La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Fédération d'identité et ADFS de Windows Server 2003 R2

Présentations similaires


Présentation au sujet: "Fédération d'identité et ADFS de Windows Server 2003 R2"— Transcription de la présentation:

1 Fédération d'identité et ADFS de Windows Server 2003 R2
3/25/2017 1:04 AM Fédération d'identité et ADFS de Windows Server 2003 R2 Philippe Beraud Consultant Principal Microsoft France © Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

2 La stratégie sécurité de Microsoft
3/25/2017 1:04 AM La stratégie sécurité de Microsoft Authentification, Autorisation, Audit Mise à jour avancée Excellence de l’engineering Isolation et résilience Conseils, Outils, Réponse © Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

3 Sommaire Tendances en matière d’identité
3/25/2017 1:04 AM Sommaire Tendances en matière d’identité Identité et gestion du cycle de vie Fédération d’identité Active Directory Federation Services (ADFS) Architecture et composants Gestion des accès avec les Claims (Attributs Utilisateur) Démonstration Modèles de déploiement et de programmation ADFS et héritage des spécifications des services Web avancés WS-* Interopérabilité multi fournisseurs © Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

4 Tendances en matière d’identité
3/25/2017 1:04 AM Tendances en matière d’identité Le domaine de la gestion de l’identité numérique est en cours de consolidation avec des services et produits d’intégration d’identité Gestion du cycle de vie et intégration sur-mesure « Provisioning », « deprovisioning », synchronisation de l’identité (intégration/agrégation), modification de l’identité, audit, gestion des mots de passe, etc. Mais il reste encore de nombreux domaines d’amélioration possibles Annuaire virtuel, « Single Sign-On » d’entreprise, authentification à plusieurs facteurs, etc. Au coeur des zones d’innovation et d’investissement se trouve la fédération d’identité Face à l’adoption massive des services Web, l’arrivée des architectures fédérées est inévitable… Car les services Web sont par essence des agents autonomes Cette nature autonome des services Web met l’accent sur la gestion explicite des relations de confiance entre les applications Cette nature autonome des services Web nécessite que des processus ou des systèmes qui étaient centralisés évoluent vers un système fédéré Ceci s’applique non seulement aux identités de sécurité mais aussi aux annuaires de services et à l’administration des systèmes © Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

5 Vers la construction des systèmes connectés
3/25/2017 1:04 AM Vers la construction des systèmes connectés Vos Clients Vos Fournisseurs Votre Entité et vos Collaborateurs Vos Collaborateurs itinérants Vos Partenaires © Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

6 Fédération d’identité
3/25/2017 1:04 AM Fédération d’identité The agreements, standards, and technologies that make identity and entitlements portable across autonomous domains. The Burton Group Federated Identity allows customers, partners and end-users to use Web services without having to constantly authenticate or identify themselves to the services within their federation. This applies both within the corporation and across the Internet. Michael Beach, The Boeing Company, Catalyst 2003 Crée une meilleure efficacité opérationnelle Procure de nouvelles opportunités « business » pour les entreprises Scénarios B2B émergeant de collaboration et de partage de données Est au cœur de la problématique de la mise en place de l’administration électronique Alimente naturellement la croissance du marché de la gestion de l’identité numérique Services et produits de fédération interopérables © Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

7 Fédération d’identité
3/25/2017 1:04 AM Fédération d’identité Nécessite de définir les termes de la relation de confiance entre entités Relation « business », conditions et termes contractuels, gestion des clés, assertions, partage de politique, assurances techniques, exigences d’audit, etc. Difficile à mesurer et à calibrer aujourd’hui Trop ou pas assez de confiance placée dans l’autre entité D’un point de vue technique, demande des mécanismes pour Matérialiser la relation de confiance entre entités Partage de clés symétriques, confiance dans une chaîne de certificats X509 Pour valider que l’identité reçue (jetons de sécurité/assertions) provient d’un fournisseur d’identité de confiance et donc pour attester de l’authenticité de l’identité fournie Nécessite de « parler » un protocole de sécurité commun Typiquement des protocoles de sécurité standardisés via des organismes comme IETF, OASIS © Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

