logging in or signing up win2003 topic14 Dolorada Download Post to : URL : Related Presentations : Share Add to Flag Embed Email Send to Blogs and Networks Add to Channel Uploaded from authorPOINTLite Insert YouTube videos in PowerPont slides with aS Desktop Copy embed code: (To copy code, click on the text box) Embed: URL: Thumbnail: WordPress Embed Customize Embed The presentation is successfully added In Your Favorites. Views: 221 Category: Entertainment License: All Rights Reserved Like it (0) Dislike it (0) Added: February 21, 2008 This Presentation is Public Favorites: 0 Presentation Description No description available. Comments Posting comment... Premium member Presentation Transcript 實戰MIIS 2003自動化統合數位身份的認證機制: 實戰MIIS 2003自動化統合數位身份的認證機制 時 間:2005/4/1 (五) PM13:30~16:30 主講人:許俊龍 恆逸教育訓練中心系統工程部 認 證:MCT、MCSE、MCSA、MCPs議程大綱: 議程大綱 企業安全認證機制的挑戰 Microsoft身份識別管理的策略及解決方案 MIIS 2003的功能介紹 MIIS 2003的應用技巧與部署方式 使用MIIS 2003自動化管理企業的識別資訊 企業安全認證機制的挑戰身份識別資訊的管理: 身份識別資訊的管理 身份識別-Identity 人、群組、資源(電腦、印表機… 等),或任何希望被保存「事項」的彙整資訊 姓名、E-Mail、地址、電話號碼、職務、部門、成員清單、地區… 通常存放在企業內各種不同、不相容的目錄或資料庫中 易產生不一致、衝突風險、管理成本與挫折、安全弱點 身份識別整合系統 儲存、整合企業中多個存放機制內的上述資訊 根據符合企業處理程序、可組態的規則 在這些目錄之間傳送維持一致性所需的資料企業安全認證機制的挑戰: 使用者 管理 有太多的目錄需要管理 使用者資料不只有在目錄之中 無企業處理整合 桌面 管理 桌面安全性的管控不足 有太多桌面的設定 無自動化的軟體部署 應用程式 管理 異質安全性架構 多種管理範本 如何彈性與延展至網際網路 企業安全認證機制的挑戰身份識別資訊的生命週期: 身份識別資訊的生命週期 新進用戶 使用者 ID 的建立 賦予憑證 存取權限 帳號變更 職務昇等 調動工作 新增特權 屬性異動 密碼維護 強固式密碼 “遺失”密碼 密碼重設 用戶退職 刪除 / 凍結 帳號 刪除 / 凍結 權利企業的成本: 企業的成本 增加系統管理的成本 密碼重設是一項顯著的成本 識別資訊的手動更新 支援中心的部署、軟體安裝的組態與除錯 降低生產力 用戶等待存取所需的系統或軟體 太多的密碼導致更多詢問支援中心的請求 過時的識別資訊增加失敗的因素 安全洩漏的風險增加 系統存取不夠快速或不完整 難以要求跨公司使用強制的安全原則 任一新憑證帶來未經授權存取風險的提昇議程大綱: 議程大綱 企業安全認證機制的挑戰 Microsoft身份識別管理的策略及解決方案 MIIS 2003的功能介紹 MIIS 2003的應用技巧與部署方式 使用MIIS 2003自動化管理企業的識別資訊 Microsoft身份識別管理的策略及解決方案Microsoft的策略及解決方案 滿足現今客戶的需求: Microsoft的策略及解決方案 滿足現今客戶的需求Microsoft的解決方案 管理識別資訊的生命週期: Microsoft的解決方案 管理識別資訊的生命週期 Microsoft Identity Integration Server 目錄同步 (Meta) 自動化的帳戶提存 整合式單一步驟的工作流程 自我服務的密碼管理 Host Integration Server 延伸Windows單一簽入至RACF 延伸Windows單一簽入至0S/400 雙向密碼同步 Windows Services for UNIX AD整合NIS伺服器 密碼同步 UNIX使用者名稱對應 產品與服務- 簡化管理識別資訊的生命週期 帳號目錄Slide11: MIIS 界面說明 身份識別管理員(Identity Manager) 提供五大工具 必須在 MIIS Server 上執行 demonstration議程大綱: 議程大綱 企業安全認證機制的挑戰 Microsoft身份識別管理的策略及解決方案 MIIS 2003的功能介紹 MIIS 2003的應用技巧與部署方式 使用MIIS 2003自動化管理企業的識別資訊 MIIS 2003的功能介紹企業目錄的理想願望: 企業目錄的理想願望 “Enterprise Directory” 身份識別資訊的單一存放機制 可被多種應用程式重複使用 集中管理、提存、架構 人事系統 基礎結構 應用程式 Lotus Notes 應用程式 內部 應用程式 商業性現成 應用程式 約聘人員系統 自定 應用程式 識別資訊平台真正發生的狀況是…: 真正發生的狀況是… 身份識別混沌-Identity Chaos 身份識別資訊的多種存放機制 多個用戶代號、多個密碼 分散管理、點對點資料共享 中介檔案 -Flat Files 與 手動傳遞資料 -Sneaker-net Enterprise Directory 人事系統 基礎結構 應用程式 Lotus Notes 應用程式 內部 應用程式 商業性現成 應用程式 約聘人員系統 