dev375-microsoftdownloadcenter

1、DEV375基于身份和訪問平臺的應(yīng)用開發(fā),藺華ISV開發(fā)合作經(jīng)理平臺及開發(fā)技術(shù)部微軟（中國）有限公司,什么是身份？,數(shù)字身份: 某一個人、組、設(shè)備或者服務(wù)的唯一標(biāo)識和說明性屬性。AD中用戶或者電腦的帳號 數(shù)據(jù)庫表中的用戶入口應(yīng)用中用戶登錄憑證需要認(rèn)證和授權(quán)的應(yīng)用都是基于身份的,,,,IntegrationServices(MIIS),DirectoryServices(AD, ADAM),AccessServi

2、ces(ADFS),微軟身份和訪問平臺Smart client SSO, web SSO, 基于請求的訪問控制, 聯(lián)合認(rèn)證自服務(wù)和委托管理元數(shù)據(jù)發(fā)布,身份和訪問管理 策略管理, 適用性評估, 報表, 執(zhí)行等 生命周期管理 與其他的系統(tǒng)的連接性,WebClients,SmartClients,WebServers,ServerServices,,Microsoft和Non-Microsoft,微軟身份和訪問平臺,

3、我們今天要解決什么問題？,對于那些把AD作為基礎(chǔ)目錄服務(wù)的機構(gòu)對于那些要跟蹤自己的資產(chǎn)的機構(gòu)或者，有相應(yīng)需求的部門等充分利用已有的架構(gòu)也可以開發(fā)其他的一些解決方案: 自服務(wù)應(yīng)用來管理自己的資產(chǎn) 針對管理員的全服務(wù)管理功能,,認(rèn)證,Sync,,推薦的解決方案,資產(chǎn)跟蹤管理系統(tǒng),我們將學(xué)習(xí)到:User experience with the applicationsHow various app requirements a

4、re met by this solutionVisualize the end result – you can now move towards this solution,應(yīng)用開發(fā)的需求,訪問管理認(rèn)證(Authentication)授權(quán)(Authorization)存儲下面的信息：用戶憑證和其他信息數(shù)據(jù)應(yīng)用程序數(shù)據(jù)和配置數(shù)據(jù),我們認(rèn)證的需求,認(rèn)證:確認(rèn)某人是不是他說的那個人的方法應(yīng)用程序的需求:增加帳戶但是不增

5、加麻煩允許非常靈活和可擴展的增加新的用戶,認(rèn)證的一些選項,單點登陸基本/摘要HTTP基本的發(fā)送明文的密碼基于表單 在應(yīng)用表單中輸入用戶和密碼CookieLDAP (Light Directory Access Protocol 輕量級目錄訪問協(xié)議),強有力的認(rèn)證支持單點登陸(SSO):當(dāng)客戶端連接到域時候，操作系統(tǒng)內(nèi)建的功能就支持SSO非微軟客戶端也可以通過合作伙伴的產(chǎn)品來實現(xiàn)SSO在域中使用很好的擴展了集成認(rèn)證

6、/授權(quán)的功能能通過ADFS來實現(xiàn)跨機構(gòu)的聯(lián)合認(rèn)證富客戶端和Web應(yīng)用都能夠充分利用集成認(rèn)證IIS 集成整合 非常簡單,集成認(rèn)證,強烈推薦！,怎么用在我們的解決方案中？,Windows集成認(rèn)證Web 應(yīng)用: 不需要任何代碼富客戶端:滿足需求充分利用AD來做認(rèn)證單點登陸（SSO）可擴展性: 很容易添加新的用戶,,API: AcceptSecurityContext(),,,Server,Authentication,

7、認(rèn)證的解決方案,Sync,應(yīng)用開發(fā)的需求,訪問管理認(rèn)證(Authentication) ?授權(quán)(Authorization)存儲下面的信息：用戶憑證和其他信息數(shù)據(jù)應(yīng)用程序數(shù)據(jù)和配置數(shù)據(jù),我們授權(quán)的需求,授權(quán): 基于身份來允許或者拒絕執(zhí)行某個任務(wù)應(yīng)用程序的需求:不用代碼在應(yīng)用中授權(quán)管理需要能夠進行許可/拒絕訪問操作不同的應(yīng)用需要使用相同模式(scheme),授權(quán)的選項,授權(quán)管理器 (AzMan)ADFSWind

8、ows ACL(訪問控制列表)模式最方便的授權(quán)訪問模式LDAP 授權(quán)授權(quán)信息以數(shù)據(jù)的形式存儲應(yīng)用服務(wù)器都以合適的方式訪問這些信息COM+ 和 ASP.NET 角色,Mary(Admin),Bob(User),基于角色的授權(quán) API管理角色而不是ACL對象簡化報表和審計過程基于查詢的組能很好的捕捉業(yè)務(wù)動態(tài)應(yīng)用程序用在AzMan里定義好的角色來進行授權(quán)在設(shè)計時建立角色策略,,,,InfrastructureDire

