身份和访问管理[技术文章]

ironstone

http://msdn.microsoft.com/zh-cn/library/aa480030.aspx

发布日期 : 2005-10-20 | 更新日期 : 2005-10-20
Frederick Chong
Microsoft Corporation
Fredrick Chong讨论了面向体系结构的服务（SOA）的原则和优点，尤其是当它们与身份和访问管理的技术性难题发生联系时。此外，它还可用来帮助读者理解在进行身份管理时所遇到的常见问题。

综述目前，很多IT业界的技术决策者已经听说过面向服务的体系结构（SOA）的原则和优点。虽然这样，也很少有IT组织能够将SOA的技术支持移植到实际的IT活动中。
在过去一年中，我们开发组中的一些单独的方案架构师尝试将SOA的精华提炼为以下几个领域：身份和访问管理，服务管理，实体聚合和处理集成。这四个关键的技术领域显示了所需克服的重要技术难题，也提供了一些重要的IT基础来帮助企业认识SOA的优点。
请注意，正是由于我们和企业的架构师保持频繁地交互，才使得我们能把SOA的实际难题比较、综合和分类成这些领域。我们的开发团队每年组织多次全球范围的Strategic Architect论坛。在这些活动中，我们引导一些小型讨论组来找出客户正在努力寻找的难点和技术指导。来自客户的反馈相当一致：管理身份、聚合数据、管理服务和集成事务处理中出现的问题被多次提出，这些问题正是保持更有效和更灵活结构的主要绊脚石。
此外，我们的团队同客户也开展概念验证项目来深入研究现实世界的需求和实现问题。正是通过这些与客户的广泛深入的交流，我们的Architecture Strategy团队得出了我们对于四个重要区域的结论，以供IT人士进一步研究。
本文的重点内容是对这些领域之一的身份和访问管理中的技术难题提供综述；其次是帮助读者理解这一广泛主题中经常遇到的一些问题。


简介身份和访问管理 (I&AM) 是一个相对较新的术语，对不同的人意味着不同的事情。对于 IT 专业人员来说，他们往往将它的意义归类为当前所遇到的某些身份或安全相关的问题。例如， I&AM 可以指单点登陆、密码同步、元目录、 web 单点登陆、基于角色的授权以及类似的概念。
本文的主要目的是为读者提供什么是I&AM的一个简洁且全面的综述。为了达到这个目的，我们在本文中组织信息以帮助回答以下问题：

• 数字化身份是什么？
• 身份和访问管理意味什么？
• I&AM的主要技术部分是什么？
• I&AM的各部分如何彼此联系？
• I&AM中体系结构的主要难题是什么？

数字化身份的剖析在今天的社会中，个人的身份标识可以采取不同的形式，例如驾驶证、护照、员工卡号或俱乐部会员卡。这些形式的标识包含的典型信息是所有者独特的信息，例如，名字、地址或照片，还包括权威机构颁发的信息，例如，当地机动车辆的驾驶证。
W身份的概念虽然在自然世界中是非常明白的，但对于数字化身份的定义就不一样了。为了给本文其余的讨论打好基础，这一节将用来描述数字化身份的概念（如图1所示）。我们对数字化身份的定义包含以下几部分：

• 标识符
  在给定的上下文中可以唯一标识身份主体的一段信息1。例如，电子邮件，X500区分的名字和Globally Unique Identifiers (GUIDs)。
• 凭证
  用于证明真实性的身份声明的私有或公共数据。例如，Alice输入一个密码证明她是她所声称的某人。这种机制仅在只有鉴别系统和Alice知道属于Alice的密码的前提下才有效。私有密钥和与之相关的X509公钥证书是凭证的另一个例子。
• 核心属性
  用于描述身份的数据。核心属性可以在许多业务或应用程序环境中被使用。例如，地址或电话号码是常见的属性，可供不同的业务应用程序使用或引用。
• 环境特定的属性
  用于帮助描述身份的数据，但只在使用身份的特定环境中才被引用或使用。例如，在某一企业中，雇员的首选健康计划信息是一个特定环境的属性，它会引起企业医疗保险提供部门的人注意，但对金融服务提供者没有必要

图 1. 数字化身份的剖析

ironstone

身份和访问管理是什么？

Burton Group对于身份管理的定义如下所述：“身份管理是一套业务处理过程，也是一个用于创建和维护和使用数字身份的支持基础结构。”2

在本文中，我们将身份和访问管理(I&AM)定义如下：

“身份和访问管理指的是用来管理数字化身份并控制身份如何访问资源的方法、技术和策略。”

从上面的定义中我们可以得出一些重要的结论：

I&AM是关于数字化身份的端对端的管理生命周期3。一个企业类的身份管理解决方案不应该由分离的安全技术的筒仓组成，而是应该由具有非常完整结构的技术（显示了身份生命周期中每一个阶段的细节）组成。我们将在本文的后一些章节中更多的谈论这些场景细节。

I&AM并不仅仅只关于技术，而是，包括了三个不可缺少元素：策略、过程和技术。策略指的是为了遵循规则和最佳业务实践所必须的约束和标准；过程描述了完成业务任务或功能所需要的步骤的次序；技术是自动化工具，在满足策略规定的约束和指导方针下，更加有效精确地完成业务目标。

I&AM元素彼此间的关系可显示为图2中的三角形。最有趣的部分是，它具有一个将三种元素连接在一起的反馈周期。边的长度代表了在一个给定的I&AM系统中，某一元素相对于其它元素的比例。为了将三角形维持在某一最佳位置上，改变某一元素的比例将导致其它元素的比例将自动产生相应变化（如图中三角形所示的交叉点）。

三角形的类比完美地描述出策略、过程和技术在一个健壮的I&AM系统中的关系和交互作用。每一组织都是不同的，对于某一企业来说是正确的技术、策略和过程混合比例，可能对另一个不同企业来说则是不正确的比例。因此，每一组织需要找出由它自己独一无二的三角形代表的平衡比例。

一个组织的I&AM系统不会保持静态。随着新技术的引入和采纳，新的业务模型和约束将改变整体的管理和处理过程。正如我们在前面所提到的，当某一元素发生变化时，这正是寻找新平衡的时机。因此，理解I&AM是一种过程而非目的是非常重要的。

图 2. 身份和访问系统的基本元素