此,組織可以定義及自動化用於管理從建立到淘汰的身分識別程序。ILM 2007 的技術資源指引內容仍持續增加,如需其他詳細資訊,請參閱 TechNet 雜誌 2007 年五月號的建立單步提供工作流程

Microsoft Identity Integration Server 2003

Microsoft Identity Integration Server (MIIS) 2003 (英文) 是一個集中化的服務,可使用多個目錄儲存及整合組織的身分資訊。MIIS 2003 的目標在於提供組織有關所有已知的使用者、應用程式及網路資源識別資訊一致性的觀點。Microsoft TechNet 提供多種資源以使用 MIIS 2003 規劃及實作自動化的使用者佈建服務,尤其是 Microsoft 身分和存取管理系列中的佈建和工作流程 (英文)。

零接觸佈建

零接觸佈建 (英文) 是指實作可讓使用者自行訂閱服務和軟體的動作、工作流程及操作。ZTP 要求身分識別必須受到管理,並將佈建從身份識別和存取服務延伸至組織中的其他 IT 服務要求。ZTP 可讓組織移轉到受管理的自助佈建入口網站,讓委派執行一般佈建工作,例如密碼重設、電子郵件佈建,以及選擇性安裝應用程式。ZTP 是以 Microsoft BizTalk Server 為基礎,並要求使用 Systems Management Server 2003。ZTP 提供基礎以可靠的方式提供企業或裝載的商業服務與應用程式,以減少在佈建階段系統管理員介入的需要。使用 BizTalk Server 2004 的初始版本 ZTP 可以從 Business Desktop Deployment Enterprise Edition 2.5 版的解決方案加速器 (英文) 下載。如需使用 BizTalk Server 2006 的零接觸佈建最新版本,請連絡 Microsoft Services (英文)。

評估技術

上列的每一項技術以及其他供應商所提供的技術,都可以幫助您自動化佈建帳戶或身分物件。此外,ZTP 解決方案還多了一層身分識別生命週期管理功能,提供一般服務要求的自動化佈建,例如新應用程式與密碼重設的自助要求及佈建。建議您在評估技術選項時閱讀強調的資源部分,以及相關的成本與實作需求。

規劃與解決方案

您可以按照設計及規劃任何其他 IT 專案的方式,設計和規劃佈建解決方案。這個程序必須收集需求,實作具備概念性與邏輯性的實體設計,建置概念驗證,然後建立專案計劃、排程及預算。如需詳細資訊,請參閱身分彙總與同步處理 (英文)。

如需有關架構 MIIS 2003 解決方案的詳細資訊,請參閱 MIIS 2003 設計與規劃集合 (英文)。

目前正在開發 ILM 2007 的專案特定指引。身分與存取管理系列 (英文) 中所強調的指引,是針對 MIIS 2003 所建置和測試的,但大部分核心的概念都可以套用至同等的功能,以及 ILM 2007 的規劃和部署目標。如需額外的指引,請造訪 ILM 2007 的技術文件庫 (英文)。

階段 4: 部署

一旦佈建解決方案經過評估且專案經過規劃後,最後的階段就是「部署」。部署工作流程和佈建解決方案有幾項先決條件,本節只著重和佈建相關的身分識別和存取:

一旦符合先決條件,實作就要設定 MIIS 2003 或 ILM 2007,並開始執行身分識別管理作業,包括匯入及同步處理所有現有的資料,以便您執行持續性的作業。

如需使用 ILM 2007 部署佈建解決方案的詳細資訊,請參閱 TechNet 雜誌 2007 年五月號的建立單步提供工作流程

如需實作 MIIS 2003 以進行使用者帳戶佈建的詳細資訊,請參閱 Microsoft 身分和存取管理系列中的實作工作流程與佈建解決方案 (英文) 這一節。

詳細資訊

如需使用者佈建的詳細資訊,請至 Microsoft TechNet 並搜尋「使用者佈建」。

若要瞭解 Microsoft 如何處理佈建,請至 https://www.microsoft.com/technet/itshowcase/content/ensidcon.mspx (英文)。

主題檢查點

需求

定義組織中目前的身分物件佈建工作流程,以及要改進或最佳化的區塊。

 

識別用於管理物件身分識別生命週期的技術。

 

實作整合式解決方案,以自動化一般使用者帳戶佈建工作流程。

如果您已經完成上列步驟,則貴組織就已達到基礎結構最佳化模型中,「集中式自動化使用者佈建」功能動態層級的最低要求。建議您遵循其他最佳作法資源的指示,以進行使用者佈建,確保使用者存取與網路安全性層級維持在已知的標準之內。

