Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Глава 2: Подходы к выбору платформы
Опубликовано 11 мая 2004 | Обновлено 26 июня 2006
Установление платформы для управления идентификаторами и доступом подразумевает принятие некоторых важных решений, оказывающих заметное влияние на возможности организации в области ИТ. В первую очередь, организацией должен быть сделан выбор между комплексным решением от одного поставщика и множеством «лучших в своем роде» продуктов, которые можно интегрировать для формирования полного решения.
Комплексное решение от одного поставщика может иметь следующие преимущества:
Более простая интеграция.
Всеобъемлющая поддержка из единого источника.
Скидка или пакетное лицензирование.
У решения, составленного из лучших продуктов от разных поставщиков, могут быть (однако, не всегда) следующие преимущества:
Возможность выбора отдельных продуктов на основе имеющихся требований.
Возможность осуществлять лицензирование и развертывание только тех продуктов, которые действительно необходимы.
Многие организации пользуются преимуществами обеих моделей, выбирая отдельного поставщика (как правило, поставщика платформы) для значительной доли инфраструктуры, а затем расширяя этот базовый набор с помощью продуктов от других поставщиков, чтобы заполнить определенные пробелы функциональности. Если организацией выбран этот путь, важной обязанностью поставщика платформы является демонстрация возможности взаимодействия выбранной технологии с продуктами многих других поставщиков в области других технологий.
В остальной части этой главы рассматриваются вопросы, которые необходимо решить при выборе единой платформы или отдельного лучшего продукта в области следующих технологий:
Службы каталогов.
Службы управления доступом.
Механизмы доверия.
Средства управления жизненным циклом удостоверения.
Платформа приложений.
На этой странице
Выбор служб каталогов Выбор служб управления доступом Выбор средств управления жизненным циклом удостоверения Выбор платформы приложений Платформа управления идентификаторами и доступом Microsoft
Выбор служб каталогов
Успешное функционирование платформы управления идентификаторами и доступом требует наличия места, пригодного для хранения данных идентификации и приложений. Хотя существуют и другие варианты для хранения сведений о пользователях, использование технологии каталогов признано отраслевыми стандартами как наиболее эффективный способ решения этой задачи. Большинством служб каталогов, предлагаемых сегодня на рынке, поддерживается обычный набор возможностей, в том числе:
Поддержка протокола LDAP (облегченного протокола доступа к каталогам) или протокола DAP (протокола доступа к каталогам), либо обоих названных протоколов, на основе стандарта X.500 Международного телекоммуникационного союза (ITU).
Стандартизированные типы атрибутов на основе стандарта X.520.
Стандартизированные классы объектов на основе стандарта X.521.
Так как хранилище объектов в системе каталогов и механизмы доступа к каталогам являются согласованными в большинстве каталогов, службы каталогов нередко отличаются от других вариантов возможностями, подобными следующим:
Выполнение поиска.
Эффективность хранилища и многопроцессорной системы для масштабирования.
Выполнение репликации данных для масштабирования.
Надежные возможности переключения после отказа и восстановления.
Интеграция с различными типами служб безопасности.
Интеграция с различными типами приложений и служб управления системой.
Технологии публикации.
Тщательный контроль доступа на уровне объектов и атрибутов.
Лицензирование.
Поддержка.
Требования к каталогам могут также зависеть от роли, выполнение которой требуется от службы каталогов. Возможности, необходимые для одной роли, могут отличаться от тех, что необходимы для другой роли. Например, многим организациям требуется развертывание служб каталогов для выполнения следующих ролей:
Каталог интрасети (предприятия)
Каталог внешней сети (периметра)
Каталог приложений
В следующих разделах этой главы изложены соображения относительно каталогов в этих ролях.
Каталог интрасети
В интрасети многих организаций в настоящее время имеются одна или несколько служб каталогов. Службами каталогов интрасети должны обеспечиваться следующие возможности:
Централизованный репозиторий для учетных записей пользователей.
