La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

ADFS, lexpérience Web SSO (fédérée) 1 ère partie Philippe Beraud Consultant Principal Microsoft France.

Présentations similaires


Présentation au sujet: "ADFS, lexpérience Web SSO (fédérée) 1 ère partie Philippe Beraud Consultant Principal Microsoft France."— Transcription de la présentation:

1 ADFS, lexpérience Web SSO (fédérée) 1 ère partie Philippe Beraud Consultant Principal Microsoft France

2 Sommaire Vue densemble dADFS Composantes Scénarios de mise Eléments darchitecture dADFS Politique et configuration ADFS Federation Service (FS) Federation Service Proxy (FS-P) Web Agents Interopérabilité entre plates-formes WS-Federation Passive Requestor Interop Profile (WS-Fed PRIP)

3 Active Directory Federation Services Objectifs Projeter lidentité utilisateur sur la base dune première ouverture de session Etendre le périmètre dutilisation dActive Directory Fournir des mécanismes dauthentification et dautorisation distribués Permettre aux clients, partenaires, fournisseurs, collaborateurs un accès sécurisé et contrôlé aux applications web situées hors de leur forêt Active Directory Connecter les « îles » ( à travers les frontières des plateformes, organisationnelles ou de sécurité) Permettre la mise en place de solutions de Web SSO ainsi quune gestion simplifiée des identités

4 Active Directory Federation Services Quelques précisions ADFS nest pas Le nouveau nom de Microsoft Passport Un nouveau référentiel didentités Un nouveau type de relation dapprobation ou de forêt ADFS ne nécessite pas Une extension du schéma Active Directory ADFS est Un composant de Windows 2003 Server R2 Une implémentation interopérable de la spécification WS-Federation Passive Requestor Profile (WS-F PRP) ADFS sappuie sur un certain nombre de composants de loffre Microsoft AD et AD/AM en temps que référentiel utilisateur ASP.Net 2.0 Certificate Services (optionnel) Authorization Manager (optionnel)

5 Quelques définitions… Jetons de sécurité Bases pour une authentification et une autorisation distribuées Les jetons de sécurité définissent des déclarations (claims) faites au sujet dune identité, daptitude ou de privilèges Nom, adresse mèl, clé, groupe, rôle, etc. Attributs/propriétés de sécurité Quelques exemples Signé Certificat X.509, ticket Kerberos, assertion SAML, licence XrML, etc. Exigence ou non dune preuve de possession Clé secrète, mot de passe

6 Quelques définitions… Service de jetons de sécurité Un service de jetons émet des jetons de sécurité Un service de jeton peut « échanger » des jetons lorsque la requête traverse les frontières de royaumes de sécurité Ticket Kerberos contenant des claims SID= S Jeton SAML contenant des assertions Company=A.Datum Role=Purchasing Agent Centre de distribution des clés Service de jetons de sécurité

7 Composantes ADFS Active Directory ou Active Directory Application Mode (AD/AM) Fournisseur didentités Authentification des utilisateurs Gestion des attributs utilisés pour constituer les claims Support des forêts Windows 2000 et 2003 Federation Service (FS) Service de jetons de sécurité Mappage des attributs utilisateur en claims Emission de jetons de sécurité Gestion des politiques de confiance de fédération Federation Service Proxy (FS-P) Proxy client pour les demandes de jetons UI pour les clients Browser (Découverte du royaume, Authentification) Web Server SSO Agent (Agent SSO) Agent dauthentification Sassure de lauthentification utilisateur Constitue le contexte utilisateur dautorisation

8 Composantes ADFS Notes Les composantes FS et FS-P sont co-logés par défaut et peuvent être dissociés Les composantes FS, FS-P et SSO Agent requièrent la version IIS 6.0 de Windows Server 2003 R2 Seuls les clients Browser sont supportés WS FS FS-P HTTPS Active Directory ou AD/AM Application LPC/Méthodes Web Authentification Kerberos/LDAP Agent SSO

