Microsoft Identity Integration Server 2003

整合使用者識別資訊，降低管理成本
管理介面尚未中文化

隨著資訊化的普及，大型企業系統及應用程式的安全認證機制日益複雜，往往使用多種目錄服務及資料庫管理使用者識別資訊。由於缺乏整合異質系統身分認證的機制，各應用程式的安全管理呈現各自為政的情況，不但使用者必須記憶多組帳號密碼，人員異動時，資訊人員更容易顧此失彼，產生安全性漏洞，讓有心人士有機可乘。

超目錄服務（MetaDirectory）即因應企業網路應用日益複雜，所面臨的安全管理機制困境，衍生而成的產品，可整合目錄、資料庫、應用程式、電子郵件及作業系統的用戶識別資訊。於8月18日發表的Microsoft Identity Integration Server 2003（MIIS），並不是全新的產品，其前身為Microsoft MetaDirectory Services，可整合多種儲存機制的識別資訊，提供單一的管理介面，以增加資訊人員的生產力降低管理成本，並強化資訊安全的管控能力，同步更新各目錄的識別資訊，可減少顧此失彼造成的資訊化傷害。

MIIS支援LDAP協定，可整合的識別儲存庫除了微軟本身的Active Directory、SQL Server 7/2000、NT 4.X及Exchange 5.5/2000，還包括IBM　DB2、Informix、Sun iPlanet Directory、Novell eDirectory、Lotus Notes、Oracle 8i/9i，甚至一般的文字檔。我們可視MIIS為不同目錄服務的橋接器，串連各種目錄服務及資料庫，整合識別資訊以降低管理成本。

透過單一的管理介面，可於屬性設定多個識別資料儲存庫之間的欄位對應關係，以便資料修正時，執行同步更新作業，微軟目前並沒有為MIIS管理介面中文化的打算。不是所有欄位都必須設定對應關係，可彈性選擇部分欄位執行同步更新。同步更新具有方向性，可選擇單向或雙向同步。例如設定單向同步，當人事系統員工基本資料的地址更動時，財會系統的員工地址欄自動同步更新；或設定雙向同步，只要兩者其一的地址欄變更，即執行同步作業。

藉由MIIS統一控管，自動同步新增、刪除及修改使用者識別資訊，可大幅降低資訊人員管理的成本，避免人工疏失遺留的安全性漏洞，每筆資料的更動均會留下記錄，以追蹤識別資料變更的情況。要客製化識別資料對應及更新的機制，可以搭配使用.NET語言撰寫程式。

由於安全性考量，密碼是唯一無法同步更新的欄位，使用者必須透過瀏覽器介面，輸入帳號及網域名稱自行變更密碼。瀏覽器介面的密碼管理功能，僅支援目錄服務，無法串連資料庫，若要統一更新所有目錄服務的密碼，必須先統一使用者帳號，或設定帳號對照表，以對應各目錄服務中的使用者識別資訊。透過使用者自行操作的密碼管理功能，資訊人員不必再分心處理此類瑣碎的事情，專注於更有價值的系統管理及開發工作。單一登入的前哨站
整合及顧問服務才是最主要的成本

超目錄產品是邁向單一登入（Single Sign On）過程中重要的身分整合工具，但初步並沒有達到單一登入的目的，主要是減少資訊人員管理的負擔，站在整合的角度，不介入應用系統的安全政策，除非統一使用者的帳號密碼，否則登入各應用程式及系統時，仍套用既有的身分辨識機制，輸入個別的帳號密碼。也就是說MIIS著重身分的整合，強調一致化識別資訊（Single ID）的管理，是單一登入的前哨站。達到單一登入仍須修改應用程式，捨棄既有的方法，套用統一的身分識別機制，或與PKI、Token廠商合作，以MIIS為基礎，搭配更安全的單一登入認證機制。

完全使用微軟系列的忠實用戶，並不需要購買MIIS，可免費至微軟網站下載Identity Integration Feature Pack for Active Directory，可支援整合Active Directory、Active Directory Application Mode及Exchange 5.5。

根據Giga的統計，企業每年用於更新單一使用者資料的成本約185美元。Gartner更表示資訊人員處理修改密碼的工作，花費企業約51-147美元左右。可見識別資訊的管理雖為繁雜的瑣事，卻嚴重影響資訊人員的生產力及企業資訊安全。

MIIS的售價依處理器計算，最高無限授權版約90萬元，不過企業必須認清整合識別資訊的成本絕對不僅於此。既有系統愈複雜，整合及修改的工作愈困難，通常需要長期的規畫、評估及顧問服務的介入，這些都是不可忽視的成本。此外，MIIS以Windows Server 2003企業版及SQL Server企業版為平臺，也是企業必須評估的費用。文⊙李延華