La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Fédération d'identité et ADFS de Windows Server 2003 R2 Philippe Beraud Consultant Principal Microsoft France.

Présentations similaires


Présentation au sujet: "Fédération d'identité et ADFS de Windows Server 2003 R2 Philippe Beraud Consultant Principal Microsoft France."— Transcription de la présentation:

1 Fédération d'identité et ADFS de Windows Server 2003 R2 Philippe Beraud Consultant Principal Microsoft France

2 La stratégie sécurité de Microsoft Isolation et résilience Excellencedelengineering Conseils,Outils,Réponse Mise à jour avancée Authentification,Autorisation,Audit

3 Sommaire Tendances en matière didentité Identité et gestion du cycle de vie Fédération didentité Active Directory Federation Services (ADFS) Architecture et composants Gestion des accès avec les Claims (Attributs Utilisateur) Démonstration Modèles de déploiement et de programmation ADFS et héritage des spécifications des services Web avancés WS-* Interopérabilité multi fournisseurs

4 Tendances en matière didentité Le domaine de la gestion de lidentité numérique est en cours de consolidation avec des services et produits dintégration didentité Gestion du cycle de vie et intégration sur-mesure « Provisioning », « deprovisioning », synchronisation de lidentité (intégration/agrégation), modification de lidentité, audit, gestion des mots de passe, etc. Mais il reste encore de nombreux domaines damélioration possibles Annuaire virtuel, « Single Sign-On » dentreprise, authentification à plusieurs facteurs, etc. Au coeur des zones dinnovation et dinvestissement se trouve la fédération didentité Face à ladoption massive des services Web, larrivée des architectures fédérées est inévitable… Car les services Web sont par essence des agents autonomes Cette nature autonome des services Web met laccent sur la gestion explicite des relations de confiance entre les applications Cette nature autonome des services Web nécessite que des processus ou des systèmes qui étaient centralisés évoluent vers un système fédéré Ceci sapplique non seulement aux identités de sécurité mais aussi aux annuaires de services et à ladministration des systèmes

5 Vers la construction des systèmes connectés Votre Entité et vos Collaborateurs Vos Fournisseurs Vos Partenaires Vos Collaborateurs itinérants Vos Clients

6 Fédération didentité Crée une meilleure efficacité opérationnelle Procure de nouvelles opportunités « business » pour les entreprises Scénarios B2B émergeant de collaboration et de partage de données Est au cœur de la problématique de la mise en place de ladministration électronique Alimente naturellement la croissance du marché de la gestion de lidentité numérique Services et produits de fédération interopérables The agreements, standards, and technologies that make identity and entitlements portable across autonomous domains. The Burton Group Federated Identity allows customers, partners and end-users to use Web services without having to constantly authenticate or identify themselves to the services within their federation. This applies both within the corporation and across the Internet. Michael Beach, The Boeing Company, Catalyst 2003

7 Fédération didentité Nécessite de définir les termes de la relation de confiance entre entités Relation « business », conditions et termes contractuels, gestion des clés, assertions, partage de politique, assurances techniques, exigences daudit, etc. Difficile à mesurer et à calibrer aujourdhui Trop ou pas assez de confiance placée dans lautre entité Dun point de vue technique, demande des mécanismes pour Matérialiser la relation de confiance entre entités Partage de clés symétriques, confiance dans une chaîne de certificats X509 Pour valider que lidentité reçue (jetons de sécurité/assertions) provient dun fournisseur didentité de confiance et donc pour attester de lauthenticité de lidentité fournie Nécessite de « parler » un protocole de sécurité commun Typiquement des protocoles de sécurité standardisés via des organismes comme IETF, OASIS