8 Active Directory Federation Services (ADFS)
3/25/2017 1:04 AM Annoncé au TechEd’04 à SanDiego Vision en termes d’authentification et d’accès Une ouverture de session unique et un accès sécurisé à tout (fonction de ses habilitations, accréditations et permissions) Deux philosophies connexes complémentaires au sein de l’entreprise Capitaliser sur l’identité Windows (Kerberos) aussi loin que possible Étendre vers les « injoignables » avec des approches d’intégration d’identité comme Microsoft Identity Integration Server (MIIS) Gestion du cycle de vie de l’identité Version 1.0 disponible avec la version Windows Server 2003 Refresh (R2) au second semestre 2005 Actuellement en Bêta 2 Support des scénarios de gestion fédérée d’identité pour l’accès sécurisé aux applications Web du SI pour les partenaires (, fournisseurs) et clients en dehors de leur royaume de sécurité (p. ex. domaine/forêt) « Étendre Active Directory au-delà de la forêt » Livre blanc « Active Directory Federation Services: A Path to Federated Identity and Access Management » © Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

9 Quelques définitions…
3/25/2017 1:04 AM Quelques définitions… Jetons de sécurité Bases pour une authentification et une autorisation distribuées Les jetons de sécurité définissent des affirmations (claims) faites au sujet d’une identité, d’aptitude ou de privilèges Nom, adresse mèl, clé, groupe, rôle, etc. Attributs/propriétés de sécurité Quelques exemples Signé Certificat X.509, ticket Kerberos, assertion SAML, licence XrML, etc. Exigence ou non d’une preuve de possession Clé secrète, mot de passe © Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

10 Quelques définitions…
Service de jetons de sécurité Un service de jetons émet des jetons de sécurité Un service de jeton peut « échanger » des jetons lorsque la requête traverse les frontières de royaumes de sécurité Centre de distribution des clés Ticket Kerberos contenant des claims SID= S Service de jetons de sécurité Jeton SAML contenant des assertions Company=A.Datum Role=Purchasing Agent

11 Fédération d’identité en action
3/25/2017 1:04 AM Fédération d’identité en action Claims applicatifs Claims de fédération SIDs/Attributs Serveur de fédération Portail Serveur de fédération Active Directory Eric Serveur Web Trey Research Inc. A. Datum Corp L’utilisateur A. Datum accède le portail A. Datum pour accéder à l’application Ordering de Trey Research L’utilisateur A. Datum est redirigé vers le STS A. Datum Authentification transparente avec Active Directory et l’authentification intégrée Windows (ticket Kerberos) L’utilisateur A. Datum obtient du STS A. Datum une assertion SAML pour le STS Trey Research Claims de fédération relatifs au cadre de confiance entre A. Datum et Trey Research L’utilisateur A. Datum obtient du STS Trey Research une assertion SAML pour l’application Claims spécifiques à l’application Ordering de Trey Research L’utilisateur A. Datum accède à l’application Ordering de Trey Research © Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

12 Composantes ADFS v1.0

13 3/25/2017 1:04 AM Composantes ADFS v1.0 Active Directory ou Active Directory Application Mode (AD/AM) Fournisseur d’identités Authentification des utilisateurs Gestion des attributs utilisés pour constituer les claims Support des forêts Windows 2000 et 2003 Federation Service (FS) Service de jetons de sécurité Gestion des politiques de confiance de fédération Federation Service Proxy (FS-P) Proxy client pour les demandes de jetons Web Server SSO Agent (Agent SSO) Agent d’authentification S’assure de l’authentification utilisateur Constitue le contexte utilisateur d’autorisation © Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

14 Composantes ADFS Notes
3/25/2017 1:04 AM Composantes ADFS LPC/Méthodes Web Authentification Kerberos/LDAP FS-P FS Active Directory ou AD/AM HTTPS Application Agent SSO WS Notes Les composantes FS et FS-P sont co-logés par défaut et peuvent être dissociés Les composantes FS, FS-P et SSO Agent requièrent la version IIS 6.0 de Windows 2003 R2 © Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