Централизованное безопасное хранилище учетных данных, используемых для проверки подлинности.
Централизованное хранилище данных атрибутов, используемых для авторизации.
Сведения для определения местонахождения сетевых ресурсов.
Сведения для определения местонахождения данных о людях и группах.
В дополнение к этим возможностям, чрезвычайно ценным свойством службы каталогов интрасети является пригодность к тесной интеграции со службами безопасности, нередко располагающимися в интрасети.
Каталог внешней сети
К каталогам внешней сети в большинстве организаций предъявляются те же основные требования, что и к каталогам интрасети. К дополнительным требованиям при выборе каталога, которым должна обеспечиваться поддержка приложений, используемых партнерами, клиентами и сотрудниками, относятся следующие:
Возможность масштабирования до уровня миллионов пользователей.
Экономичное лицензирование.
Поддержка для интернет-совместимых механизмов проверки подлинности.
Возможность представления нескольких отдельных сообществ или организаций (например, партнеров или клиентов) в пределах одного каталога.
Каталог приложений
Каталоги приложений развертываются в тех организациях, где технологии служб каталогов отвечают требованиям сценария, но хранение данных в каталоге невыгодно для больших наборов пользователей или приложений. В каталогах приложений обычно содержится поднабор каталогов, используемых на уровне организации, и к ним предъявляются дополнительные требования относительно управляемости и работоспособности. Каталогами приложений должны обеспечиваться следующие возможности:
Хранилище для данных, связанных с конкретным приложением.
Легкое развертывание и настройка.
Простая модель администрирования.
Разумные возможности масштабирования и переключения после отказа.
Недорогое лицензирование.
Выбор служб управления доступом
Службы управления доступом обеспечивают приложения организации возможностями надежной проверки подлинности пользователей и выполнения устойчивой авторизации. Рассматривая варианты при выборе системы управления доступом, следует отдавать предпочтение технологиям, которые успешно интегрируются с продуктом служб каталогов.
Выбор методов проверки подлинности
Требования и соображения относительно механизмов проверки подлинности могут существенно различаться в зависимости от сценария. К типичным требованиям, отличающим различные методы выполнения проверки подлинности, относятся следующие:
Какие требования могут быть предъявлены организацией пользователю?
Какую инфраструктуру можно создать и обслуживать для поддержки пользователя?
Должен ли выполняться единый вход (SSO)?
Доступ к приложениям какого типа необходим пользователю?
Хотя в пределах сценариев могут быть различия, проверка подлинности в интрасети и внешней сети предполагает один способ категоризации пользователей и применимые механизмы проверки подлинности.
Проверка подлинности в интрасети
Проверка подлинности в интрасети характеризуется следующими свойствами, влияющими на выбранные механизмы проверки подлинности:
Высокий уровень контроля (с помощью политик), определяющий параметры пользования сетью для сотрудников (пользователей компьютеров).
Полный контроль над сетевой средой и доступностью служб.
Контроль над конфигурацией пользовательских рабочих мест.
Множество типов приложений, таких как клиент/сервер, на основе Web или Microsoft® Windows® Forms.
Благодаря этим свойствам можно выбрать механизмы проверки подлинности для интрасети, обеспечивающие высокий уровень защиты при использовании единого входа. Однако для этого необходима комбинация сложной инфраструктуры, конфигурации и определенных параметров поведения пользователей. К примерам технологий проверки подлинности, соответствующих этому описанию, относятся следующие:
Протокол проверки подлинности Kerberos, версия 5.
Цифровые сертификаты X.509 для смарткарт.
Маркеры оборудования, например RSA SecurID.
Дополнительные сведения об этих технологиях см. в документе «Управление доступом в интрасети» из этой серии статей.