8 Active Directory Federation Services (ADFS) Annoncé au TechEd04 à SanDiego Vision en termes dauthentification et daccès Une ouverture de session unique et un accès sécurisé à tout (fonction de ses habilitations, accréditations et permissions) Deux philosophies connexes complémentaires au sein de lentreprise Capitaliser sur lidentité Windows (Kerberos) aussi loin que possible Capitaliser sur lidentité Windows (Kerberos) aussi loin que possible Étendre vers les « injoignables » avec des approches dintégration didentité comme Microsoft Identity Integration Server (MIIS) Étendre vers les « injoignables » avec des approches dintégration didentité comme Microsoft Identity Integration Server (MIIS) Gestion du cycle de vie de lidentité Version 1.0 disponible avec la version Windows Server 2003 Refresh (R2) au second semestre 2005 Actuellement en Bêta 2 Support des scénarios de gestion fédérée didentité pour laccès sécurisé aux applications Web du SI pour les partenaires (, fournisseurs) et clients en dehors de leur royaume de sécurité (p. ex. domaine/forêt) « Étendre Active Directory au-delà de la forêt » Livre blanc « Active Directory Federation Services: A Path to Federated Identity and Access Management » 95e06721b062/ADFS.doc 95e06721b062/ADFS.doc

9 Quelques définitions… Jetons de sécurité Bases pour une authentification et une autorisation distribuées Les jetons de sécurité définissent des affirmations (claims) faites au sujet dune identité, daptitude ou de privilèges Nom, adresse mèl, clé, groupe, rôle, etc. Attributs/propriétés de sécurité Quelques exemples Signé Certificat X.509, ticket Kerberos, assertion SAML, licence XrML, etc. Exigence ou non dune preuve de possession Clé secrète, mot de passe

10 Quelques définitions… Service de jetons de sécurité Un service de jetons émet des jetons de sécurité Un service de jeton peut « échanger » des jetons lorsque la requête traverse les frontières de royaumes de sécurité Ticket Kerberos contenant des claims SID= S Jeton SAML contenant des assertions Company=A.Datum Role=Purchasing Agent Centre de distribution des clés Service de jetons de sécurité

11 Fédération didentité en action 1.Lutilisateur A. Datum accède le portail A. Datum pour accéder à lapplication Ordering de Trey Research Trey Research Inc. 2.Lutilisateur A. Datum est redirigé vers le STS A. Datum Authentification transparente avec Active Directory et lauthentification intégrée Windows (ticket Kerberos)Authentification transparente avec Active Directory et lauthentification intégrée Windows (ticket Kerberos) 3.Lutilisateur A. Datum obtient du STS A. Datum une assertion SAML pour le STS Trey Research Claims de fédération relatifs au cadre de confiance entre A. Datum et Trey ResearchClaims de fédération relatifs au cadre de confiance entre A. Datum et Trey Research 4.Lutilisateur A. Datum obtient du STS Trey Research une assertion SAML pour lapplication Claims spécifiques à lapplication Ordering de Trey Research Claims spécifiques à lapplication Ordering de Trey Research 5.Lutilisateur A. Datum accède à lapplication Ordering de Trey Research Serveur de fédération SIDs/Attributs Claims de fédération Claims applicatifs Serveur Web Portail A. Datum Corp Eric Active Directory Serveur de fédération

12 Composantes ADFS v1.0

13 Active Directory ou Active Directory Application Mode (AD/AM) Fournisseur didentités Authentification des utilisateurs Gestion des attributs utilisés pour constituer les claims Support des forêts Windows 2000 et 2003 Federation Service (FS) Service de jetons de sécurité Gestion des politiques de confiance de fédération Federation Service Proxy (FS-P) Proxy client pour les demandes de jetons Web Server SSO Agent (Agent SSO) Agent dauthentification Sassure de lauthentification utilisateur Constitue le contexte utilisateur dautorisation

14 Composantes ADFS Notes Les composantes FS et FS-P sont co-logés par défaut et peuvent être dissociés Les composantes FS, FS-P et SSO Agent requièrent la version IIS 6.0 de Windows 2003 R2 WS FS FS-P HTTPS Active Directory ou AD/AM Application LPC/Méthodes Web Authentification Kerberos/LDAP Agent SSO

15 ADFS Federation Service (FS) Service hébergé par ASP.NET sous IIS 6.0 – Windows 2003 Server R2 Gestion de la politique de fédération Établissement de la confiance pour les jetons de sécurité signés via la distribution de clés basés sur les certificats Définition des types de jeton/claim et de lespace de noms partagés pour les royaumes de sécurité fédérés Génération des jetons de sécurité Obtention des attributs utilisateur pour la génération des claims depuis AD (ou ADAM) via LDAP Transformation des claims (si requis) entre les espaces de noms interne et de fédération Construction dun jeton de sécurité SAML signé et envoi au FS-P Construction du contenu du cookie dauthentification SSO générique (« Authentication cookie ») et envoi au FS-P Authentification utilisateur