15 ADFS Federation Service (FS)
3/25/2017 1:04 AM ADFS Federation Service (FS) Service hébergé par ASP.NET sous IIS 6.0 – Windows 2003 Server R2 Gestion de la politique de fédération Établissement de la confiance pour les jetons de sécurité signés via la distribution de clés basés sur les certificats Définition des types de jeton/claim et de l’espace de noms partagés pour les royaumes de sécurité fédérés Génération des jetons de sécurité Obtention des attributs utilisateur pour la génération des claims depuis AD (ou ADAM) via LDAP Transformation des claims (si requis) entre les espaces de noms interne et de fédération Construction d’un jeton de sécurité SAML signé et envoi au FS-P Construction du contenu du cookie d’authentification SSO générique (« Authentication cookie ») et envoi au FS-P Authentification utilisateur © Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

16 ADFS Federation Service Proxy (FS-P)
3/25/2017 1:04 AM ADFS Federation Service Proxy (FS-P) Service hébergé par ASP.NET sous IIS 6.0 – Windows 2003 Server R2 Authentification utilisateur Interface graphique pour la Découverte du Royaume d’Appartenance et l’ouverture de session Authentification des utilisateurs (Forms, Windows intégrée, SSL Client) Écriture du cookie de royaume («  Account Partner cookie ») pour le Browser Écriture du cookie d’authentification SSO générique (« Authentication cookie ») pour le Browser (similaire au TGT Kerberos) Traitement des jetons de sécurité Demande d’un jeton de sécurité pour le compte d’un client au FS Routage du jeton vers le serveur Web via une « redirection POST » au travers du Browser © Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

17 3/25/2017 1:04 AM Web Server SSO Agent Extension ISAPI pour IIS 6.0 – Windows 2003 Server R2 Authentification utilisateur Interception des requêtes URL GET et redirection des clients non authentifiés vers le FS-P Écriture du cookie d’authentification WebSSO («  Web Server SSO ») au niveau du Browser (similaire au ticket de service Kerberos) Service Windows Création du jeton NT pour l’usurpation d‘identité (utilisateurs AD seulement) Module HTTP .NET Traitement du jeton de sécurité – Applications non « Claims aware »  Validation du jeton de sécurité utilisateur et parcours des claims dans le jeton Autorisation utilisateur Peuplement du contexte ASP.NET GenericPrincipal avec les claims pour le support de IsInRole() Fourniture des claims brutes à l’application © Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

18 Interopérabilité avec d’autres serveurs Web
3/25/2017 1:04 AM Interopérabilité avec d’autres serveurs Web Disponibilité de solutions tierces « ADFS aware » disponibles lors de la sortie d’ADFS pour les serveurs non Microsoft Vintela Services for Java (VSJ) Centrify DirectControl © Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

19 Gestion fédérée d’identité ADFS
3/25/2017 1:04 AM Gestion fédérée d’identité ADFS « Projette » les identités Active Directory dans d’autres royaumes de sécurité Entité A Entité B Fédération Serveur de fédération Serveur de fédération Émission de jetons de sécurité Gestion de la confiance – Clés la sécurité – Jetons/Claims nécessaires la confidentialité -- Jetons/Claims autorisés l’audit -- Identités , autorités Espace de noms privés Espace de noms privés © Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

20 Traitement des jetons et des claims
3/25/2017 1:04 AM Traitement des jetons et des claims Demande de jeton Parcours et validation Magasins d’identités Queue IIS Contenu ? Ouverture de session AD Ouverture de session Extraction des claims Queue interne ADAM Cookie Claims Extracteur de claims Magasins de politiques Cache des politiques de confiance Transformation des claims Primaire Secondaire Création et signature du jeton SAML Jeton en réponse © Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