自定 應用程式改善的機會:身份識別整合: 改善的機會:身份識別整合 身份識別整合 “身份識別整合” 堅實穩固整合身份識別的軟體 人事系統 基礎結構 應用程式 Lotus Notes 應用程式 內部 應用程式 商業性現成 應用程式 約聘人員系統 自定 應用程式 Enterprise DirectoryMIIS 2003的目標: MIIS 2003的目標 易於設計、部署與處理任何企業規模的身份識別管理基礎結構 現有最小企業約有 1500個、最大則超過 600萬個使用者 管理數以百計的客戶進行 5 年以上的部署經驗 支援群組、密碼的管理及全域通訊、分散式清單的同步 擁有範圍廣大並持續擴展的連線能力 整合現有技術 SQL Server-可靠度與擴充性 Visual Studio-延伸開發與除錯能力 .NET Framework 與 XML Microsoft 身份識別管理系統中第三個主要的發行版本 簡化企業的身份識別管理: 簡化企業的身份識別管理 身份識別資料 提存與工作流程 自動化帳號的建立與刪除 目錄同步 Active Directory 與 ADAM Sun/iPlanet Directory Novell eDirectory Microsoft SQL Server 2000 與 7 Oracle 9i/8i IBM DB2 Lotus Notes 5.x/6.x Microsoft Exchange 5.5、2K、2K3 Microsoft NT 4.x DSML、LDIF、CSV、固定寬度文字 ….. 密碼管理 使用者自我服務的密碼變更 支援中心進行密碼重設 商務應用程式MIIS 2003 的主要元件: MIIS 2003 的主要元件 Connected Directory Connected Directory Connected Directory Management Agent Management Agent Management Agent 文字檔 檔案基礎的 MA 呼叫基礎的 MAs 連結資料的來源Slide19: MIIS in Action 建立管理代理(Management Agent-MA) 尋找與檢視連結器空間(Connector Space-CS) HR Database demonstrationMIIS 2003 的資訊流動: MIIS 2003 的資訊流動 人事資料庫 eMail 系統 1) Staging 2) Staging 3) Projection 4) Joining 5) Attribute Flow 7) Provisioning Directory 8) Export Suzan Fine 6) Export Employee #Slide21: MIIS 架構元件 建立管理代理(Management Agent-MA) 尋找與檢視連結器空間(Connector Space-CS) Salary Database demonstration提存與工作流程: 提存與工作流程 提存與取消提存 提存出現在各個已獲授權系統中的用戶 設定屬性的初始值(含密碼) 停用或刪除帳號 複雜工作流程 初始工作流程或提存系統 與協力廠商整合 Eg., Blockade, Netegrity/Business Layers, M-Tech, OSM 計劃加入服務供應標記語言-SPML 的支援能力聘僱流程的情境: 聘僱流程的情境聘僱流程的情境(提存): 聘僱流程的情境(提存) 人事 系統 Metadirectory Notes 約聘人員 系統 AD/AM SQL Server iPlanet Directory Active Directory Lotus Notes File LDAP LDAP SQL LDAP解聘流程的情境 : 解聘流程的情境 遭解聘者的主管經由 Web介面同意帳號的刪除解聘流程的情境(取消提存): 解聘流程的情境(取消提存) 人事 系統 Metadirectory Notes 約聘人員 系統 AD/AM SQL Server iPlanet Directory Active Directory Lotus Notes File LDAP LDAP SQL LDAP目錄同步: 目錄同步 同步多種存放機制 “Agentless” 連線至其他系統 提供屬性階層的控制 管理全域通訊清單 (GAL) 管理分散式清單(DL) 自動化群組與管理 iPlanet SQL OracleSlide28: 延展與對應 同步 CS 至 Metaverse(MV)之中 Metaverse 的尋找 demonstration身份結合流程的情境: 身份結合流程的情境 人事 系統 Metadirectory iPlanet Directory Active Directory Lotus Notes givenName sn title mail employeeID telephone Klarek Cenntt 008 givenName sn title mail employeeID telephone givenName sn title mail employeeID telephone Clark Kennttt 007 givenName sn title mail employeeID telephone Klarke Kent Superhero 007 867-5309 Clark Kent 007 Reporter Clark@contoso.com 867-5309 Clark Kent Reporter Clark@contoso.com 007 Project to Metaverse 007 007 Join on employeeID JOINED JOINED 007 007 Join on employeeID JOINED Join on employeeID JOINED 屬性流程的情境-Aggregation: 屬性流程的情境-Aggregation 人事 系統 Metadirectory iPlanet Directory Active Directory Lotus Notes FirstName LastName