16 ADFS Federation Service Proxy (FS-P) Service hébergé par ASP.NET sous IIS 6.0 – Windows 2003 Server R2 Authentification utilisateur Interface graphique pour la Découverte du Royaume dAppartenance et louverture de session Authentification des utilisateurs (Forms, Windows intégrée, SSL Client) Écriture du cookie de royaume (« Account Partner cookie ») pour le Browser Écriture du cookie dauthentification SSO générique (« Authentication cookie ») pour le Browser (similaire au TGT Kerberos) Traitement des jetons de sécurité Demande dun jeton de sécurité pour le compte dun client au FS Routage du jeton vers le serveur Web via une « redirection POST » au travers du Browser

17 Web Server SSO Agent Extension ISAPI pour IIS 6.0 – Windows 2003 Server R2 Authentification utilisateur Interception des requêtes URL GET et redirection des clients non authentifiés vers le FS-P Écriture du cookie dauthentification WebSSO (« Web Server SSO ») au niveau du Browser (similaire au ticket de service Kerberos) Service Windows Authentification utilisateur Création du jeton NT pour lusurpation didentité (utilisateurs AD seulement) Module HTTP.NET Traitement du jeton de sécurité – Applications non « Claims aware » Traitement du jeton de sécurité – Applications non « Claims aware » Validation du jeton de sécurité utilisateur et parcours des claims dans le jeton Autorisation utilisateur Peuplement du contexte ASP.NET GenericPrincipal avec les claims pour le support de IsInRole() Fourniture des claims brutes à lapplication

18 Interopérabilité avec dautres serveurs Web Disponibilité de solutions tierces « ADFS aware » disponibles lors de la sortie dADFS pour les serveurs non Microsoft Vintela Services for Java (VSJ) Centrify DirectControl

19 Gestion fédérée didentité ADFS Espace de noms privés Serveur de fédération Espace de noms privés « Projette » les identités Active Directory dans dautres royaumes de sécurité Émission de jetons de sécurité Gestion de la confiance – Clés la sécurité – Jetons/Claims nécessaires la confidentialité -- Jetons/Claims autorisés laudit -- Identités, autorités Serveur de fédération Entité B Entité A Fédération

20 Traitement des jetons et des claims Demande de jeton Ouverture de session Claims Magasins didentités AD ADAM Cookie Magasins de politiques Primaire Secondaire Jeton en réponse Queue interne Queue IIS Parcours et validation Extracteur de claims Transformation des claims Création et signature du jeton SAML Cache des politiques de confiance 1.Ouverture de session 2.Extraction des claims Conten u ?

21 Support des jetons de sécurité Type de jetons émis Exclusivement des assertions SAML 1.1 (Security Assertion Markup Language) dans la version 1.0 dADFS OASIS Security Services (SAML) TC Aucun chiffrage des jetons Lensemble des messages est véhiculé sur HTTPS Signature des jetons Par défaut – Signature avec la clé privée RSA et signature vérifiée avec la clé publique du certificat X.509 correspondant Optionnel – Signature avec la clé de session Kerberos Concerne uniquement les jetons FS-R pour le Web Server SSO Agent Exécution du Service Windows du Web Server SSO Agent avec un compte de service de domaine et avec un SPN configuré (identification du service lors de la séquence dauthentification Kerberos Utilisation de SetSpn.exe du Kit de Ressources Techniques ab77-46a3-9cfe-ff01d29e5c46&displaylang=en ab77-46a3-9cfe-ff01d29e5c46&displaylang=en

22 Types de claims supportés Types de claim interopérables WS-Federation Identité User Principal Name (UPN) Adresse mèl Common Name (toute chaîne de caractères) Groupe Personnalisé (paire nom/valeur, exemple SS= ) Données authZ seulement pour ADFS-vers-ADFS SIDs Permet déviter les comptes fantômes (pour les collaborateurs) en Extranet DMZ Transmission des SIDs dans lélément Advice du jeton SAML Claims organisationnels Ensemble commun de claims à travers des magasins didentité et des partenaires Marquer les claims organisationnels comme « auditable » si la valeur du claim ne doit pas être loguée