21 Support des jetons de sécurité
3/25/2017 1:04 AM Support des jetons de sécurité Type de jetons émis Exclusivement des assertions SAML 1.1 (Security Assertion Markup Language) dans la version 1.0 d’ADFS OASIS Security Services (SAML) TC Aucun chiffrage des jetons L’ensemble des messages est véhiculé sur HTTPS Signature des jetons Par défaut – Signature avec la clé privée RSA et signature vérifiée avec la clé publique du certificat X.509 correspondant Optionnel – Signature avec la clé de session Kerberos Concerne uniquement les jetons FS-R pour le Web Server SSO Agent Exécution du Service Windows du Web Server SSO Agent avec un compte de service de domaine et avec un SPN configuré (identification du service lors de la séquence d’authentification Kerberos Utilisation de SetSpn.exe du Kit de Ressources Techniques © Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

22 Types de claims supportés
3/25/2017 1:04 AM Types de claims supportés Types de claim interopérables WS-Federation Identité User Principal Name (UPN) Adresse mèl Common Name (toute chaîne de caractères) Groupe Personnalisé (paire nom/valeur, exemple SS= ) Données authZ seulement pour ADFS-vers-ADFS SIDs Permet d’éviter les comptes fantômes (pour les collaborateurs) en Extranet DMZ Transmission des SIDs dans l’élément Advice du jeton SAML Claims organisationnels Ensemble commun de claims à travers des magasins d’identité et des partenaires Marquer les claims organisationnels comme « auditable » si la valeur du claim ne doit pas être loguée © Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

23 Extensibilité du traitement des claims
3/25/2017 1:04 AM Extensibilité du traitement des claims Une interface permet à des modules Plug-in d’être développés pour des transformations de claim personnalisées ADFS v1 supporte un module unique de transformation de claims, Pas de pipeline pour de multiples modules Autorise des consultations dans un magasin LDAP ou SQL Support des transformations de claim complexes exigeant du calcul © Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

24 Flot des claims ADFS de fédération
3/25/2017 1:04 AM Flot des claims ADFS de fédération Partenaire - Compte Peuplement Claims organisationnels Compte Transformation Claims en sortie Magasin AD Transmission des claims Application - Ressource Activation Transformation Claims organisationnels Ressource Claims en entrée Application © Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

25

26 Modèles de déploiement et de programmation ADFS

27 Scénario B2B – Web SSO fédéré Absence de compte local pour les partenaires
3/25/2017 1:04 AM Applications Web de commandes et de contrôle d’inventaire Les utilisateurs A. Datum utilisent leur compte AD A. Datum Intranet : Web SSO à l’issue de l’ouverture de session Windows Internet : Web SSO à l’issue de l’ouverture de session Forms ou d’une authentification SSL cliente Forêt intranet Pare-feu Fédération FS-A FS-R Client SW Acheteur interne FS-P A (ext) Pare-feu Pare-feu Pare-feu Client A. Datum Corp. Trey Research Inc. Agent d’inventaire © Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

28 Scénario B2E – Web SSO Extranet SSO pour l’interne et les utilisateurs itinérants
3/25/2017 1:04 AM Application Web de commandes en ligne dans la DMZ Tous les utilisateurs Acme Sporting Goods ont leur compte dans l’AD intranet Intranet : Web SSO à l’issue de l’ouverture de session Windows Internet : Web SSO à l’issue de l’ouverture de session Forms ou d’une authentification SSL cliente Forêt intranet Forêt DMZ Relation de confiance Windows Fédération FS-R FS-A Client FS-P A (ext) Commercial Gestionnaire de stock Pare-feu Application Web Acme Sporting Goods Pare-feu © Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

29 Scénario B2C – Web SSO « en ligne » Web SSO classique pour les internautes
3/25/2017 1:04 AM Site de commerce en ligne et services client associés Les clients disposent de comptes dans la DMZ (AD ou AD/AM) Internet : Web SSO à l’issue de l’ouverture de session Forms Forêt intranet Forêt DMZ AD/AM FS Client Pare-feu SW Acme Sporting Goods Pare-feu © Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