EmployeeID Title E-Mail Telephone givenName sn title mail employeeID telephone Klarek Cenntt 008 givenName sn title mail employeeID telephone givenName sn title mail employeeID telephone Clark Kennttt 007 givenName sn title mail employeeID telephone Klarke Kent Superhero 007 867-5309 Clark Kent 007 Reporter Clark@contoso.com 867-5309 Clark Kent Reporter Clark@contoso.com 007 身份 資料 彙集屬性流程的情境-Convergence: 屬性流程的情境-Convergence 人事 系統 Metadirectory iPlanet Directory Active Directory Lotus Notes FirstName LastName EmployeeID Title E-Mail Telephone givenName sn title mail employeeID telephone Klarek Cenntt 007 givenName sn title mail employeeID telephone givenName sn title mail employeeID telephone Clark Kennttt 007 givenName sn title mail employeeID telephone Klarke Kent Superhero 007 givenName sn title mail employeeID telephone 867-5309 Clark Kent 007 Reporter 867-5309 Clark Kent Reporter Clark@contoso.com 007 Clark@contoso.com Clark Kent Reporter Clark@contoso.com 867-5309 Reporter Clark@contoso.com 867-5309 Clark Kent Clark@contoso.com Clark Reporter 867-5309 身份 資料 仲裁屬性流程的情境-Integrity Enforcement: 屬性流程的情境-Integrity Enforcement 人事 系統 Metadirectory iPlanet Directory Active Directory Lotus Notes FirstName LastName EmployeeID Title E-Mail Telephone givenName sn title mail employeeID telephone 007 givenName sn title mail employeeID telephone givenName sn title mail employeeID telephone Clark 007 givenName sn title mail employeeID telephone Kent 007 givenName sn title mail employeeID telephone 867-5309 Clark Kent 007 867-5309 Clark Kent Reporter Clark@contoso.com 007 Clark@contoso.com Kent Reporter 867-5309 Reporter Clark@contoso.com 867-5309 Clark Kent Clark@contoso.com Clark Reporter 867-5309 身份 資料 強制整合 007 Superhero Superhero Superhero Superhero Reporter SuperheroSlide33: 同步 Metaverse 內的不同資訊 結合(Joiner) demonstration密碼管理Web應用程式: 密碼管理Web應用程式 2 種風格: 支援中心的應用程式用來管理密碼的重設 用戶端專屬的應用程式進行自我服務處理密碼的變更密碼管理 Web 應用程式: 密碼管理 Web 應用程式 Lotus Notes 4.6/5.0 Sun ONE Directory Windows NT 4.0 Novell eDirectory Active Directory 初始密碼設定/變更的請求 運用 WMI 介面進行 https 密碼管理: 密碼管理 WMI 架構的 Web 應用程式 同步設定或變更指定用戶多個帳號的密碼 可輕易整合協力廠商的密碼同步產品 需啟用密碼管理的功能議程大綱: 議程大綱 企業安全認證機制的挑戰 Microsoft身份識別管理的策略及解決方案 MIIS 2003的功能介紹 MIIS 2003的應用技巧與部署方式 使用MIIS 2003自動化管理企業的識別資訊 MIIS 2003的應用技巧與部署方式MIIS協助降低企業的成本: MIIS協助降低企業的成本 增加系統管理的成本 密碼重設是一項顯著的成本 識別資訊的手動更新 支援中心的部署、軟體安裝的組態與除錯 降低生產力 用戶等待存取所需的系統或軟體 太多的密碼導致更多詢問支援中心的請求 過時的識別資訊增加失敗的因素 安全洩漏的風險增加 系統存取不夠快速或不完整 難以要求跨公司使用強制的安全原則 任一新憑證帶來未經授權存取風險的提昇企業節省了: 企業節省了 目錄同步 “提昇用戶資料的更新量:$185 per user/year” “提昇表單的管理:$800 per list” - 為數龐大的資料群組 密碼管哩 “密碼重設成本範圍由 $51 (best case) to $147 (worst case).” – Gartner 用戶提存 “提昇 IT 的效率:$70,000 per year