23 Extensibilité du traitement des claims Une interface permet à des modules Plug-in dêtre développés pour des transformations de claim personnalisées ADFS v1 supporte un module unique de transformation de claims, Pas de pipeline pour de multiples modules Autorise des consultations dans un magasin LDAP ou SQL Support des transformations de claim complexes exigeant du calcul

24 Magasin AD Flot des claims ADFS de fédération Application Partenaire - Compte Application - Ressource PeuplementTransformation Activation Transmission des claims Claims en sortie Claims en entrée Transformation Claims organisationnels Ressource Compte

25

26 Modèles de déploiement et de programmation ADFS

27 Scénario B2B – Web SSO fédéré Absence de compte local pour les partenaires FS-A SW FS-R Forêt intranet Fédération Pare-feu Pare-feu Pare-feu Pare-feu Client Client Acheteurinterne Agent dinventaire A. Datum Corp. Trey Research Inc. Applications Web de commandes et de contrôle dinventaire Les utilisateurs A. Datum utilisent leur compte AD A. Datum Intranet : Web SSO à lissue de louverture de session Windows Internet : Web SSO à lissue de louverture de session Forms ou dune authentification SSL cliente FS-P A (ext)

28 Scénario B2E – Web SSO Extranet SSO pour linterne et les utilisateurs itinérants FS-A FS-P A (ext) ApplicationWeb FS-R ForêtintranetForêtDMZ Pare-feu Pare-feu Client Gestionnaire de stock Commercial Acme Sporting Goods Relation de confiance Windows Windows Application Web de commandes en ligne dans la DMZ Tous les utilisateurs Acme Sporting Goods ont leur compte dans lAD intranet Intranet : Web SSO à lissue de louverture de session Windows Internet : Web SSO à lissue de louverture de session Forms ou dune authentification SSL cliente Fédération

29 Scénario B2C – Web SSO « en ligne » Web SSO classique pour les internautes SW FS Forêtintranet ForêtDMZ Pare-feu Pare-feu Acme Sporting Goods Site de commerce en ligne et services client associés Les clients disposent de comptes dans la DMZ (AD ou AD/AM) Internet : Web SSO à lissue de louverture de session Forms AD/AM Client

30 Modèle de programmation de sécurité ADFS Concerne le Web Server SSO Agent Authentification des utilisateurs pour lapplication Création du contexte dautorisation pour lapplication (Impersonation NT et) ACLs Modèle de contrôle daccès basés sur les rôles Role-based Access Control ou RBAC Méthode ASP.NET IsInRole() Logique dautorisation bâtie sur la correspondance de chaîne Intégration Authorization Manager (AzMan) Designing Application-Managed Authorization » « Designing Application-Managed Authorization » Ajout des claims Rôle/Groupe au contexte AzMan Évolution des APIs AzMan dans Windows 2003 SP1 API ASP.NET de bas niveau pour les claims System.Web.Security.SingleSign(.Authorization)

31 Fédération ADFS avec RBAC Trey Research FS-A FS-R ApplicationOrdering Portail A. Datum Corp Intégration ADFS avec AzMan Active Directory SIDs/Attributs Claims de fédération Claims applicatifs Rôles AzMan (RBAC)Eric

32 Héritage des spécifications des services Web avancés * Interopérabilité * Extensibilité

33 Fédération et services Web Tous les deux offrent une capacité dintégration à couplage lâche entre domaines autonomes (au sein dune même entreprise ou entre entreprises) Les services Web doivent sidentifier et sauthentifier eux-mêmes, et/ou lutilisateur pour le compte duquel ils agissent Modèle actuel Web SSO pour les browser avec SSL/TLS et les cookies Web SSO pour les browser avec SSL/TLS et les cookies Services Web SOAP avec une authentification HTTP Basic, SSL/TLS ou intégrée Modèle émergeant/futur Web Services Security, SAML, et dautres jetons pour les clients SOAP WS-*WS-*

