微软解决方案 - 用户管理和访问控制 v2.0

微软解决方案–用户管理和访问控制

微软用户管理和访问控制解决方案-帮助企业提高管理能力和员工工作效率，提供更加安全的工作环境

问题和挑战

随着企业业务的增长以及IT技术的发展，特别是Internet发展和运用，企业内部的应用系统数量也激增。同时伴随着使用这些系统的用户也越来越多，企业在对这些系统进行用户管理和访问控制方面面临着下面的这些挑战：

1、应用系统的用户管理分散而孤立，管理成本高、权限控制和信息安全度低

企业中存在多个应用系统，每个应用系统的用户身份信息保存在本地目录和数据库中，这些目录和数据库互不相同。由此产生了大量孤立、分散的身份信息和访问管理方式，从而带来了繁重的管理负担和高昂的成本。组织的规模越大，数据库的数量和种类也越多，同时需要耗费更多的精力进行更新。

2、员工使用多套用户名和口令，工作效率低下且缺乏安全性

同时，对于使用应用系统的的主体-员工来说，使用多套身份（用户名/口令）访问多套应用系统，不仅效率低下，而且缺乏安全保障，公司对于雇员在各个应用系统中的权限也缺乏有效的管理和控制。一旦用户身份出现问题，比如忘记口令，大量的技术支持请求也将给系统运维部门带来沉重的压力。

3、缺乏集成的数字身份验证方法，企业内部系统难以与客户和合作伙伴交互

由于公司不断地扩展业务，向客户和合作伙伴开放更多的信息系统，如果没有一套集成数字身份解决方案，必然将导致与合作伙伴系统集成困难以及产生安全隐患。

解决方案概述

微软身份和访问管理解决方案使企业能够通过良好的身份和访问管理更好地与客户、合作伙伴以及雇员进行交流。本解决方案为实现身份管理解决方案提供了各种服务器和工具。这些产品旨在帮助企业简化其内部系统，同时保持必要的高度安全性、可管理性以及互用性。

该解决方案帮助企业实现下面三个方面的能力：

1.集中统一的用户管理

通过微软的活动目录（LDAP）统一存储管理企业IT系统的用户，提供单一可靠的用户身份管理和用户资料管理，供各个业务系统和管理系统使用。在此基础上形成企业的通讯录和组织结构管理。

2.自动和可定制的用户流程管理

通过自动化、可定制的用户管理流程提供对用户的统一管理，提供对用户各项信息进行增、删、改等操作维护功能。通过流程对用户进行授权管理，加强企业的安全性保障。

3.应用集成和统一的访问控制

通过集中的用户授权和认证，实现各个应用系统集成的访问控制、单点登陆。方便用户同时获取多个系统中的信息。

方案优势和业务收益

微软的身份和访问管理方案可以帮助进行企业用户的身份管理，便于公司改善用户和组织机构管理流程，并加强公司内部员工之间的关系、与客户和业务合作伙伴的关系。Windows、Windows Server 2003、Active Directory 和其他相关的产品为您的身份和访问管理解决方案奠定了基础。实施基于Microsoft 产品的身份和访问管理解决方案的客户已获得了巨大的收益并节约了成本，包括：

?单一、可靠的身份信息源，因此所有应用程序和系统均具有用户和其权限的可靠且最新的视图。

?通过及时删除跨系统身份（已与该企业终止关系的雇员、客户或合作伙伴），从而提高安全性能。

?通过简化管理，使管理员可以在一个地方而不是在多个地方迅速添加、修改和删除用户，从而降低了管理成本。

?严密的访问和安全控制，管理员可以更为精确地控制哪些资源用户访问，他们可以对资源作出哪些处理以及安全策略如何适用于这些用户与资源。

?密码更少（单一登录或减少登录次数）和更好的密码管理，因此用户可以方便地访问应用程序，并减少帮助台员工管理密码问题的时间。

?身份系统间的互用性，这种互用性通过基于标准的访问和验证机制来实现，该机制可以降低集成以及管理多个系统所需的时间。

业来说，身份管理解决方案必不可少。Microsoft 提供身份管理解决方案，可以帮您实现这个目标。

总体架构和主要功能模块特色

按照客户需求和功能模块，微软身份管理和访问控制的结构图如下：

微软对身份管理和访问控制的理解

最终用户和

开发人员的体验

生产力套件

操作系统

网站

开发平台

而在每一个部分，微软都有相应的产品或者解决方案作为实现，具体如下图所示：

微软能够提供

WS-*

Microsoft Office

Windows

Web 服务器

Visual Studio

最终用户和开发人员的体验

Identity Lifecycle Manager 2007

IDA

管理的能力

合作伙伴

上述解决方案包括了五个主要功能模块： ●

目录服务

存储用户帐户、身份信息以及安全信息，同时提供服务管理、网络管理、网络安全控制以及IT 基础架构管理的基础服务功能，这是整个微软用户管理和访问控制解决方案的核心。 ●

身份的生命周期管理

包括一些技术、流程和产品，用来实现用户创建、删除（注销）和身份变化以及策略应用过程的自动化流程管理，同时提供用户口令的自服平台。 ●

强壮的用户验证服务

根据现有的安全管理需要，作为目录服务的补充，为用户提供强壮的身份验证服务，包括了证书服务（构建企业级PKI 系统），基于硬件的智能卡管理服务等。 ●

访问控制和单点登陆

管理用户身份验证后应用访问的授权过程，同时根据信任策略和相应的应用授权策略控制用户对网络和应用资源的访问行为。根据场景不同，可以分为Web 访问控制、企业间的联合访问控制、Linux/Unix 的跨平台访问控制、主机系统(Mainframe)访问控制、远程访问控制以及相应的审核和报告服务，并集成其他系统的身份认证模块，如IBM 的LDAP 。 ●

信息权限管理

往错误的接收者。

上述解决方案可以用下图概括：

微软解决方案—5个典型场景

包括了技术、平台、产品的

完整解决方案

目录服务

强壮的验证服务身份联合／单点登录

信息权限保护

身份的生命周期管理微软解决方案

案例列表和重点客户案例分析

国内主要使用本解决方案的用户列表

一个典型的国内案例——“浦东发展银行”

上海浦东发展银行是1992年8月28日经中国人民银行批准设立的，并于1993年1月9日正式开业的股份制商业银行，银行总部设在上海。为实现“把银行建在网上”的远景目标，银行的IT基础架构需要提供更多支撑。由于集中化的方案不仅有最低的系统总体拥有成本，面对未来银行的发展，它更具有高度的可扩展性和灵活性，同时更能降低系统管理维护成本，方便地实现低成本地快速扩张，实现IT管理的扁平化，因此他们在全国范围内部署了微软的身份管理和访问控制解决方案。

部署后给浦东发展银行带来的好处包括：

集中统一管理模式

减少了各分支行IT人员的压力和强度

用于请求本地和中央资源的任务将仅通过一个中央资源来完成，从而提高了一致性，减少了工作量并加快了任务周期

通过组策略，对全行客户端或应用服务器进行了统一的维护管理，在提升维护效率的同时，也降低了故障发生率，并有效地提高了用户满意度

即使本地登录服务器故障，拥有集中统一的域，用户仍旧可以用总行的服务器登录访问内部网络

为部署LCS 2005企业即时消息系统提供了基础平台架构

减少了目录复制流量

访问邮件更方便更快捷

移动用户可以用PDA/手机访问自己的邮箱

解决方案微软产品实现

整套方案将采用如下的微软及微软合作伙伴的产品：