per 1,000管理用戶” “降低支援中心的成本: $75 per user per year” -為數龐大的資料群組 Slide40: 將 Metaverse 寫回連結資料之中 匯出(Export) demonstrationCustomer Examples: Customer Examples MIIS 管理員工的提存 密碼重設降低支援中心的成本 提昇堅固的安全性 超過 80 個系統進行身份管理 自動管理 1000 個經銷商 包含 X.500、目錄與資料庫 經由 MIIS 處理 220,000 個員工的管理 員工得以運用 Web 架構的自我服務 MIIS 節省支援中心 500 person-hours/dayCustomers: Customers Customers: Customers SABMiller plc Uni/Zentrum議程大綱: 議程大綱 企業安全認證機制的挑戰 Microsoft身份識別管理的策略及解決方案 MIIS 2003的功能介紹 MIIS 2003的應用技巧與部署方式 使用MIIS 2003自動化管理企業的識別資訊 使用MIIS 2003自動化管理企業的識別資訊售價與套件: 售價與套件 MIIS 2003 Enterprise Edition $24,999/processor 透過 Open 及 Select 大量授權方案取得 MSDN Universal 進行開發、測試 包含所有管理代理程式+各系統的統合 需要 SQL Server 2000 Enterprise Edition 做為其後端資料儲存機制 Identity Integration Feature Pack(IIFP)for AD 免費網頁下載 AD 與 ADAM 管理代理程式 支援 Exchange 全域通訊清單的同步 需要 SQL Server 2000 Standard 或 Enterprise Edition MIIS 2003 Enterprise Edition 及 IIFP for AD都需安裝在 Windows Server 2003 Enterprise EditionMIIS 2003 連結器: MIIS 2003 連結器 AD/Exchange 2000/Exchange 2003 ADAM SunOne Directory (iPlanet) SQL Oracle IBM DB2 DSML 2.0 LDAP Directory Interchange Format (LDIF) Delimited Text Fixed-Width Text Attribute-Value Pair Text NT4 Exchange 5.5 Lotus Notes 4.6, 5.0 and 6.5 Novell eDirectory 8.62/8.7 Informix, DB2, dBase, Access, Excel, OLE DB via SQL DTS 其他 LDAP 架構與 RDBMS 系統MIIS 產品藍圖: 2004上半 SP1 Extend支援 HP-UX, A/IX, Red Hat Linux, SUSE Linux, Solaris, NIS, NIS+, AS/400, ERP Systems (PS, SAP) 無須撰寫程式的提存作業 可計算的群組成員 自我服務密碼重設 工作流程與核可 報表模組 MIIS 作為應用程式的平台 全新的自我服務應用程式 延展支援 IBM DB2 IBM Directory Server Lotus Notes 6.5 Novell eDirectory 8.7.x RACF ACF2 Top Secret SDK 密碼同步 MIIS 產品藍圖 MIIS 3.5 “Gemini” MIIS 4.0 “Longhorn”密碼同步: 密碼同步 Lotus Notes 4.6/5.0 Sun ONE Directory Windows NT 4.0 Novell eDirectory Active Directory Active Directory 密碼同步: 密碼同步 SP1 的新功能,在所有 DC 上安裝 擷取AD變動的密碼傳遞至其他連結的資料 密碼變更通知服務(Password Change Notification Service-PCNS) 需先擴展 AD Schema 必須是Schema Admins成員在Forest Root Domain的Schema Master上 執行Msiexec /I “Password Change Notification Service.msi” SCHEMAONLY=TRUE 啟用 Password Synchronization 的功能 Identity Manager、Tools、Options 設定服務主要名稱(Service Principal Name-SPN) Setspn.exe -A MIIS電腦名/MIIS的FQDN 網域名\MIIS服務帳號名複雜的 MIIS 結構: 複雜的 MIIS 結構依需要診斷 MIIS 的狀況: 依需要診斷 MIIS 的狀況 確認適當的身份同步與找到錯誤 找出所有特定身份的同步錯誤MIIS 的圖形檢視: MIIS 的圖形檢視 顯示整個 MIIS 的拓樸環境 單一檢視提供深入了解 MIIS 的基礎結構 快速指出與快速診斷 MIIS 的問題Slide53: 密碼重設 Web 界面 MIISPasswordSet 群組成員可以管理 http://vpc-win2003cht/miis/ps/default.aspx MIISBrowse 群組成員可以檢視資訊 一般用戶自我服務(變更自己密碼) http://vpc-win2003cht/miis/pc/default.aspx demonstration結論: 結論 降低管理成本 全域通訊清單的管理 群組的管理 支援中心處理密碼重設 提昇生產力 用戶自我服務 更快的存取系統 提昇安全性 快速的取消提存 iPlanet SQL OracleQuestions?: Questions? You do not have the permission to view this presentation. In order to view it, please contact the author of the presentation.