Проверка подлинности во внешней сети
За исключением ситуаций, когда сотрудники (и, в некоторых редких случаях, партнеры) получают доступ к ресурсам внешней сети через Интернет с использованием технологий VPN (виртуальной частной сети), веб-доступ к внешней сети имеет совершенно иной набор характеристик:
Низкий уровень контроля (с помощью политик), определяющий параметры пользования сетью для клиентов или партнеров (пользователей компьютеров).
Вне пределов периметральной сети при доступе к ресурсам внешней сети применяется низкий уровень контроля, или контроль вовсе отсутствует.
Контроль над конфигурацией пользовательских рабочих мест не осуществляется.
Для доступа необходимы, в основном, веб-приложения.
В силу этих свойств для внешней сети следует выбирать механизмы проверки подлинности, обеспечивающие адекватный уровень защиты, не предъявляя при этом пользователям нереальных требований. К примерам технологий проверки подлинности, соответствующих этому описанию, относятся следующие:
Проверка подлинности на основе форм.
Цифровые сертификаты X.509 для сотрудников.
Службы Microsoft Passport для сотрудников и партнеров.
Несмотря на чрезвычайно строгие ограничения, налагаемые средой внешней сети, пользователи внешней сети рассчитывают на ту же возможность использования единого входа для множества приложений, которая применяется пользователями интрасети. Более того, во многих организациях существует необходимость обеспечить пользователям возможность использования единого входа для различных приложений, работающих на разных платформах. В ходе развития рынка независимых поставщиков программного обеспечения (ISV) была сформулирована проблема обеспечения однократной веб-регистрации для разнородных платформ, и в настоящее время многие приемлемые решения предлагаются немалым числом поставщиков.
Дополнительные сведения об этих технологиях см. в документе «Управление доступом во внешней сети» из этой серии статей.
Реализация авторизации
Многими платформами поддерживается какая-либо форма механизма списка управления доступом (ACL) для предоставления разрешений на статические объекты, такие как файлы или принтеры. Доступ к этим объектам предоставляется пользователю или члену группы, имеющему явно предоставленное разрешение на доступ к объекту.
Кроме того, многими организациями рассматривается возможность использования какой-либо формы управления доступом на основе ролей (RBAC). Управление доступом RBAC более интуитивно и, следовательно, отличается более легкой управляемостью и большей гибкостью.
Механизмы RBAC должны .обеспечивать возможность реализации бизнес-правила для определения политики авторизации. Например, механизм RBAC должен обеспечивать применение бизнес-правила следующего типа:
Только кассиры банка могут обрабатывать сберегательные счета в период между 9:00 и 16:00.
Организации следует выбрать платформу, обеспечивающую эффективное управление доступом на основе ACL для статических объектов, наряду с устойчивым и гибким, интуитивно управляемым механизмом RBAC, пригодным для применения сложных бизнес-правил в качестве политик доступа.
Реализация механизмов доверия
Из всех технологий, обсуждавшихся до настоящего момента, реализация доверия, вероятно, является наиболее широкой технологической областью, в которой платформы отличаются друг от друга. На самом высоком уровне доверием одного компьютера наделяется другой компьютер или группа компьютеров для утверждения удостоверения пользователя. Различия между механизмами доверия в основном состоят в способах, с использованием которых компьютеры и пользователи становятся частью круга доверия.
Например, централизованные системы по своей природе являются одновременно автономными и обобщающими. Немногие организации имеют в своем распоряжении более одного мэйнфрейма; и даже в таких случаях эти компьютеры, скорее всего, не наделяют друг друга доверием как-либо иначе, кроме явного обмена паролями.
Операционные системы UNIX и Linux обычно являются либо автономными (а не членами «круга доверия»), либо элементами группировки Network Information Service (NIS) или NIS+. Рабочие места на базе UNIX и Linux можно также настроить на использование LDAP для проверки подлинности и авторизации. При этом все рабочие места, сконфигурированные для использования одного и того же экземпляра каталога, становятся частями общего круга доверия.