34 Spécifications des services Web WS-* Web Service Architecture (WSA) WS-* Web Service Architecture (WSA) Pile WS-*, STAR pour Secure, Transactional, Asynchronous, Reliable « An Introduction to the Web Services Architecture and Its Specifications » HTTP, HTTPS, SMTP, etc. TransportsTransports XML, SOAP, Addressing MessagingMessaging XSD, WSDL, UDDI, Policy, MetadataExchange DescriptionDescription ComposableServiceAssurancesComposableServiceAssurances TransactionsTransactionsReliableMessagingReliableMessaging Service Composition SecuritySecurity BPEL4WS, Management

35 WS-Federation « Web Services Federation Language » BEA, IBM, Microsoft, RSA Security, VeriSign, Juillet Vision Livre blanc « Federation of Identities in a Web Services World » strategy.asp strategy.asp Définit les messages permettant à des royaumes de sécurité de fédérer et déchanger des jetons de sécurité Authentification unique entre domaines de confiance Ouverture de session (Sign in) Fermeture de session (Global sign out) Définit lutilisation de services fédérés dattributs et de pseudonymes dans ce cadre Supporte différentes topologies de confiance Modélisation des pratiques commerciales existantes Capitalisation sur linfrastructure existante Supporte différents modèles de fédération Avec ou sans mappage/liaison didentité Fixe, par couple, « aléatoire », etc.

36 Un protocole, plusieurs liaisons Un protocole commun : « Web Services Trust Language » (WS-Trust) Actional, BEA Systems, CA, IBM, L7T, Microsoft, Oblix, OpenNetwork, PingId, Reactivity, RSA, Verisign, Février Définition de deux « profils » Clients passifs (Browser) – HTTP/S Clients intelligents (Smart) actifs – SOAP Support des services Messages HTTP Messages SOAP Service de Jetons de sécurité RécepteurHTTPRécepteurHTTP RécepteurSOAPRécepteurSOAP

37 Passive Requestor Profile « Web Services Federation Language: Passive Requestor Profile » BEA, IBM, Microsoft, RSA Security, Juillet Supporté par ADFS v1 dans Windows Server 2003 R2 Support de WS-Trust et WS-Federation pour les clients passifs (browser) Adhésion implicites aux politiques en suivant les redirections 302 Acquisition implicite de jetons via les messages HTTP Requiert un transport sécurisé (HTTPS) pour lauthentification Aucune fourniture de « preuve de possession » pour les jetons Mise à cache limitée (durée) des jetons Les jetons PEUVENT être rejoués

38 Passive Requestor Profile Requesting Browser Requestors IP/STS Target Resource Targets IP/STS Detect realm Redirect to requestors IP/STS Login Return identity tokenReturn resource token Return secured response Get resource Redirect to resources IP/STS GET https://res.resource.com/app HTTP/1.1 HTTP/ Found Location: https://sts.resource.com/sts?wa=wsignin1.0&wreply=http://res.resource.com/app&wct= T19:06:21Z GET https://sts.resource.com/sts?wa=wsignin1.0&wreply= https://res.resource.com/app&wct= T19:06:21Z HTTP/1.1 HTTP/ Found Location: https://sts.account.com/sts?wa=wsignin1.0&wreply=https://sts.resource.com/sts&wctx= https://res.resource.com/app&wct= T19:06:22Z&wtrealm=resource.com GET https://sts.account.com/sts?wa=wsignin1.0&wreply=https://sts.resource.com/sts&wctx=https://res.resource.com/app&wct= T19:06:22Z&wtrealm=resource.com HTTP/1.1 HTTP/ OK... Working... POST setTimeout('document.forms[0].submit()', 0); POST https://sts.resource.com/sts HTTP/1.1 …... wa=wsignin1.0 wctx=https://res.resource.com/app wresult=... HTTP/ OK... Working... POST setTimeout('document.forms[0].submit()', 0); POST https://res.resource.com/app HTTP/ wa=wsignin1.0 wresult=...