win2003 topic14 Dolorada Download Post to : URL : Related Presentations : Share Add to Flag Embed Email Send to Blogs and Networks Add to Channel Uploaded from authorPOINTLite Insert YouTube videos in PowerPont slides with aS Desktop Copy embed code: (To copy code, click on the text box) Embed: URL: Thumbnail: WordPress Embed Customize Embed The presentation is successfully added In Your Favorites. Views: 221 Category: Entertainment License: All Rights Reserved Like it (0) Dislike it (0) Added: February 21, 2008 This Presentation is Public Favorites: 0 Presentation Description No description available. Comments Posting comment... Premium member Presentation Transcript 實戰MIIS 2003自動化統合數位身份的認證機制: 實戰MIIS 2003自動化統合數位身份的認證機制 時 間:2005/4/1 (五) PM13:30~16:30 主講人:許俊龍 恆逸教育訓練中心系統工程部 認 證:MCT、MCSE、MCSA、MCPs議程大綱: 議程大綱 企業安全認證機制的挑戰 Microsoft身份識別管理的策略及解決方案 MIIS 2003的功能介紹 MIIS 2003的應用技巧與部署方式 使用MIIS 2003自動化管理企業的識別資訊 企業安全認證機制的挑戰身份識別資訊的管理: 身份識別資訊的管理 身份識別-Identity 人、群組、資源(電腦、印表機… 等),或任何希望被保存「事項」的彙整資訊 姓名、E-Mail、地址、電話號碼、職務、部門、成員清單、地區… 通常存放在企業內各種不同、不相容的目錄或資料庫中 易產生不一致、衝突風險、管理成本與挫折、安全弱點 身份識別整合系統 儲存、整合企業中多個存放機制內的上述資訊 根據符合企業處理程序、可組態的規則 在這些目錄之間傳送維持一致性所需的資料企業安全認證機制的挑戰: 使用者 管理 有太多的目錄需要管理 使用者資料不只有在目錄之中 無企業處理整合 桌面 管理 桌面安全性的管控不足 有太多桌面的設定 無自動化的軟體部署 應用程式 管理 異質安全性架構 多種管理範本 如何彈性與延展至網際網路 企業安全認證機制的挑戰身份識別資訊的生命週期: 身份識別資訊的生命週期 新進用戶 使用者 ID 的建立 賦予憑證 存取權限 帳號變更 職務昇等 調動工作 新增特權 屬性異動 密碼維護 強固式密碼 “遺失”密碼 密碼重設 用戶退職 刪除 / 凍結 帳號 刪除 / 凍結 權利企業的成本: 企業的成本 增加系統管理的成本 密碼重設是一項顯著的成本 識別資訊的手動更新 支援中心的部署、軟體安裝的組態與除錯 降低生產力 用戶等待存取所需的系統或軟體 太多的密碼導致更多詢問支援中心的請求 過時的識別資訊增加失敗的因素 安全洩漏的風險增加 系統存取不夠快速或不完整 難以要求跨公司使用強制的安全原則 任一新憑證帶來未經授權存取風險的提昇議程大綱: 議程大綱 企業安全認證機制的挑戰 Microsoft身份識別管理的策略及解決方案 MIIS 2003的功能介紹 MIIS 2003的應用技巧與部署方式 使用MIIS 2003自動化管理企業的識別資訊 Microsoft身份識別管理的策略及解決方案Microsoft的策略及解決方案 滿足現今客戶的需求: Microsoft的策略及解決方案 滿足現今客戶的需求Microsoft的解決方案 管理識別資訊的生命週期: Microsoft的解決方案 管理識別資訊的生命週期 Microsoft Identity Integration Server 目錄同步 (Meta) 自動化的帳戶提存 整合式單一步驟的工作流程 自我服務的密碼管理 Host Integration Server 延伸Windows單一簽入至RACF 延伸Windows單一簽入至0S/400 雙向密碼同步 Windows Services for UNIX AD整合NIS伺服器 密碼同步 UNIX使用者名稱對應 產品與服務- 簡化管理識別資訊的生命週期 帳號目錄Slide11: MIIS 界面說明 身份識別管理員(Identity Manager) 提供五大工具 必須在 MIIS Server 上執行 demonstration議程大綱: 議程大綱 企業安全認證機制的挑戰 Microsoft身份識別管理的策略及解決方案 MIIS 2003的功能介紹 MIIS 2003的應用技巧與部署方式 使用MIIS 2003自動化管理企業的識別資訊 MIIS 2003的功能介紹企業目錄的理想願望: 企業目錄的理想願望 “Enterprise Directory” 身份識別資訊的單一存放機制 可被多種應用程式重複使用 集中管理、提存、架構 人事系統 基礎結構 應用程式 Lotus Notes 應用程式 內部 應用程式 商業性現成 應用程式 約聘人員系統 自定 應用程式 識別資訊平台真正發生的狀況是…: 真正發生的狀況是… 身份識別混沌-Identity Chaos 身份識別資訊的多種存放機制 多個用戶代號、多個密碼 分散管理、點對點資料共享 中介檔案 -Flat Files 與 手動傳遞資料 -Sneaker-net Enterprise Directory 人事系統 