Чтобы стать действительно ценным средством для эффективного управления идентификаторами и доступом, платформа должна предоставлять механизмы доверия, масштабируемые до уровня всей организации или даже до уровня взаимодействия между организациями. Установление кругов доверия приведет к созданию основополагающего компонента, который можно структурировать в иерархические группировки, чтобы упростить администрирование взаимоотношений доверия на соответствующем уровне.
Выбор средств управления жизненным циклом удостоверения
Средствами управления жизненным циклом удостоверения обеспечиваются методы решения следующих основных задач, связанных с удостоверениями:
Управление пользователями.
Управление учетными данными.
Управление санкционированием.
Все платформы поставляются со средствами и интерфейсами, позволяющими администратору выполнять эти основные задачи, и это другая область, в которой рынок поставщиков интернет-услуг активно развивается с целью обеспечить удобные для пользователя возможности кросс-платформенного управления. Во многих случаях речь идет о веб-средствах, использование которых полностью отвечает сценариям управления идентификаторами во внешней сети, например, делегированию администрирования партнерской организации (при котором партнерская организация принимает на себя ответственность за администрирование своих пользователей).
Следует рассмотреть возможность использования лучших средств управления идентификаторами для сценария организации, если предоставленные платформой инструменты, разработанные для сценария интрасети, которые описываются в данной серии статей, не отвечают требованиям организации.
Реализация интеграции удостоверений
Средства интеграции удостоверений нередко представляют собой сложные продукты, функционирующие по своей собственной схеме. С помощью этих средств можно синхронизировать и статистически анализировать данные, которыми описываются цифровые удостоверения (атрибуты), во многих существующих хранилищах удостоверений в организациях. Некоторые из этих продуктов также описываются как продукты с использованием метакаталогов.
При оценке продукта, предназначенного для интеграции удостоверений, следует обратить внимание на следующие характеристики:
Сколько различных типов хранилищ удостоверений может быть подключено при использовании этого продукта?
Требуется ли наличие собственного объема (учетной записи пользователя или дополнительной таблицы) для каждого блока в подключенной системе?
Насколько устойчивы правила, которыми определяются параметры потока атрибутов между хранилищами удостоверений?
Какая среда разработки может использоваться для расширения правил, поставляемых с продуктом?
Можно ли с помощью продукта синхронизировать или распространять пароли из одного хранилища в другое?
Поддерживаются ли продуктом параллельно обработка по состоянию (основанная на текущем состоянии объекта) и обработка по событию (основанная на изменениях в пределах подключенного хранилища удостоверений)?
Успешно ли продукт интегрируется со службами каталогов платформы, которая была выбрана организацией?
Инициализация и деинициализация
Возможности инициализации и деинициализации учетных записей пользователя в множественных хранилищах удостоверений могут выступать в качестве составляющих продукта для интеграции удостоверений, либо быть реализованными в виде автономного продукта. Характеристики, на которые следует обратить внимание при оценке продуктов для инициализации, аналогичны характеристикам продукта для интеграции удостоверений. Возможность поддержки различных уровней рабочего процесса также является важной характеристикой продукта для инициализации.
Выбор платформы приложений
Среды разработки приложений обычно успешно интегрируются со своей «родной» платформой, однако при интеграции с другими платформами возникают трудности. По этой причине решение организации при выборе платформы приложений в значительной степени зависит от выбора платформы инфраструктуры для серверов приложений в используемой среде.
Многие организации выбирают разработку или поддержку приложений на двух или более платформах. Для таких организаций особенно важно понимание того, каким образом разнородные приложения могут взаимодействовать с использованием общих протоколов и преимуществ служб общей инфраструктуры. Не следует выбирать платформу приложений, которая не может успешно интегрироваться или взаимодействовать с другими платформами. Поставщики платформ приложений должны стремиться к обеспечению совместимости и поддерживать усилия по внедрению соответствующих стандартов, благодаря которым становится возможной такая совместимость.