9 Gestion fédérée didentité ADFS Espace de noms privé A. Datum Corp. FS-A Espace de noms privé Trey Research, Inc. « Projette » les identités Active Directory dans dautres royaumes de sécurité Émission de jetons de sécurité Gestion de la confiance – Clés la sécurité – Jetons/Claims nécessaires la confidentialité -- Jetons/Claims autorisés laudit -- Identités, autorités FS-R Fournisseur de ressources Fournisseur de compte Fédération

10 Flux dauthentification ADFS FS-A WS FS-R Forêt intranet Forêt DMZ Fédération Pare-feu Pare-feu Pare-feu Pare-feu Client [1] HTTP GET par le browser à destination du serveur Web (WS) [1] Relation de confiance établie « out-of-band » par léchange de certificats X.509 et de politiques de claims Articulation de lensemble de lauthentification autour du client pour les clients Browser FS-PA [6] [2] Redirection HTTP 302 vers FS-P R Découverte du Royaume dAppartenance Découverte du Royaume dAppartenance [2] [3] [3] Redirection HTTP 302 vers FS-A Authentification de lutilisateur et demande de jeton Authentification de lutilisateur et demande de jeton [4] [4] Obtention des attributs par FS-A et construction du jeton(A) [5] [5] Renvoi par FS-A du jeton(A) au browser HTTP POST par le browser du jeton(A) vers FS-P HTTP POST par le browser du jeton(A) vers FS-P [6] [6] Construction par FS-R dun jeton(R) à partir du jeton(A) [7] [7] Renvoi par FS-R du jeton(R) au browser HTTP POST par le browser du jeton(R) à WS HTTP POST par le browser du jeton(R) à WS [8] [8] Renvoi par WS de la page

11 Démonstration Fédération didentité en action

12 Scénario B2B – Web SSO fédéré Les partenaires nont PAS besoin de comptes locauxFS-A SW FS-R Forêt intranet Fédération Pare-feu Pare-feu Pare-feu Pare-feu Client Client Acheteurinterne Acheteur nomade A. Datum Corp. Trey Research Inc. FS-P A (ext) Applications Web hébergées chez Trey Research,Inc. Les utilisateurs A. Datum Corp. utilisent leur compte AD A. Datum Corp. Intranet : Web SSO à lissue de louverture de session Windows Internet : Web SSO à lissue de louverture de session Forms ou dune authentification SSL cliente

13 Scénario B2E – Web SSO Extranet SSO pour linterne et les utilisateurs itinérantsFS-A FS-P A (ext) ApplicationWeb FS-R ForêtintranetForêtDMZ Pare-feu Pare-feu Client Gestionnaire de stock Commercial Acme Sporting Goods Relation de confiance Windows Windows Fédération Application Web de commandes en ligne dans la DMZ Tous les utilisateurs Acme Sporting Goods ont leur compte dans lAD intranet Intranet : Web SSO à lissue de louverture de session Windows Internet : Web SSO à lissue de louverture de session Forms ou dune authentification SSL cliente

14 Scénario B2C – Web SSO « en ligne » Web SSO classique pour les internautesSW FS Forêtintranet ForêtDMZ Pare-feu Pare-feu Acme Sporting Goods AD/AM Client Site de commerce en ligne et services client associés Les clients disposent de comptes dans la DMZ (AD ou AD/AM) Internet : Web SSO à lissue de louverture de session Forms

15 Sommaire Vue densemble dADFS Composantes Scénarios de mise Eléments darchitecture dADFS Politique et configuration ADFS Federation Service (FS) Federation Service Proxy (FS-P) Web Agents Interopérabilité entre plates-formes WS-Federation Passive Requestor Interop Profile (WS-Fed PRIP)

16 Architecture ADFS IIS ASP.NET AD IIS ASP.NET IIS ASP.NET Politique de confiance FS Information de confiance Domaine/Forêt Version politique de confiance Information de configuration FS-Proxy Information de configuration Web Agent Métabase IIS Federation Service (FS) Federation Service Proxy (FS-P) Web Server SSO Agent Lecture/ écriture Lecture seule Web.config Chemin Cookie Chemin Cookie Audiences Audiences URLs de retour URLs de retour URL Service FS Web.config Web.config Magasin de politique de confiance FS