基礎結構 應用程式 Lotus Notes 應用程式 內部 應用程式 商業性現成 應用程式 約聘人員系統 自定 應用程式改善的機會:身份識別整合: 改善的機會:身份識別整合 身份識別整合 “身份識別整合” 堅實穩固整合身份識別的軟體 人事系統 基礎結構 應用程式 Lotus Notes 應用程式 內部 應用程式 商業性現成 應用程式 約聘人員系統 自定 應用程式 Enterprise DirectoryMIIS 2003的目標: MIIS 2003的目標 易於設計、部署與處理任何企業規模的身份識別管理基礎結構 現有最小企業約有 1500個、最大則超過 600萬個使用者 管理數以百計的客戶進行 5 年以上的部署經驗 支援群組、密碼的管理及全域通訊、分散式清單的同步 擁有範圍廣大並持續擴展的連線能力 整合現有技術 SQL Server-可靠度與擴充性 Visual Studio-延伸開發與除錯能力 .NET Framework 與 XML Microsoft 身份識別管理系統中第三個主要的發行版本 簡化企業的身份識別管理: 簡化企業的身份識別管理 身份識別資料 提存與工作流程 自動化帳號的建立與刪除 目錄同步 Active Directory 與 ADAM Sun/iPlanet Directory Novell eDirectory Microsoft SQL Server 2000 與 7 Oracle 9i/8i IBM DB2 Lotus Notes 5.x/6.x Microsoft Exchange 5.5、2K、2K3 Microsoft NT 4.x DSML、LDIF、CSV、固定寬度文字 ….. 密碼管理 使用者自我服務的密碼變更 支援中心進行密碼重設 商務應用程式MIIS 2003 的主要元件: MIIS 2003 的主要元件 Connected Directory Connected Directory Connected Directory Management Agent Management Agent Management Agent 文字檔 檔案基礎的 MA 呼叫基礎的 MAs 連結資料的來源Slide19: MIIS in Action 建立管理代理(Management Agent-MA) 尋找與檢視連結器空間(Connector Space-CS) HR Database demonstrationMIIS 2003 的資訊流動: MIIS 2003 的資訊流動 人事資料庫 eMail 系統 1) Staging 2) Staging 3) Projection 4) Joining 5) Attribute Flow 7) Provisioning Directory 8) Export Suzan Fine 6) Export Employee #Slide21: MIIS 架構元件 建立管理代理(Management Agent-MA) 尋找與檢視連結器空間(Connector Space-CS) Salary Database demonstration提存與工作流程: 提存與工作流程 提存與取消提存 提存出現在各個已獲授權系統中的用戶 設定屬性的初始值(含密碼) 停用或刪除帳號 複雜工作流程 初始工作流程或提存系統 與協力廠商整合 Eg., Blockade, Netegrity/Business Layers, M-Tech, OSM 計劃加入服務供應標記語言-SPML 的支援能力聘僱流程的情境: 聘僱流程的情境聘僱流程的情境(提存): 聘僱流程的情境(提存) 人事 系統 Metadirectory Notes 約聘人員 系統 AD/AM SQL Server iPlanet Directory Active Directory Lotus Notes File LDAP LDAP SQL LDAP解聘流程的情境 : 解聘流程的情境 遭解聘者的主管經由 Web介面同意帳號的刪除解聘流程的情境(取消提存): 解聘流程的情境(取消提存) 人事 系統 Metadirectory Notes 約聘人員 系統 AD/AM SQL Server iPlanet Directory Active Directory Lotus Notes File LDAP LDAP SQL LDAP目錄同步: 目錄同步 同步多種存放機制 “Agentless” 連線至其他系統 提供屬性階層的控制 管理全域通訊清單 (GAL) 管理分散式清單(DL) 自動化群組與管理 iPlanet SQL OracleSlide28: 延展與對應 同步 CS 至 Metaverse(MV)之中 Metaverse 的尋找 demonstration身份結合流程的情境: 身份結合流程的情境 人事 系統 Metadirectory iPlanet Directory Active Directory Lotus Notes givenName sn title mail employeeID telephone Klarek Cenntt 008 givenName sn title mail employeeID telephone givenName sn title mail employeeID telephone Clark Kennttt 007 givenName sn title mail employeeID telephone Klarke Kent Superhero 007 867-5309 Clark Kent 007 Reporter Clark@contoso.com 867-5309 Clark Kent Reporter Clark@contoso.com 007 Project to Metaverse 007 007 Join on employeeID JOINED JOINED 007 007 Join on employeeID JOINED Join on employeeID JOINED 屬性流程的情境-Aggregation: 屬性流程的情境-Aggregation 人事 系統 Metadirectory iPlanet Directory