Date post: | 01-May-2015 |
Category: |
Documents |
Upload: | tatiana-cavallaro |
View: | 218 times |
Download: | 1 times |
Sistema di Sistema di
gestione 1gestione 1
Sistema di Sistema di
gestione 2gestione 2
Gestione delle credenziali Soluzioni attuali
Per indirizzare le necessità si devono installare diversi sistemi di gestione
I costi e la complessità aumentano al crescere del numero di tecnologie di autenticazioneusate
CertificatiCertificati
digitalidigitaliOTPOTPDevice Device
mobilimobiliCard RFIDCard RFIDBiometriaBiometriaSmart CardSmart Card Token USB Token USB
Sistema di Sistema di
gestione 3gestione 3
Certificate Lifecycle Manager
Microsoft® Certificate Lifecycle Manager (CLM) è una soluzione di gestione
delle identità digitaliche aiuta i clienti Microsoft
nella distribuzione, gestione e mantenimentodei certificati digitali e delle smart card
per aumentare la sicurezza degli ambienti IT
Certificate Lifecycle ManagerOverview delle funzioni
Punto singolo di amministrazione per certificati digitali e smart cards
Workflow configurabile e basato su policy per attività comuni
Rilascio/rinnovo/aggiornamento
Recupero/sostituzione di card
Revoca
Ritiro/disabilitazione di smart card
Rilasci temporanei/duplicati di smart card
Personalizzazione di smart card
Funzioni di reporting e auditing dettagliate
Supporto per scenari di rilascio centralizzato e self-service
Integrato con le infrastrutture esistenti
Windows Active Directory
Windows Certificate Services
MicrosoftCertificateLifecycle Manager
CA Microsoft
Utente finale
CLM Policy Module
CLM Exit Module
Internet Explorer
CLM Browser Control
CLM AD Integration
CLM Web App
Internet Information Server
Architettura fisica Architettura dei componenti
SQLAD
Posta
Certificate Lifecycle Manager *Overview dell’architettura
Microsoft Certificate Authority
Smart Card Middleware
Certificate Lifecycle ManagerComponenti della soluzione
Windows Active Directory
Windows Certificate Services
Hardware Security Module (HSM)
Servizi di posta/SMTP
Componenti della soluzioneWindows Certificate Services
Necessaria la CA di Windows Server 2003 Enterprise Edition
Key Recovery
Rilascio di certificati basati su template v2
Comunicano con la Certificate Authority
CLM Policy Module
CLM Exit Module
RPC per la gestione degli accessi dei CA Manager
Componenti della soluzioneWindows Active Directory
CLM utilizza una infrastruttura AD esistente
Salva i template dei profili CLM
Deve fornire ai Certificate Subscribers e ai Certificate Managers i corretti diritti di accesso
Autenticazione
Usa i permessi degli utenti/gruppi di AD per assegnare i diritti agli utenti
È configurabile l’uso dell’autenticazione integrata
Autorizzazione
Consente a CLM di stabilire cosa un utente può fare e cosa non può fare in una sessione
Tutti i permessi CLM basati su ACL sono assegnati con i tool standard di active directory
Componenti della soluzione *Diritti estesi di ADGruppi di sicurezza di Active Directory possono essere
creati per consentire agli utenti l’accesso ai componenti self-service
Sono disponibili i seguenti permessi e possono essere esplicitamente concessi o negati
CLM Audit
CLM Enroll
CLM Enrollment Agent
CLM Recover
CLM Renew
CLM Revoke
CLM Unblock
Componenti della soluzioneTemplate dei certificati
La CA di Windows Server 2003 EE implementa i template dei certificati per definire il contenuto dei certificati che saranno rilasciati
Ai template dei certificati devono essere associati i corretti permessi per consentire ai manager dei certificati di gestirli e agli utenti di richiederli
Componenti della soluzioneMicrosoft SQL Sever
Database Repository
È necessario Microsoft SQL Server 2000 SP3+ o successivo
Usato per i dati di reporting e specifici dell’applicazione
Nessuna informazione sugli utenti e sui ruoli è scritta nel database
Autenticazione
Mixed Mode
Installazione supportate
Server stand-alone
Server coesistente con CLM
Uso di un’installazione esistente di SQL Server
Componenti della soluzioneServizi di posta/SMTP
Per la consegna delle notifiche e delle one time password
Specifica IP address o host-name del server di posta in grado di ritrasmettere i messaggi SMTP
CLM usa un relay anonimo per spedire tutti i messaggi in uscita
Certificate Lifecycle Manager *Componenti lato server
Certificate Lifecycle Manager
Funzioni di amministrazioni supportate da un’applicazione .NET
Fornisce l’accesso ai portali per i Subscriber e per i Manager
Si appoggia alle ACL di Active Directory (AD) per la definizione dei permessi e dei workflow
Add-on per Windows Server 2003 Certificate Services
Estende le funzionalità del policy module di default con funzioni avanzate di richiesta dei certificati
Sostituisce gli exit module di defaul per consentire la centralizzazione degli audit attraverso la foresta
Certificate Lifecycle Manager *Template dei profili Definiscono le policy per ogni
task che può essere eseguito
Dati aggiuntivi per la gestione delle smart card
Può includere template rilasciati da più di una CA
I template dei profili includono uno o più certificati gestiti come entità singole
L’aggiornamento delle policy è eseguito per utente in base ai gruppi definiti in Active Directory (AD)
Contiene le informazioni necessarie per forzare le policy per più certificati, utenti e gruppi
Conservati in AD e disponibili in tutta la foresta
Template dei certificati
Policy di gestione
Template dei profili
EnrollmentWorkflow
Self-Service Collezione
di dati
RecoveryWork flow
Self-Service Collezione
di dati
Ecc…Work flow
Self-Service Collezione
di dati
Informazioni sulle smart card (se necessarie)
Componenti della soluzione *CLM Policy Module
Comunica con il server CLM
Controlla il comportamento della CA in relazione al Server CLM
Il CLM Policy Module ha un’architettura ‘pluggable’ che consente l’aggiunta di nuovi moduli per l’estensione delle funzionalità
CLM viene fornito con 4 plugin per il Policy Module
Componenti della soluzioneCLM Exit Module
Registra tutta l’attività della CA in SQL
Fornisce un servizio di logging e auditing centralizzato e robusto
Certificate Lifecycle ManagerComponenti lato client
Certificate Lifecycle Manager Client
Controllo self service delle Smart Card
Controllo per la personalizzazione delle Smart Card
Controllo per l’aggiornamento dei profili dei certificati
Smart Card Personalization Control
Integra CLM con il middleware della smart card
Tutte le comunicazioni sono su SSL
Consente modalità avanzate di archiviazione dei dei certificati
Gestione dei PIN delle smart card
Gestione delle applet Java
Tool per il rilascio massivo di smart card
Tool per scenari di rilascio centralizzato in larga scala di smart card
© 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only.MICROSOFT MAKES NO WARRANTIES, EXPRESS OR IMPLIED, IN THIS SUMMARY.