17 Jetons de sécurité ADFS Exclusivement des assertions SAML 1.1 (Security Assertion Markup Language) Aucun chiffrement des jetons Lensemble des messages est véhiculé sur HTTPS Les jetons sont signés Interopérabilité avec dautres solutions (défaut) Signature avec la clé privée RSA et signature vérifiée avec la clé publique du certificat X.509 correspondant Gestion des clés internes ADFS (optionnel) Les jetons FS-R à destination dun Agent SSO peuvent être signés avec la clé de session Kerberos

18 Emission de certificats Auto-signé, Microsoft Certificate Services, AC commerciale Certificat de signature et clé privée Le FS doit signer les assertions SAML quil génère Stocké dans le magasin de certificats Machine Certificats de vérification Un FS doit être à même de vérifier les assertions SAML émises Par : lui-même, dautres FS au sein de la ferme, des FS partenaires de confiance Stockés dans la politique de confiance La chaîne de certification est stockée en entier De multiple certificats peuvent être configurés Certificats FS pour la signature

19 Types de claims supportés Types de claim interopérables WS-Federation Identité User Principal Name (UPN) Adresse mèl Common Name (toute chaîne de caractères) GroupePersonnalisé Paire nom/valeur, exemple SS= Données authZ seulement pour ADFS-vers-ADFS SIDs Envoyés afin déviter les comptes fantômes en Extranet DMZ Envoyés dans lélément Advice du jeton SAML (ne constitue pas un type de claim standard)

20 Traitement des jetons et des claims Demande de jeton Ouverture de session Claims Magasins didentités AD ADAM Cookie Magasins de politiques Primaire Secondaire Jeton en réponse Queue interne Queue IIS Parcours et validation Extracteur de claims Transformation des claims Création et signature du jeton SAML Cache des politiques de confiance 1.Ouverture de session 2.Extraction des claims Conten u ?

21 Transformation des claims Remplacement de suffixe – Claim Identité UPN et Adresse mèl Supporté uniquement pour les claims allant vers un partenaire de ressources fédéré Transformation « Groupe vers Groupe » Group=Purchasing Agents Group=Purchasers Transformation des noms de claim personnalisés SS= NumSecSos= Transformation « Groupe vers UPN » Supporté uniquement pour les claims provenant dun partenaire de comptes fédéré Transformation « Groupe SAML vers Groupe AD » (SG2ADG) Supporté uniquement pour les claims provenant dun partenaire de comptes fédéré Transformation personnalisée Interface pour développer des modules Plug-in de transformation Cf. 2 nde partie

22 Magasin AD Flot des claims ADFS de fédération Application Partenaire - Compte Application - Ressource PeuplementTransformation Activation Transmission des claims Claims en sortie Claims en entrée Transformation Claims organisationnelles Ressource Compte

23 Schématique FS-Proxy Requête Page Client Logon Page Sign Out Page Discover Client Realm Application Pool W3WP.exe W3ADMW3ADMW3ADMW3ADM Aspnet_isapi.dll HTTP.SYS HttpApplication HttpHandler Aspnet_wp.exe LS Authentication Module

24 Authentification utilisateur Traitement Cookie Federation Service (FS-R) Federation Service Proxy (FS-P) FS-P Compte IU Forms Web Demande de jeton Crédentiels dauthN Utilisateur (session établie: claims depuis le Cookie de cache) Cred. dauthN Utilisateur bb. d. e. c. f. Réponse à la demande de jeton Assertion SAML (initialisation de la session établie: claims pour le Cookie de cache) b. a. g. Demande de jeton 302 depuis FS-R Réponse à la demande de jeton POST vers FS-R Browser