Active Directory Lotus Notes FirstName LastName EmployeeID Title E-Mail Telephone givenName sn title mail employeeID telephone Klarek Cenntt 008 givenName sn title mail employeeID telephone givenName sn title mail employeeID telephone Clark Kennttt 007 givenName sn title mail employeeID telephone Klarke Kent Superhero 007 867-5309 Clark Kent 007 Reporter Clark@contoso.com 867-5309 Clark Kent Reporter Clark@contoso.com 007 身份 資料 彙集屬性流程的情境-Convergence: 屬性流程的情境-Convergence 人事 系統 Metadirectory iPlanet Directory Active Directory Lotus Notes FirstName LastName EmployeeID Title E-Mail Telephone givenName sn title mail employeeID telephone Klarek Cenntt 007 givenName sn title mail employeeID telephone givenName sn title mail employeeID telephone Clark Kennttt 007 givenName sn title mail employeeID telephone Klarke Kent Superhero 007 givenName sn title mail employeeID telephone 867-5309 Clark Kent 007 Reporter 867-5309 Clark Kent Reporter Clark@contoso.com 007 Clark@contoso.com Clark Kent Reporter Clark@contoso.com 867-5309 Reporter Clark@contoso.com 867-5309 Clark Kent Clark@contoso.com Clark Reporter 867-5309 身份 資料 仲裁屬性流程的情境-Integrity Enforcement: 屬性流程的情境-Integrity Enforcement 人事 系統 Metadirectory iPlanet Directory Active Directory Lotus Notes FirstName LastName EmployeeID Title E-Mail Telephone givenName sn title mail employeeID telephone 007 givenName sn title mail employeeID telephone givenName sn title mail employeeID telephone Clark 007 givenName sn title mail employeeID telephone Kent 007 givenName sn title mail employeeID telephone 867-5309 Clark Kent 007 867-5309 Clark Kent Reporter Clark@contoso.com 007 Clark@contoso.com Kent Reporter 867-5309 Reporter Clark@contoso.com 867-5309 Clark Kent Clark@contoso.com Clark Reporter 867-5309 身份 資料 強制整合 007 Superhero Superhero Superhero Superhero Reporter SuperheroSlide33: 同步 Metaverse 內的不同資訊 結合(Joiner) demonstration密碼管理Web應用程式: 密碼管理Web應用程式 2 種風格: 支援中心的應用程式用來管理密碼的重設 用戶端專屬的應用程式進行自我服務處理密碼的變更密碼管理 Web 應用程式: 密碼管理 Web 應用程式 Lotus Notes 4.6/5.0 Sun ONE Directory Windows NT 4.0 Novell eDirectory Active Directory 初始密碼設定/變更的請求 運用 WMI 介面進行 https 密碼管理: 密碼管理 WMI 架構的 Web 應用程式 同步設定或變更指定用戶多個帳號的密碼 可輕易整合協力廠商的密碼同步產品 需啟用密碼管理的功能議程大綱: 議程大綱 企業安全認證機制的挑戰 Microsoft身份識別管理的策略及解決方案 MIIS 2003的功能介紹 MIIS 2003的應用技巧與部署方式 使用MIIS 2003自動化管理企業的識別資訊 MIIS 2003的應用技巧與部署方式MIIS協助降低企業的成本: MIIS協助降低企業的成本 增加系統管理的成本 密碼重設是一項顯著的成本 識別資訊的手動更新 支援中心的部署、軟體安裝的組態與除錯 降低生產力 用戶等待存取所需的系統或軟體 太多的密碼導致更多詢問支援中心的請求 過時的識別資訊增加失敗的因素 安全洩漏的風險增加 系統存取不夠快速或不完整 難以要求跨公司使用強制的安全原則 任一新憑證帶來未經授權存取風險的提昇企業節省了: 企業節省了 目錄同步 “提昇用戶資料的更新量:$185 per user/year” “提昇表單的管理:$800 per list” - 為數龐大的資料群組 密碼管哩 “密碼重設成本範圍由 $51 (best case) to $147 (worst