Платформа управления идентификаторами и доступом Microsoft
В следующих разделах этой главы описываются основные продукты и технологии, составляющие платформу управления идентификаторами и доступом Microsoft, а также преимущества ее использования для организации:
Службы каталогов
В поставку Microsoft Windows Server™ 2003 включена поддержка служб каталогов Microsoft Active Directory®, а также служб каталогов приложений, именуемая Active Directory Application Mode (ADAM). На рисунке ниже демонстрируется центральная роль Active Directory и интеграция этой службы с другими технологиями Microsoft и поставщиков интернет-услуг.
.gif)
Рис. 2.1. Интеграция Active Directory с другими сетевыми компонентами
Active Directory
Служба каталогов Active Directory обладает следующими характеристиками, благодаря которым она подходит для роли службы каталогов как в интрасети, так и во внешней сети:
Централизованное местоположение для сетевого администрирования и делегирование административных полномочий. Администраторы имеют доступ к объектам, представляющим всех пользователей сети, устройства и ресурсы, а также возможность группировать объекты для удобства управления и применять политику безопасности и групповую политику.
Защита информации и однократная регистрация для доступа пользователей к ресурсам сети. Тесная интеграция с системой безопасности устраняет необходимость ресурсозатратного отслеживания учетных записей для проверки подлинности и авторизации между системами. Единственная комбинация имени пользователя и пароля удостоверяет личность каждого пользователя сети, и это удостоверение сопровождает пользователя при перемещении по всей сети.
Масштабируемость. Служба каталогов Active Directory включает один или несколько доменов, каждый с одним или несколькими контроллерами домена, что позволяет масштабировать службу каталогов для соответствия требованиям любой сети.
Гибкий глобальный поиск. Пользователи и администраторы могут с помощью средств рабочего стола осуществлять поиск по Active Directory. По умолчанию поисковые запросы направляются в глобальный каталог, что обеспечивает широкие возможности для поиска.
Хранилище для данных приложений. Active Directory предоставляет централизованное местоположение для хранения данных, совместно используемых приложениями, и данных тех приложений, которым необходимо распределять данные по всему пространству сетей на основе Windows.
Систематическая синхронизация обновлений каталогов. Обновления распределяются по сети посредством безопасной и экономичной репликации между контроллерами доменов.
Удаленное администрирование. Можно подключиться к любому контроллеру домена удаленно с любого компьютера на базе Windows, на котором установлены средства администрирования. В качестве варианта можно использовать функцию Remote Desktop для регистрации в контроллере домена с удаленного компьютера.
Единственная, изменяемая и расширяемая, схема. Схема — это набор объектов и правил, обеспечивающий структурные требования для объектов Active Directory. Можно изменять схему, чтобы реализовать новые типы объектов или свойств объектов.
Интеграция имен объектов с DNS (Domain Name System), системой определения местоположения компьютера в соответствии с интернет-стандартами. В Active Directory используется DNS для реализации системы именования на основе IP, обеспечивающей возможность определять местонахождение служб Active Directory и контроллеров доменов с помощью стандартного IP-адреса и во внутренних сетях, и в Интернете.
Поддержка LDAP. Облегченный протокол доступа к каталогам (LDAP) является отраслевым стандартным протоколом для доступа к каталогам, благодаря чему обеспечиваются широкие возможности доступа к Active Directory для приложений управления и запросов. Active Directory предоставляет поддержку LDAPv3 и LDAPv2.
Active Directory Application Mode
Active Directory Application Mode (ADAM) может использоваться в качестве службы каталогов приложений благодаря следующим характеристикам:
Простота развертывания. Разработчики, конечные пользователи и поставщики интернет-услуг могут с легкостью развертывать ADAM в качестве облегченной службы каталогов на большинстве платформ на базе Windows Server 2003 и на клиентах под управлением Microsoft Windows® XP Professional. Можно с удобством устанавливать, переустанавливать или удалять каталоги приложений ADAM, что делает эту службу каталогов идеально подходящей для развертывания вместе с приложением.