25 Federation Service (FS-R) Identification utilisateur Traitement Cookie FS-P Ressource IU Découverte de royaume Demande de jeton Assertion SAML (session établie: claims depuis le Cookie de cache) Royaume Compte Utilisateur bb. f. g. e. h. Federation Service Proxy (FS-P) Réponse à la demande de jeton Assertion SAML (initialisation de la session établie: claims pour le Cookie de cache) Browser b. c.i. Demande de jeton 302 vers FS-A Réponse à la demande de jeton POST vers Agent Web d. Demande de jeton 302 depuis Agent Web Réponse à la demande de jeton POST depuis FS-A a. Cookie Royaume Compte Paramètre Royaume Compte

26 Agent Web SSO Agent Application basée sur un jeton NT Windows 2003 Windows 2000 Validation de la signature de lassertion SAML et extraction des claims Application Pool W3WP.exe LsaLogonUser Requête Kerberos AuthN Provider ADFS AuthN Provider HTTP.SYS W3ADMW3ADMW3ADMW3ADM Extension ISAPI Filtre ISAPI Service Windows Assemblage WebSSO Code géré Code natif Application Web Impersonation jeton NT Construction dun jeton NT Transmission de lassertion SAML et récupération des claims Pipeline de requête IIS Vérification pour lassertion SAML ou le Cookie ADFS

27 Démonstration Web SSO ADFS et les technologies SharePoint

28 Application Pool Agent Web SSO Agent Application « Claim-Aware »W3WP.exe Aspnet_wp.exe Requête HttpApplication HttpHandler HTTP.SYS W3ADMW3ADMW3ADMW3ADM Aspnet_isapi.dll Assemblage WebSSO Web SSO Authentication Module

29 Interopérabilité avec dautres serveurs Web Centrify DirectControl for Microsoft ADFS Offre un équivalent « cross-plateformes » à lagent ADFS Web SSO pour IIS 6.0 : Apache, WebLogic, Tomcat, Websphere, JBoss Supporte aussi bien les applications sans modification que les applications qui ont été étendues pour tirer partie de lenvironnement SAML (« Claim- Aware ») Quest Vintela Single Sing-On for Java (VSJ) v3.1 Filtre servlet VSJ 3.1 ADFS Aucune modification nécessaire avec VSJ 3.1 pour les applications Java existantes PingID/SourceID WS-Federation for Apache 2.0 Toolkit Module en Open Source à destination des applications Apache écrites en Java, Perl et PHP

30 Sommaire Vue densemble dADFS Composantes Scénarios de mise Eléments darchitecture dADFS Politique et configuration ADFS Federation Service (FS) Federation Service Proxy (FS-P) Web Agents Interopérabilité entre plates-formes WS-Federation Passive Requestor Interop Profile (WS- Fed PRIP)

31 WS-Federation Passive Requestor Profile Supporté par ADFS v1 dans Windows Server 2003 R2 « Binding » des spécifications WS-Trust et WS-Federation des services Web de seconde génération à destination des clients passifs (browser) « Web Services Federation Language: Passive Requestor Profile » (WS-Fed PRP) BEA, IBM, Microsoft, RSA Security, Verisign Juillet Adhésion implicite aux politiques en suivant les redirections 302 Acquisition implicite de jetons via les messages HTTP Requiert un transport sécurisé (HTTPS) pour lauthentification Aucune fourniture de « preuve de possession » pour les jetons Mise à cache limitée (durée) des jetons Les jetons PEUVENT être rejoués

32 Interopérabilité WS-Fed PRP Revues des spécifications et ateliers de mise en œuvre publics WS-Federation Passive Requestor Profile Interoperability Workshop (2004) Microsoft, IBM, RSA, Oracle (Oblix), PingID, BMC (Open Network), CA (Netegrity) Interopérabilité au sens service de jetons de sécurité pour les assertions SAML WS-Federation Passive Requestor Interoperability Profile (WS-Fed PRIP) 6ab d/ Fed_passive_profile_interop_workshop_invite_pack.zip 6ab d/ Fed_passive_profile_interop_workshop_invite_pack.zip Avant-première des solutions WS-Federation lors de TechEd04 (2004) Pavillon dinteropérabilité TechEd « Leading Identity Management Vendors Join Microsoft to Demonstrate Federated Identity Using Web Services » Interopérabilité des solutions WS-Federation au Burton Catalyst (2005) Démonstration dinteropérabilité multi-protocoles de fédération didentité Microsoft, IBM, BMC, PingID, Symabs, Trustgenix, DataPower