9、ctory,,authorization,Server,Authentication,授權(quán)管理器,強烈推薦?。?授權(quán)管理器 API,內(nèi)嵌于Windows Server 2003, Windows 2000 可以下載安裝該組件在AD/ADAM中針對角色和策略的可伸縮的, 應(yīng)用程序特定的存儲,,'------- at application boot --AzPol.Initialize 0,“msldap://Server:p

10、ort/CN=MyStore,DC=…App = AzStore.OpenApplication(“AssetTracker")'------- at client Connect --Context = App.InitializeClientContextFromName'------- on request --Context.AccessCheck(“ViewRpt",Scope

11、,Operations,Names,Values)Context.GetRoles (),怎么用在我們的解決方案中？,滿足需求一致的角色映射, 跨應(yīng)用重用管理員在AzMan中完成角色指配，而不是在代碼中完成,授權(quán)管理器極易使用的 API:,,授權(quán)的解決方案,Authentication,ADAM,AuthZ,Sync,訪問管理,我們將學(xué)習(xí)到:Integrated authenticationAuthorization : A

12、zMan roles, tasksNew user has no access, admin adds to group, automated access; disabled user, access automatically denied,應(yīng)用開發(fā)的需求,訪問管理認(rèn)證(Authentication) ?授權(quán)(Authorization) ?存儲下面的信息：用戶憑證和其他信息數(shù)據(jù)應(yīng)用程序數(shù)據(jù)和配置數(shù)據(jù),數(shù)據(jù)存儲: 用戶

13、憑證和其他信息數(shù)據(jù)應(yīng)用程序數(shù)據(jù)和配置數(shù)據(jù)應(yīng)用程序的需求充分利用已有的基礎(chǔ)架構(gòu)和數(shù)據(jù)可伸縮，穩(wěn)定的存儲無縫的安裝和配置 易于管理,數(shù)據(jù)存儲的需求,數(shù)據(jù)存儲的選項,數(shù)據(jù)庫目錄關(guān)鍵因素編程和數(shù)據(jù)模型開發(fā)的經(jīng)驗管理成本及其經(jīng)驗易于部署參看更多信息: http://www.microsoft.com/adam,對于用戶來說,用活動目錄(AD)來存儲身份數(shù)據(jù)組織范圍內(nèi)的用戶信息都存放在AD支持基于標(biāo)準(zhǔn)的認(rèn)證支持 (Ke

14、rberos, SSL, Digest)在添加另外的身份存儲時不會帶來身份危機,強烈推薦！,,,,Infrastructure Active Directory,,Client,Server,App partition,LDAP,AD 針對整個組織范圍的應(yīng)用程序數(shù)據(jù) 針對對安全性要求很高的應(yīng)用ADAM 針對應(yīng)用程序數(shù)據(jù) – 相當(dāng)獨立應(yīng)用特定的用戶數(shù)據(jù)或者配置信息利用Windows身份機制,Sync,應(yīng)用程序數(shù)據(jù)的存儲,目錄

15、訪問 API,托管代碼:System.DirectoryServices : 簡單易用的高度抽象的對象模型System.DirectoryServices.Protocols : 針對高性能的目錄應(yīng)用提供了全面的LDAP訪問能通過 ADO.NET進行有限的訪問本地代碼Active Directory Service Interfaces (ADSI) LDAP Win32 API(C and C++),托管代碼實例,,--

16、UsersContainer entryreturn new DirectoryEntry(string.Format("CN=Users,{0}", partitionName), null, null, AuthenticationTypes.Secure | AuthenticationTypes.Sealing | AuthenticationTypes.Signing);-- SaveAsset

17、 (SortedList attributes, string className) string cn = ((AttributeInfo)attributes["cn"]).Value;// Add a new but empty child entry to the Asset container DirectoryEntry newEntry = AssetContainer.Children.A

18、dd(string.Format("CN={0}", cn), string.Format("{0}{1}",schemaPrefix, className));// Commit the changesnewEntry.CommitChanges();-- Search in the directoryDirectorySearcher search = new Di

19、rectorySearcher(topEntry); search.Filter = string.Format("({0})", entryCriteria);return search.FindAll();,,數(shù)據(jù)存儲的解決方案,Authentication,ADAM,Store/Retrieve Data,Sync,身份和數(shù)據(jù)存儲,我們將學(xué)習(xí)到:User in AD and app data in