case).” – Gartner 用戶提存 “提昇 IT 的效率:$70,000 per year per 1,000管理用戶” “降低支援中心的成本: $75 per user per year” -為數龐大的資料群組 Slide40: 將 Metaverse 寫回連結資料之中 匯出(Export) demonstrationCustomer Examples: Customer Examples MIIS 管理員工的提存 密碼重設降低支援中心的成本 提昇堅固的安全性 超過 80 個系統進行身份管理 自動管理 1000 個經銷商 包含 X.500、目錄與資料庫 經由 MIIS 處理 220,000 個員工的管理 員工得以運用 Web 架構的自我服務 MIIS 節省支援中心 500 person-hours/dayCustomers: Customers Customers: Customers SABMiller plc Uni/Zentrum議程大綱: 議程大綱 企業安全認證機制的挑戰 Microsoft身份識別管理的策略及解決方案 MIIS 2003的功能介紹 MIIS 2003的應用技巧與部署方式 使用MIIS 2003自動化管理企業的識別資訊 使用MIIS 2003自動化管理企業的識別資訊售價與套件: 售價與套件 MIIS 2003 Enterprise Edition $24,999/processor 透過 Open 及 Select 大量授權方案取得 MSDN Universal 進行開發、測試 包含所有管理代理程式+各系統的統合 需要 SQL Server 2000 Enterprise Edition 做為其後端資料儲存機制 Identity Integration Feature Pack(IIFP)for AD 免費網頁下載 AD 與 ADAM 管理代理程式 支援 Exchange 全域通訊清單的同步 需要 SQL Server 2000 Standard 或 Enterprise Edition MIIS 2003 Enterprise Edition 及 IIFP for AD都需安裝在 Windows Server 2003 Enterprise EditionMIIS 2003 連結器: MIIS 2003 連結器 AD/Exchange 2000/Exchange 2003 ADAM SunOne Directory (iPlanet) SQL Oracle IBM DB2 DSML 2.0 LDAP Directory Interchange Format (LDIF) Delimited Text Fixed-Width Text Attribute-Value Pair Text NT4 Exchange 5.5 Lotus Notes 4.6, 5.0 and 6.5 Novell eDirectory 8.62/8.7 Informix, DB2, dBase, Access, Excel, OLE DB via SQL DTS 其他 LDAP 架構與 RDBMS 系統MIIS 產品藍圖: 2004上半 SP1 Extend支援 HP-UX, A/IX, Red Hat Linux, SUSE Linux, Solaris, NIS, NIS+, AS/400, ERP Systems (PS, SAP) 無須撰寫程式的提存作業 可計算的群組成員 自我服務密碼重設 工作流程與核可 報表模組 MIIS 作為應用程式的平台 全新的自我服務應用程式 延展支援 IBM DB2 IBM Directory Server Lotus Notes 6.5 Novell eDirectory 8.7.x RACF ACF2 Top Secret SDK 密碼同步 MIIS 產品藍圖 MIIS 3.5 “Gemini” MIIS 4.0 “Longhorn”密碼同步: 密碼同步 Lotus Notes 4.6/5.0 Sun ONE Directory Windows NT 4.0 Novell eDirectory Active Directory Active Directory 密碼同步: 密碼同步 SP1 的新功能,在所有 DC 上安裝 擷取AD變動的密碼傳遞至其他連結的資料 密碼變更通知服務(Password Change Notification Service-PCNS) 需先擴展 AD Schema 必須是Schema Admins成員在Forest Root Domain的Schema Master上 執行Msiexec /I “Password Change Notification Service.msi” SCHEMAONLY=TRUE 啟用 Password Synchronization 的功能 Identity Manager、Tools、Options 設定服務主要名稱(Service Principal Name-SPN) Setspn.exe -A MIIS電腦名/MIIS的FQDN 網域名\MIIS服務帳號名複雜的 MIIS 結構: 複雜的 MIIS 結構依需要診斷 MIIS 的狀況: 依需要診斷 MIIS 的狀況 確認適當的身份同步與找到錯誤 找出所有特定身份的同步錯誤MIIS 的圖形檢視: MIIS 的圖形檢視 顯示整個 MIIS 的拓樸環境 單一檢視提供深入了解 MIIS 的基礎結構 快速指出與快速診斷 MIIS 的問題Slide53: 密碼重設 Web 界面 MIISPasswordSet 群組成員可以管理 http://vpc-win2003cht/miis/ps/default.aspx MIISBrowse 群組成員可以檢視資訊 一般用戶自我服務(變更自己密碼) http://vpc-win2003cht/miis/pc/default.aspx demonstration結論: 結論 降低管理成本 全域通訊清單的管理 群組的管理 支援中心處理密碼重設 提昇生產力 用戶自我服務 更快的存取系統 提昇安全性 快速的取消提存 iPlanet SQL OracleQuestions?: Questions?