移至下一個自我評估問題

需求: 外部客戶及企業合作夥伴的目錄式驗證

對象

如果您未使用目錄型工具以啟用驗證存取外部客戶及企業合作夥伴,請閱讀本章節。

概觀

在「適用於實作人員的基礎結構最佳化規劃指南: 基本至標準化層級」指南中,探討了使用目錄服務執行使用者驗證。若要移至動態層級,核心基礎結構最佳化必須具備在需要時安全地將驗證延伸至外部客戶及企業合作夥伴的能力。大部分的組織都需要持續提供某些形式的資訊給外部客戶與企業合作夥伴。IT 組織可以使用同盟身分識別,根據其他組織的身分識別資料作決定,並分享自己的使用者身分識別的選取資訊。同盟資訊表示兩個具有相同目標的組織之間的協議,並以每一個組織可保留內部資訊、存取原則及身分識別物件管理的方式建構。

階段 1: 評估

資料與資訊難免要與貴組織的外部相關人員分享。在「評估」階段,您要清查所共用的資料,以及目前如何執行清查。「評估」階段會產生文件,列出常共用的資料與資訊的來源,並顯示同盟提供受信任的外部相關人員存取,以提升哪些部分的效率。

階段 2: 識別

視「評估」階段所識別的資源而定,您可以判斷某些現有的工作流程可以使用手動程序以控制資料流,使工作流程更安全。如果外部客戶或合作夥伴安全且經驗證的存取不會對組織造成危害,您就可以利用「識別」階段區別優先的資源、合作夥伴及客戶,以參與身分識別同盟解決方案。「識別」階段的結果將顯示一份詳細的組織清單,以及相關資源和以初始專案為目標的身分識別物件對應清單。

階段 3: 評估與規劃

在核心基礎結構最佳化模型中進行移轉,以及達到標準化層級的先決條件時,貴組織至少已具備 Active Directory 基礎結構。我們也假設在模型中合理化層級的組織已知 Active Directory 應用程式模式 (ADAM)。在「評估與規劃」階段,您要檢查可將目錄服務驗證延伸至外部相關人員的技術,主要為 Active Directory Federation Services (ADFS),以及規劃解決方案的實作。如需管理外部網路資源存取權限的其他選項,請參閱 Microsoft TechNet 上的外部網路存取管理: 外部網路存取管理方法 (英文)。

Active Directory 應用程式模式 (ADAM)

ADAM (英文) 特別為支援目錄的應用程式提供目錄服務。ADAM 並不要求或依靠 Active Directory 網域或樹系。但是,在 Active Directory 的環境中,ADAM 可以使用 Active Directory 進行 Windows 安全性原則的驗證。

Active Directory Federation Services (ADFS)

Active Directory Federation Services (ADFS) (英文) 是 Microsoft Windows Server 2003 R2 中的一個元件,即使使用者帳戶及應用程式都位於完全不同的網路或組織中,也能提供支援瀏覽器的用戶端 (網路內部或外部) 單一登入 (SSO) 存取受保護的網際網路連線應用程式。

當應用程式在一個網路中而使用者帳戶在另一個網路時,若使用者嘗試存取應用程式,通常會提示使用者提供次要認證。這些次要認證代表應用程式所在範圍內使用者的身分識別,而且裝載應用程式的 Web 伺服器通常會要求該類認證以作出適當的授權決定。

組織可以使用 ADFS 而避開次要認證的要求,提供可以用來推斷使用者數位身分識別以及受信任合作夥伴的存取權限的信任關係 (同盟信任)。在這個同盟的環境中,每一個組織都要持續管理自己的身分,但每一個組織也可以安全的推斷並接受其他組織的身分識別。

ADFS 已與 Active Directory 緊密整合。ADFS 會從 Active Directory 擷取使用者屬性,且會對 Active Directory 驗證使用者。ADFS 也會使用 Windows 整合式驗證。

使用 ADFS,您就可以延伸現有的 Active Directory 基礎結構,提供網際網路上由信任的合作夥伴所提出的資源存取。這些信任的合作夥伴可包括外部協力廠商,或貴組織中的其他部門或子公司。

同盟案例

ADFS 支援三種同盟身分識別案例:

  • 同盟 Web SSO

  • 具備樹系信任的同盟 Web SSO

  • Web SSO

移至核心基礎結構最佳化模型中的動態層級必須具備同盟 Web SSO 與 Web SSO 。

同盟 Web SSO

ADFS 同盟 Web SSO 案例包括跨越多個防火牆的安全通訊、周邊網路及名稱解析伺服器,以及整個網際網路路由基礎結構。在同盟 Web SSO 環境上的通訊有助於建立同盟信任關係的組織之間,更有效率且安全的線上交易。

