【Tech.Ed 2009 特别报道】精英聚首，践出真知!11月5日-11月7日，IT168与您一道共享IT技术盛会微软Tech.Ed 2009(专题链接：http://app.focus.it168.com/teched2009/index.html)。更多精彩，尽在IT168!

　　最早在企业信息化程度还并不太高，或者是企业刚刚开始构建信息化系统的时候，安全和身份管理其实并不是企业关注的首要问题，随着企业信息化程度的越来越深入，企业员工需要访问不同的应用系统，存取各种数据、资料等信息。身份管理的问题越来越迫切的摆在了企业面前。根据微软TechED资深讲师何江的介绍，今天，身份管理已经变成了一项必备的基础设施，与一些业务相关的信息系统设施的重要性其实不相上下。

　　何江曾先后在微软中国的顾问咨询部，大客户部等部门从事咨询、架构设计工作多年，曾经与微软的技术合作伙伴合作过多个项目，成功地协助、引导合作伙伴完成了解决方案的架构设计、产品研发，对微软的产品平台、技术有较深入的理解，对应用微软平台和技术架构企业信息系统有丰富的经验，包括应用架构设计、部署/管理架构设计、安全架构设计等。

　　在安全管理领域有深厚经验的何江认为：如何在保证严格身份管理和身份识别的前提下，灵活地为企业员工提供信息服务、提高业务效率并降低管理成本，成为企业身份管理的主要目标。

　　何江举例，目前大部分企业进行信息基础架构设计的时候都是走一步看一步，因此企业内部往往存在多个独立的业务应用，而每个业务应用都需要对应一套身份管理的信息，但是员工却只有一个。当一个员工在多个身份管理系统中存在的时候，给企业的身份信息管理也带来了很多麻烦：例如，新员工入职等等的工作，往往需要在多个系统中重复录入，容易造成更新及时的情况，包括员工的转移和离职，如果在身份管理系统中没有得到统一及时的更新，会带来很大的安全风险。

　　微软提供的FIM(Forefront Identity Manager2010)是一套完整的身份管理系统，用户从登陆windows，就获得了在企业内部访问的一系列权限。新员工一旦入职，只要在身份管理的门户中输入该员工信息，所有的相关权限、邮箱等等信息，也会自动分配完成。包括一些安全性要求比较高的系统，必须要出具身份证书的凭据，例如密码、数字证书等等，这些凭据的创建、更新、管理和撤销，也都能同时在一个平台下集成管理。

　　何江介绍，FIM身份管理系统一共包括四大管理功能：包括策略管理、用户管理、组管理和凭据管理。整个身份管理系统能够完成员工在企业全生命周期中的管理，包括创建、启用、更新、失效、重新使用等等，同时可管理用户的组信息，例如角色组、安全组、分发列表、权限列表等等，并且实现企业各应用系统中身份信息的统一。凭据管理则包括数字证书的创建、发放、撤销、更新和重新启用，密钥也会需要初始设置、重置和同步。帮助企业建立完整的身份视图，并可通过web服务接口和编程接口来进行调用。

　　何江介绍，FIM2010技术框架中核心的部分是身份同步平台，上图中间的ILM Sync其实就是最核心的组件，包括身份管理的整套数据框架，并可通过连接适配器，可以同不同的目录、应用系统、邮件系统等等通讯和调用。整套ILM Sync数据库中有一套默认的基本框架，涵盖身份管理的基本信息，也可以通过不同的需要扩展框架，并通过身份管理门户进行身份管理。