30 Modèle de programmation de sécurité ADFS
Concerne le Web Server SSO Agent Authentification des utilisateurs pour l’application Création du contexte d’autorisation pour l’application (Impersonation NT et) ACLs Modèle de contrôle d’accès basés sur les rôles Role-based Access Control ou RBAC Méthode ASP.NET IsInRole() Logique d’autorisation bâtie sur la correspondance de chaîne Intégration Authorization Manager (AzMan) « Designing Application-Managed Authorization » Ajout des claims Rôle/Groupe au contexte AzMan Évolution des APIs AzMan dans Windows 2003 SP1 API ASP.NET de bas niveau pour les claims System.Web.Security.SingleSign(.Authorization)

31 Fédération ADFS avec RBAC
3/25/2017 1:04 AM Fédération ADFS avec RBAC Intégration ADFS avec AzMan Claims de fédération Claims applicatifs SIDs/Attributs FS-A Portail FS-R Active Directory Rôles AzMan (RBAC) Eric Application Ordering A. Datum Corp Trey Research © Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

32 Héritage des spécifications des services Web avancés
* Interopérabilité * Extensibilité

33 Fédération et services Web
Tous les deux offrent une capacité d’intégration à couplage lâche entre domaines autonomes (au sein d’une même entreprise ou entre entreprises) Les services Web doivent s’identifier et s’authentifier eux-mêmes, et/ou l’utilisateur pour le compte duquel ils agissent Modèle actuel Modèle émergeant/futur Web SSO pour les browser avec SSL/TLS et les cookies Web Services Security, SAML, et d’autres jetons pour les clients SOAP WS-* Services Web SOAP avec une authentification HTTP Basic, SSL/TLS ou intégrée

34 Spécifications des services Web
3/25/2017 1:04 AM Spécifications des services Web WS-* Web Service Architecture (WSA) Pile WS-*, STAR pour Secure, Transactional, Asynchronous, Reliable « An Introduction to the Web Services Architecture and Its Specifications » Service Composition BPEL4WS, Management Composable Service Assurances Reliable Messaging Transactions Security XSD, WSDL, UDDI, Policy, MetadataExchange Description Messaging XML, SOAP, Addressing Transports HTTP, HTTPS, SMTP, etc. © Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

35 WS-Federation « Web Services Federation Language »
BEA, IBM, Microsoft, RSA Security, VeriSign, Juillet 2003 Vision Livre blanc « Federation of Identities in a Web Services World  » Définit les messages permettant à des royaumes de sécurité de fédérer et d’échanger des jetons de sécurité Authentification unique entre domaines de confiance Ouverture de session (Sign in) Fermeture de session (Global sign out) Définit l’utilisation de services fédérés d’attributs et de pseudonymes dans ce cadre Supporte différentes topologies de confiance Modélisation des pratiques commerciales existantes Capitalisation sur l’infrastructure existante Supporte différents modèles de fédération Avec ou sans mappage/liaison d’identité Fixe, par couple, « aléatoire », etc.

36 Un protocole, plusieurs liaisons
Un protocole commun : « Web Services Trust Language » (WS-Trust) Actional, BEA Systems, CA, IBM, L7T, Microsoft, Oblix, OpenNetwork, PingId, Reactivity, RSA, Verisign, Février 2005 Définition de deux « profils » Clients passifs (Browser) – HTTP/S Clients intelligents (Smart) actifs – SOAP Support des services Messages HTTP Récepteur HTTP Service de Jetons de sécurité Messages SOAP Récepteur SOAP

37 Passive Requestor Profile
3/25/2017 1:04 AM Passive Requestor Profile « Web Services Federation Language: Passive Requestor Profile » BEA, IBM, Microsoft, RSA Security, Juillet 2003 Supporté par ADFS v1 dans Windows Server 2003 R2 Support de WS-Trust et WS-Federation pour les clients passifs (browser) Adhésion implicites aux politiques en suivant les redirections 302 Acquisition implicite de jetons via les messages HTTP Requiert un transport sécurisé (HTTPS) pour l’authentification Aucune fourniture de « preuve de possession » pour les jetons Mise à cache limitée (durée) des jetons Les jetons PEUVENT être rejoués © Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