Сокращение затрат на инфраструктуру. Используя одну технологию каталогов для обеспечения нужд и сетевой операционной системы (NOS), и каталогов приложений, можно сократить общие затраты на инфраструктуру. Не требуются дополнительные расходы на обучение, администрирование или управление каталогами приложений.
Стандартизированные интерфейсы прикладного программирования (API). LDAP, интерфейсы служб Active Directory (ADSI) и язык Directory Services Markup Language (DSML) реализованы как в ADAM, так и в Active Directory. Эти возможности позволяют строить приложения на основе ADAM, а затем по мере необходимости выполнять их миграцию в Active Directory с минимальными затратами.
Усиленная безопасность. Так как ADAM интегрируется с моделью безопасности Windows, любое приложение, использующее ADAM, может проходить проверку подлинности для доступа к Active Directory по всему предприятию.
Увеличенная гибкость. Владелец приложения может с легкостью развертывать приложения, для которых включено использование каталогов, не оказывая влияния на схему каталогов для всей организации, продолжая использовать данные удостоверения и учетные данные, хранящиеся в каталоге NOS организации.
Надежность и масштабируемость. Приложения, использующие ADAM, характеризуются той же надежностью, масштабируемостью и производительностью, что и при развертывании Active Directory в среде NOS.
Дополнительные сведения об ADAM см. в документе «Введение в Active Directory Application Mode».
Службы безопасности
Следующие службы безопасности тесно интегрированы с серверами приложений Windows, клиентскими операционными системами на основе Windows и компьютерами, работающими под управлением Windows 2000 Server и Windows Server 2003 и выступающими в роли контроллеров доменов:
Протокол Kerberos версии 5 обеспечивает поддержку проверки подлинности, в том числе API-интерфейсы для использования клиентскими или серверными приложениями, наряду с центром распространения ключей Kerberos (Kerberos Key Distribution Center — KDC), интегрированным с Active Directory.
Интерфейс Microsoft SSPI — четко определенный API-интерфейс интегрированных служб безопасности для обеспечения проверки подлинности, целостности и конфиденциальности сообщений, качества безопасности для любого протокола распределенных приложений.
Сервер сертификатов открытого ключа на базе X.509, встроенный в Windows Server, позволяет организациям выдавать своим пользователям сертификаты открытого ключа для проверки подлинности вне зависимости от коммерческого центра сертификации (CA).
Протоколы SSL и TLS используют цифровые сертификаты X.509 клиента или сервера для поддержки надежной взаимной проверки подлинности и безопасной связи.
Смарткарты, обеспечивающие устойчивое к изменению хранилище для защиты секретных ключей, номеров счетов, паролей и других видов персональных данных, являются основным компонентом инфраструктуры открытого ключа (PKI), которая интегрирована корпорацией Майкрософт в платформу Windows®.
Службы Microsoft Passport предоставляют возможность использования единого входа пользователя для проверки подлинности клиента в приложениях внешней сети организации.
Списки управления доступом (ACL) для статических ресурсов. Объектно-ориентированная модель безопасности Microsoft Windows Server™ позволяет администраторам предоставлять пользователю или группе права доступа, определяющие доступ к определенному объекту.
Диспетчером авторизации обеспечивается поддержка RBAC в пользовательских приложениях.
Примечание. Диспетчер авторизации поставляется с Windows Server 2003, однако для использования диспетчера с Windows 2000 Server его необходимо загрузить со страницы Windows 2000 Authorization Manager Runtime и установить.
Аудит безопасности позволяет регистрировать изменения в объектах каталогов и события доступа с помощью журнала событий безопасности.