33 WS-Fed PRIP Paramètres URL de la « Query String » Requêtes de jeton wa=wsignin1.0 wtrealm=resource realm URI [wreply=resource IP/STS Url] [wctx=anything] [wct=ISO8601 UTC] Réponseswa=wsignin1.0wresult=RequestSecurityTokenResponse [wctx=wctx from the request] [wctx=wctx from the request]

34 WS-Fed PRIP Requesting Browser Requestors IP/STS Target Resource Targets IP/STS Detect realm Redirect to requestors IP/STS Login Return identity tokenReturn resource token Return secured response Get resource Redirect to resources IP/STS GET https://res.resource.com/app HTTP/1.1 HTTP/ Found Location: https://sts.resource.com/sts? wa=wsignin1.0 & wreply= GET https://sts.resource.com/sts? wa=wsignin1.0 & wreply= https://res.resource.com/app&wct= T19:06:21Z HTTP/1.1 HTTP/ Found Location: https://sts.account.com/sts? wa=wsignin1.0 & wreply= https://sts.resource.com/sts& wctx= https://res.resource.com/app& wct= T19:06:22Z& wtrealm= resource.com GET https://sts.account.com/sts? wa=wsignin1.0 & wreply= https://sts.resource.com/sts& wctx= https://res.resource.com/app& w ct= T19:06:22Z& wtrealm= resource.com HTTP/1.1 HTTP/ OK... Working... POST setTimeout('document.forms[0].submit()', 0); POST https://sts.resource.com/sts HTTP/1.1 …... wa=wsignin1.0 wctx= https://res.resource.com/app wresult=... HTTP/ OK... Working... POST setTimeout('document.forms[0].submit()', 0); POST https://res.resource.com/app HTTP/ wa=wsignin1.0 wresult=...

35 WS-Fed PRIP Requested Security Token Response (RSTR) https://www.treyresearch.net/adfs/fs https://www.treyresearch.net/adfs/fs

36 WS-Fed PRIP https://www.treyresearch.net/adfs/fs AuthenticationInstant=" T19:29:23Z"> … … AttributeNamespace="http://schemas.xmlsoap.org/claims">http://schemas.xmlsoap.org/claims Purchasing Agent Purchasing Agent … … Syntaxe des assertions SAML 1.1

37 Interopérabilité WS-Fed PRP Adoption de WS-Federation PRIP Supporté par BMC Federated Identity Manager IBM Tivoli Federated Identity Manager Future fonctionnalité courant 2006 de CA eTrust SiteMinder Federation Security Services Citrix Access Suite Internet2 Shibboleth 1.3 (Shib-ADFS) PingID PingFederate v3.1 Source Burton Group « Federation Products: Building Blocks of a Growing Federation Ecosystem »

38 Pour plus dinformations sur ADFS Page daccueil ADFS sur Microsoft TechNet 48b3-b30e-bf310399ff5d1033.mspx 48b3-b30e-bf310399ff5d1033.mspx « Overview of Active Directory Federation Services (ADFS) in Windows Server 2003 R2 » « Active Directory Federation Services Design Guide » bcfc-5aa02314e06e1033.mspx bcfc-5aa02314e06e1033.mspx « ADFS Step-by-Step Guide » « Windows SharePoint Services and SharePoint Portal Server 2003 Support boundaries for Active Directory Federation Services » Show « ADFS » Rejoignez les discussions sur Rejoignez les discussions sur

39

40 Microsoft France 18, avenue du Québec Courtaboeuf Cedex


Télécharger ppt "ADFS, lexpérience Web SSO (fédérée) 1 ère partie Philippe Beraud Consultant Principal Microsoft France."

Présentations similaires


Annonces Google