圖 3. 同盟 Web SSO

圖 3. 同盟 Web SSO

具備樹系信任的同盟 Web SSO

具備樹系信任的 ADFS 同盟 Web SSO 案例在單一組織中包含兩個 Active Directory 樹系,如下圖所示。

圖 4. 具備樹系信任的同盟 Web SSO

圖 4. 具備樹系信任的同盟 Web SSO

Web SSO

在 ADFS Web SSO 案例中,使用者只需要驗證一次就可以存取多個 Web 應用程式。在這個案例中,所有使用者都是外部的,而且沒有同盟信任。因為 Web 伺服器必須可透過網際網路存取,且必須加入 Active Directory 網域,所以會連接至兩個網路,也就是說有多重主目錄。第一個網路可連接網際網路 (周邊網路) 以提供必要的連線。第二個網路包含 Active Directory 樹系 (受保護的網路),無法直接存取網際網路。

圖 5. Web SSO

圖 5. Web SSO

規劃 ADFS 實作

在規劃 ADFS 實作時,您必須考量技術必要條件、專案目標、合作夥伴或同盟計劃、同盟應用程式策略,以及基礎結構設計。

必要條件

在實作 ADFS 前,您需要具備下列服務或功能:

  • **Active Directory。**只有資源同盟伺服器才需要 Active Directory 網域。這不是用來主控客戶帳戶。

  • **ADAM。**ADAM 是用來放置要產生 ADFS 權杖的客戶帳戶。如需 Active Directory 或 ADAM 的詳細資訊,請參閱附錄 B: 檢視主要 ADFS 概念 (英文)。

  • **帳戶/資源同盟伺服器。**這個同盟伺服器同時擔任帳戶角色及資源角色。帳戶/資源同盟伺服器經過設定,因此 Federation Service 會包含應用程式以及內含客戶帳戶的帳戶存放區 (在此案例中為 ADAM) 的值。如需詳細資訊,請參閱檢視帳戶合作夥伴組織中同盟伺服器的角色 (英文),以及檢視資源合作夥伴組織中同盟伺服器的角色 (英文)。

  • **支援 ADFS 的Web 伺服器。**支援 ADFS 的 Web 伺服器可以裝載宣告感知 (Claims-Aware) 應用程式或 Windows NT® 權杖型應用程式。ADFS 網路代理程式確認在允許存取受保護的網站前,收到來自客戶帳戶的有效 ADFS 權仗。如需詳細資訊,請參閱建立支援 ADFS 的 Web 伺服器的時機 (英文)。 

  • **客戶。**客戶會在網際網路上透過支援的網頁瀏覽器,存取受到 ADFS 保護的 Web 應用程式。網際網路上的客戶用戶端電腦會直接與同盟伺服器溝通以進行驗證。

主要規劃考量

下列是規劃 ADFS 服務的技術資源指南。使用這些資源協助開發專案計劃,以實作 ADFS 服務。

階段 4: 部署

在您遵循 ADFS 設計指南 (英文) 中的指示,收集有關環境的資訊並決定 Active Directory Federation Services (ADFS) 設計後,就可以開始規劃組織的 ADFS 設計部署。您可以利用本主題所提供的完整 ADFS 設計及資訊,判斷要執行哪些工作將 ADFS 部署至貴組織中。如需部署 ADFS 的詳細技術指示,請參閱 Windows Server 2003 R2 技術文件庫的 ADFS 部署指南 (英文)。

如需設定及管理 ADFS 的逐步指南,請造訪 http://technet2,microsoft.com/WindowsServer/f/?en/library/d022ac37-9b74-4ba1-95aa-55868c0ebd8c1033.mspx (英文)。

詳細資訊

如需 ADFS 的詳細資訊,請造訪 Microsoft TechNet 並搜尋 "ADFS"。

主題檢查點

需求

 

確認對外部實體提供驗證存取權的需求與使用。

 

決定提供定義資源外部存取的策略和原則。

 

實作技術以確保已定義的外部使用者可安全存取定義的服務。

如果您已經完成上列步驟,則貴組織就已達到基礎結構最佳化模型中,「外部客戶及企業合作夥伴的目錄型驗證」功能動態層級的最低要求。建議您遵循合作夥伴和用戶端驗證的其他最佳作法資源的指引。

移至下一個自我評估問題