38 Passive Requestor Profile
3/25/2017 1:04 AM Passive Requestor Profile Requesting Browser Requestor’s IP/STS Target Resource Target’s IP/STS Get resource GET https://res.resource.com/app HTTP/1.1 HTTP/ Found Location: https://sts.resource.com/sts?wa=wsignin1.0&wreply=http://res.resource.com/app&wct= T19:06:21Z Redirect to resource’s IP/STS HTTP/ OK . . . <html xmlns="https://www.w3.org/1999/xhtml"> <head> <title>Working...</title> </head> <body> <form method="post" action="https://sts.resource.com/sts"> <input type="hidden" name="wa" value="wsignin1.0" /> <input type="hidden" name="wctx" value="https://res.resource.com/app" /> <input type="hidden" name="wresult" value="<RequestSecurityTokenResponse>...</RequestSecurityTokenResponse>" /> <button type="submit">POST</button> <!-- included for requestors that do not support javascript --> </form> <script type="text/javascript"> setTimeout('document.forms[0].submit()', 0); </script> </body> </html> HTTP/ OK . . . <html xmlns="https://www.w3.org/1999/xhtml"> <head> <title>Working...</title> </head> <body> <form method="post" action="https://res.resource.com/app"> <p> <input type="hidden" name="wa" value="wsignin1.0" /> <input type="hidden" name="wresult" value="<RequestSecurityTokenResponse>...</RequestSecurityTokenResponse>" /> <button type="submit">POST</button> <!-- included for requestors that do not support javascript --> </p> </form> <script type="text/javascript"> setTimeout('document.forms[0].submit()', 0); </script> </body> </html> GET https://sts.resource.com/sts?wa=wsignin1.0&wreply= https://res.resource.com/app&wct= T19:06:21Z HTTP/1.1 Detect realm HTTP/ Found Location: https://sts.account.com/sts?wa=wsignin1.0&wreply=https://sts.resource.com/sts&wctx= https://res.resource.com/app&wct= T19:06:22Z&wtrealm=resource.com Redirect to requestor’s IP/STS GET https://sts.account.com/sts?wa=wsignin1.0&wreply=https://sts.resource.com/sts&wctx=https://res.resource.com/app&wct= T19:06:22Z&wtrealm=resource.com HTTP/1.1 Login Return identity token POST https://sts.resource.com/sts HTTP/1.1 …. . . wa=wsignin1.0 wctx=https://res.resource.com/app wresult=<RequestSecurityTokenResponse>...</RequestSecurityTokenResponse> Return resource token POST https://res.resource.com/app HTTP/1.1 ... wa=wsignin1.0 wresult=<RequestSecurityTokenResponse>...</RequestSecurityTokenResponse> Return secured response © Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary. HTTP/1.1 200 OK. . . . Working...

... />

GET https://sts.resource.com/sts?wa=wsignin1.0&wreply= https://res.resource.com/app&wct=2004-12-03T19:06:21Z HTTP/1.1. Detect realm. HTTP/1.1 302 Found. Location: https://sts.account.com/sts?wa=wsignin1.0&wreply=https://sts.resource.com/sts&wctx= https://res.resource.com/app&wct=2004-12-03T19:06:22Z&wtrealm=resource.com. Redirect to requestor’s IP/STS. GET https://sts.account.com/sts?wa=wsignin1.0&wreply=https://sts.resource.com/sts&wctx=https://res.resource.com/app&wct=2004-12-03T19:06:22Z&wtrealm=resource.com HTTP/1.1. Login. Return identity token. POST https://sts.resource.com/sts HTTP/1.1. …. . . wa=wsignin1.0. wctx=https://res.resource.com/app. wresult=... Return resource token. POST https://res.resource.com/app HTTP/1.1. ... wa=wsignin1.0. wresult=... Return secured response. © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.", "width": "800" }