39 Interopérabilité WS-Federation Ateliers/liste de distribution publics WS-* afin de préparer les spécifications WS-* à la soumission à des organismes de standardisation WS-Federation Passive Requestor Profile Interoperability Workshop 29 mars 2004 Concerne le Passive Requestor Profile et les assertions SAML Interopérabilité au sens service de jetons de sécurité Livre blanc« Federated Identity Management Interoperability » « WS-Federation Passive Requestor Interoperability Profile » 6ab d/ Fed_passive_profile_interop_workshop_invite_pack.zip 6ab d/ Fed_passive_profile_interop_workshop_invite_pack.zip 100% dinteropérabilité atteinte par lensemble des participants Microsoft, IBM, RSA, Oblix, PingID, Open Network, Netegrity Annonce de solutions WS-Federation et présentation des pré versions lors de TechEd04 à SanDiego « Leading Identity Management Vendors Join Microsoft to Demonstrate Federated Identity Using Web Services »

40 Active (Smart) Requestor Profile ADFS v2.0 avec Longhorn Support de WS-Trust et WS-Federation pour les clients actifs (« conscients » de SOAP/XML) Détermination explicite des jetons nécessaires à partir des politiques Demande explicite de jetons via des messages SOAP Authentification forte de lensemble des demandes Peut fournir une preuve de possession pour les jetons Support de la délégation Les clients peuvent fournir un jeton à un service Web afin que ce dernier lutilise en leur nom Mise à cache évoluée des jetons au niveau du client Amélioration de lexpérience utilisateur et des performances Mise à disposition dune infrastructure de sécurité pour les services Web avancés (Indigo) Première étape vers Active Directory comme service pour les architectures orientées services Rendre possible les scénarios de gestion fédérée didentité pour les services Web WS-* sécurisés inter opérables

41 Active (Smart) Requestor Profile Requesting Service Requestors IP/STS Target Service Targets IP/STS Acquire policy Request token Return token Request token Return token Send secured request Return secured response

42 Modèle de fédération piloté par les méta données Service didentité Services de pseudonymes et dattributs Service Cible Politique de fédération Politique daccès Service de jetons de sécurité (le service de contrôle daccès fournit les jetons de permission) Les services comprennent des jetons spécifiques, les services de jetons de sécurité traduisent les jetons (de ce que le principal possède à ce que lapplication a besoin) et WS-* fournit une pile standard et lenveloppe

43 Interopérabilité avec Liberty Alliance Spécification Liberty Alliance ID-FF 1.2 Fournit les liaisons de comptes via léchange dinformations obscurcies et dautres éléments ajoutés par rapport à OASIS SAML 1.x Méta données de fermeture de session (Global logout) notamment Spécifications de Web SSO entre ID-FF 1.2 et WS-Federation annoncées le 13 mai dernier lors de la conférence de presse Microsoft/Sun « Microsoft and Sun Publish Web Single Sign-On (SSO) Identity Specifications » « Web Single Sign-On Metadata Exchange Protocol » (Web SSO MEX), « Web Single Sign-On Interoperability Profile » (Web SSO Interop Profile)

44 Vers un méta système didentité Framework unifiant un monde composé de Multiples technologies didentité, de multiples opérateurs et de multiples implémentations Permet aux utilisateurs de gérer leur identité dans un monde hétérogène En respectant les lois de lidentité « The Laws of Identity » us/dnwebsrv/html/lawsofidentity.asp us/dnwebsrv/html/lawsofidentity.asp « Microsoft's Vision for an Identity Metasystem » us/dnwebsrv/html/identitymetasystem.asp us/dnwebsrv/html/identitymetasystem.asp

45 Résumé de la session ADFS délivre De la collaboration B2B sur Internet Du Web SSO pour les utilisateurs internes et externes De linteropérabilité entre plateformes Un modèle de programmation flexible et simplifié pour une approche de contrôle daccès sappuyant sur les rôles (RBAC)

46 Pour plus dinformations « Active Directory Federation Services: A Path to Federated Identity and Access Management » 95e06721b062/ADFS.doc 95e06721b062/ADFS.doc « The.NET Show: ADFS » R ejoignez les discussions sur R ejoignez les discussions sur

47 Microsoft France 18, avenue du Québec Courtaboeuf Cedex


Télécharger ppt "Fédération d'identité et ADFS de Windows Server 2003 R2 Philippe Beraud Consultant Principal Microsoft France."

Présentations similaires


Annonces Google