微软解决方案 - 用户管理和访问控制 v1.0.doc

微软解决方案 – 用户管理和访问控制 微软用户管理和访问控制解决方案-帮助企业提高管理能力和员工工作效率，提供更加安全的工作环境 问题和挑战 随着企业业务的增长以及IT技术的发展，特别是Internet发展和运用，企业内部的应用系统数量也激增。同时伴随着使用这些系统的用户也越来越多，企业在对这些系统进行用户管理和访问控制方面面临着下面的这些挑战： 1、应用系统的用户管理分散而孤立，管理成本高、权限控制和信息安全度低 企业中存在多个应用系统，每个应用系统的用户身份信息保存在本地目录和数据库中，这些目录和数据库互不相同。由此产生了大量孤立、分散的身份信息和访问管理方式，从而带来了繁重的管理负担和高昂的成本。组织的规模越大，数据库的数量和种类也越多，同时需要耗费更多的精力进行更新。 2、员工使用多套用户名和口令，工作效率低下且缺乏安全性 同时，对于使用应用系统的的主体-员工来说，使用多套身份（用户名/口令）访问多套应用系统，不仅效率低下，而且缺乏安全保障，公司对于雇员在各个应用系统中的权限也缺乏有效的管理和控制。一旦用户身份出现问题，比如忘记口令，大量的技术支持请求也将给系统运维部门带来沉重的压力。 3、缺乏集成的数字身份验证方法，企业内部系统难以与客户和合作伙伴交互 由于公司不断地扩展业务，向客户和合作伙伴开放更多的信息系统，如果没有一套集成数字身份解决方案，必然将导致与合作伙伴系统集成困难以及产生安全隐患。 解决方案概述 微软身份和访问管理解决方案使企业能够通过良好的身份和访问管理更好地与客户、合作伙伴以及雇员进行交流。本解决方案为实现身份管理解决方案提供了各种服务器和工具。这些产品旨在帮助企业简化其内部系统，同时保持必要的高度安全性、可管理性以及互用性。 该解决方案帮助企业实现下面三个方面的能力： 集中统一的用户管理 通过微软的活动目录（LDAP）统一存储管理企业IT系统的用户，提供单一可靠的用户身份管理和用户资料管理，供各个业务系统和管理系统使用。在此基础上形成企业的通讯录和组织结构管理。 自动和可定制的用户流程管理 通过自动化、可定制的用户管理流程提供对用户的统一管理，提供对用户各项信息进行增、删、改等操作维护功能。通过流程对用户进行授权管理，加强企业的安全性保障。 应用集成和统一的访问控制 通过集中的用户授权和认证，实现各个应用系统集成的访问控制、单点登陆。方便用户同时获取多个系统中的信息。 方案优势和业务收益 微软的身份和访问管理方案可以帮助进行企业用户的身份管理，便于公司改善用户和组织机构管理流程，并加强公司内部员工之间的关系、与客户和业务合作伙伴的关系。Windows、Windows Server 2003、Active Directory 和其他相关的产品为您的身份和访问管理解决方案奠定了基础。实施基于 Microsoft 产品的身份和访问管理解决方案的客户已获得了巨大的收益并节约了成本，包括： 单一、可靠的身份信息源，因此所有应用程序和系统均具有用户和其权限的可靠且必威体育精装版的视图。 通过及时删除跨系统身份（已与该企业终止关系的雇员、客户或合作伙伴），从而提高安全性能。 通过简化管理，使管理员可以在一个地方而不是在多个地方迅速添加、修改和删除用户，从而降低了管理成本。 严密的访问和安全控制，管理员可以更为精确地控制哪些资源用户访问，他们可以对资源作出哪些处理以及安全策略如何适用于这些用户与资源。 密码更少（单一登录或减少登录次数）和更好的密码管理，因此用户可以方便地访问应用程序，并减少帮助台员工管理密码问题的时间。 身份系统间的互用性，这种互用性通过基于标准的访问和验证机制来实现，该机制可以降低集成以及管理多个系统所需的时间。 对于需要建立无缝而可靠的 IT 基础结构、将最终用户、客户和合作伙伴结为一体的企业来说，身份管理解决方案必不可少。Microsoft 提供身份管理解决方案，可以帮您实现这个目标。 总体架构和主要功能模块特色 按照客户需求和功能模块，微软身份管理和访问控制的结构图如下： 上述解决方案包括了五个主要功能模块： 目录服务存储用户帐户、身份信息以及安全信息，同时提供服务管理、网络管理、网络安全控制以及IT基础架构管理的基础服务功能，这是整个微软用户管理和访问控制解决方案的核心。 目录服务的扩展服务 根据现有的安全管理需要，作为目录服务的补充，为用户提供证书服务（构建企业级PKI系统），基于硬件的智能卡管理服务，以及用户信息安全的信息权限管理服务。 身份的生命周期管理包括一些技术、流程和产品，用来实现用户创建、删除（注销）和身份变化以及策略应用过程的自动化流程管理，同时提供用户口令的自服平台。 访问控制管理管理用户身份验证的过程，同时根据信任策略和相应的应用授权策略控制用户对网络和应用资源的访