39 Interopérabilité WS-Federation
3/25/2017 1:04 AM Interopérabilité WS-Federation Ateliers/liste de distribution publics WS-* afin de préparer les spécifications WS-* à la soumission à des organismes de standardisation WS-Federation Passive Requestor Profile Interoperability Workshop 29 mars 2004 Concerne le Passive Requestor Profile et les assertions SAML Interopérabilité au sens service de jetons de sécurité Livre blanc« Federated Identity Management Interoperability » « WS-Federation Passive Requestor Interoperability Profile » 100% d’interopérabilité atteinte par l’ensemble des participants Microsoft, IBM, RSA, Oblix, PingID, Open Network, Netegrity Annonce de solutions WS-Federation et présentation des pré versions lors de TechEd’04 à SanDiego « Leading Identity Management Vendors Join Microsoft to Demonstrate Federated Identity Using Web Services »   © Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

40 Active (Smart) Requestor Profile
3/25/2017 1:04 AM Active (Smart) Requestor Profile ADFS v2.0 avec Longhorn Support de WS-Trust et WS-Federation pour les clients actifs (« conscients » de SOAP/XML) Détermination explicite des jetons nécessaires à partir des politiques Demande explicite de jetons via des messages SOAP Authentification forte de l’ensemble des demandes Peut fournir une preuve de possession pour les jetons Support de la délégation Les clients peuvent fournir un jeton à un service Web afin que ce dernier l’utilise en leur nom Mise à cache évoluée des jetons au niveau du client Amélioration de l’expérience utilisateur et des performances Mise à disposition d’une infrastructure de sécurité pour les services Web avancés (Indigo) Première étape vers Active Directory comme service pour les architectures orientées services Rendre possible les scénarios de gestion fédérée d’identité pour les services Web WS-* sécurisés inter opérables © Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

41 Active (Smart) Requestor Profile
3/25/2017 1:04 AM Active (Smart) Requestor Profile Requesting Service Requestor’s IP/STS Target Service Target’s IP/STS Acquire policy Request token Return token Request token Return token Send secured request Return secured response © Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

42 Modèle de fédération piloté par les méta données
Les services comprennent des jetons spécifiques, les services de jetons de sécurité traduisent les jetons (de ce que le principal possède à ce que l’application a besoin) et WS-* fournit une pile standard et l’enveloppe Politique de fédération Service Cible Politique d’accès Services de pseudonymes et d’attributs Service de jetons de sécurité (le service de contrôle d’accès fournit les jetons de permission) Service d’identité

43 Interopérabilité avec Liberty Alliance
Spécification Liberty Alliance ID-FF 1.2 Fournit les liaisons de comptes via l’échange d’informations obscurcies et d’autres éléments ajoutés par rapport à OASIS SAML 1.x Méta données de fermeture de session (Global logout) notamment Spécifications de Web SSO entre ID-FF 1.2 et WS-Federation annoncées le 13 mai dernier lors de la conférence de presse Microsoft/Sun « Microsoft and Sun Publish Web Single Sign-On (SSO) Identity Specifications » « Web Single Sign-On Metadata Exchange Protocol » (Web SSO MEX), « Web Single Sign-On Interoperability Profile » (Web SSO Interop Profile)

44 Vers un méta système d’identité
Framework unifiant un monde composé de Multiples technologies d’identité, de multiples opérateurs et de multiples implémentations Permet aux utilisateurs de gérer leur identité dans un monde hétérogène En respectant les lois de l’identité « The Laws of Identity » « Microsoft's Vision for an Identity Metasystem »

45 Résumé de la session ADFS délivre De la collaboration B2B sur Internet
3/25/2017 1:04 AM Résumé de la session ADFS délivre De la collaboration B2B sur Internet Du Web SSO pour les utilisateurs internes et externes De l’interopérabilité entre plateformes Un modèle de programmation flexible et simplifié pour une approche de contrôle d’accès s’appuyant sur les rôles (RBAC) © Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

46 Pour plus d’informations
3/25/2017 1:04 AM Pour plus d’informations « Active Directory Federation Services: A Path to Federated Identity and Access Management » « The .NET Show: ADFS » Rejoignez les discussions sur © Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

47 Microsoft France 18, avenue du Québec 91 957 Courtaboeuf Cedex
3/25/2017 1:04 AM Microsoft France 18, avenue du Québec Courtaboeuf Cedex © Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.


Télécharger ppt "Fédération d'identité et ADFS de Windows Server 2003 R2"

Présentations similaires


Annonces Google