Службы интеграции удостоверений
Microsoft Identity Integration Server 2003, Enterprise Edition с пакетом обновлений SP1 (MIIS 2003 с пакетом обновлений SP1) включает следующие функции, которые можно использовать для оптимизации управления идентификаторами и доступом во всей организации:
статистическая обработка, инициализация и синхронизация удостоверений между разнородными хранилищами удостоверений;
агенты управления для подключения к множественным хранилищам удостоверений, включая службы каталогов, базы данных и системы электронной почты;
управление и синхронизация паролей, включая веб-приложение самообслуживания для сброса паролей;
отсутствие необходимости в собственном объеме для каждого блока в подключенных хранилищах удостоверений;
обработка синхронизации по событию или по состоянию;
простота расширения с помощью среды разработки Microsoft Visual Studio® .NET.
Версия с сокращенным набором функций, именуемая Identity Integration Feature Pack для Active Directory, предлагает следующие возможности:
- агенты управления для Active Directory, ADAM и синхронизации списка глобальных адресов (GAL).
Клиентская операционная система
Для организаций, использующих в своей деятельности Windows XP Professional, будут очевидны следующие преимущества:
поддержка встроенной проверки подлинности Windows со службами платформы для обеспечения возможности использования единого входа для служб файлов, печати и веб-приложений;
групповая политика на уровне домена для обеспечения усиленной безопасности;
дополнительные возможности единого входа между разными организациями, использующими пароли, цифровые сертификаты X.509 и учетные записи Microsoft Passport с помощью диспетчера учетных данных Windows.
Платформа разработки
Microsoft Visual Studio.NET и .NET Framework предоставляют следующие возможности:
разработка приложений с усиленным контролем прав на основе платформы управления идентификаторами и доступом от Microsoft;
сокращение затрат на разработку приложений.
Преимущества платформы
Реализация платформы управления идентификаторами и доступом от Microsoft с решениями, описанными в следующих главах настоящего документа, позволит фирме Contoso получить следующие преимущества:
единый безопасный доверенный источник идентификационных данных,причем администраторы получают надежное своевременное представление всех приложений и систем, а также всех пользователей и выданных им разрешений.
Бесшовная интеграция приложений. Платформа разработки Microsoft обеспечивает безопасные, основанные на применении стандартов механизмы проверки подлинности, авторизации и защиты данных.
Усиленная безопасность и инициализация. Удостоверения, используемые в различных системах организации для сотрудников, клиентов или партнеров, удаляются сразу по завершении их взаимоотношений с организацией.
Упрощенное администрирование и сокращение затрат на него. Администраторы могут добавлять, изменять и удалять цифровые удостоверения и допуски быстро и удобно, в одном централизованном месте.
Детальное управление доступом. Администраторы могут более тщательно управлять доступом пользователей к ресурсам, разрешенными им действиями над этими ресурсами, а также параметрами применения политик безопасности к пользователям и ресурсам на мелкоструктурном уровне.
Использование меньшего числа паролей и более качественное управление паролями. Пользователи получают более удобный доступ к приложениям, а персонал Справочной службы тратит меньше времени на решение проблем с паролями.
Совместимость систем идентификации и операционных систем. Решение обеспечивает совместимость за счет использования основанных на стандартах механизмов проверки подлинности и управления доступом, с помощью которых сокращается время, требуемое для интеграции и администрирования множественных систем.
Безопасный надежный аудит. Аудит обеспечивает необходимые сведения о том, где, когда, кто и к каким именно ресурсам получал доступ в сети.
Управление локальными учетными данными. Надежная защита хранящихся локально учетных данных паролей с использованием диспетчера учетных данных Windows.
Хотя платформа обеспечивает основные службы, необходимые для управления идентификаторами и доступом, некоторые решения должны быть реализованы с платформой для получения всех этих преимуществ. В главе 4 настоящего документа «Проектирование инфраструктуры» рассматриваются эти решения.
Загрузить
Получить серию статей по управлению идентификаторами и доступом от Майкрософт
Уведомления об обновлениях
Подписаться, чтобы получать уведомления об обновлениях и новых выпусках
Обратная связь