La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Les nouveautés d'Active Directory Federation Service (AD FS) 2

Présentations similaires


Présentation au sujet: "Les nouveautés d'Active Directory Federation Service (AD FS) 2"— Transcription de la présentation:

1 Les nouveautés d'Active Directory Federation Service (AD FS) 2
Les nouveautés d'Active Directory Federation Service (AD FS) 2.0 (Release Candidate, nom de code "Geneva" Server) Code Session : SEC207 Philippe BERAUD Consultant Architecte Direction Technique Microsoft France Pierre COUZY Architecte en système d'informations Division Plateforme et Ecosystème Microsoft France

2 Description de la session
Venez découvrir les nouveautés d'AD FS 2, son support des standards (émergents) et la simplicité de mise en œuvre des scénarios d'entreprise étendue les plus courants.

3 Le parcours virtuel Logiciels + Services Identité dans le cadre des Microsoft TechDays 2010
4 sessions pour faire un point ensemble Session SEC207 "Les nouveautés d'AD FS 2.0" Cette session !! Session SEC317 "Windows Identity Foundation pour les développeurs" Aujourd'hui de 16h00 à 17h00 Session ARC307 "Software + Services Identity Roadmap" Lundi 8 février, de 17h30 à 18h30, à revivre prochainement en session Web Session SEC315 "The 'M'-Based System.Identity Model for Accessing Directory Services" Lundi 8 février, de 11h00 à 12h00, à revivre prochainement en session Web

4 Objectifs de la session
Compléter la session SEC208 "La plateforme “Geneva”, le successeur d’AD FS (Active Directory Federation Services) animée lors de TechDays 2009 Faire le point sur la version Release Candidate (RC) d'AD FS 2.0 Illustrer quelques scénarios clés

5 Sommaire Un bref rappel sur AD FS 1.x, ses bénéfices et ses enseignements Découverte des composants et des protocoles d'AD FS 2.0 Illustration d'une mise en œuvre type et quelques considérations associées Utilisation des revendications En guise de synthèse…

6 4/2/ :44 AM AD FS 1.x Composants de Windows 2003 R2 et Windows Server 2008 (R2) pour une expérience d'authentification unique Web (Web SSO) Intranet, Extranet et fédérée sur Internet Services de Federation (FS : FS-A/FS-R) Services de Federation proxy (FS-P) Proxy client pour les demandes de jetons dans les scénarios Extranet Agents Web SSO pour IIS 6.0 et 7.0 WIA, Ex. Outlook Web Access (OWA) 2007 Fondé sur les revendications (claims), Ex. Office SharePoint Server 2007 Ces composants sont évalués Critères Communs et certifiés EAL4+ © Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

7 Interopérabilité AD FS 1.x
4/2/ :44 AM Interopérabilité AD FS 1.x Protocoles AD FS 1.x Documentés dans le cadre de Windows Server Protocols (WSPP) [MS-MWBF] Microsoft Web Browser Federated Sign-On Protocol Specification [MS-MWBE] Microsoft Web Browser Federated Sign-On Protocol Extensions Solutions d’identité interopérables avec AD FS 1.x BMC Universal Identity Federator, CA eTrust SiteMinder Federation Security Services (6 SP5), IBM Tivoli Federated Identity Manager, Internet2 Shibboleth System (1.3), Novell Access Manager, Oracle Identity Federation, Ping Identity PingFederate Server, RSA Federated Identity Manager (4), Sun OpenSSO, symLABS Federated Identity Suite, Version3 Enhanced Authentication Edition, etc. © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

8 Interopérabilité AD FS 1.x
4/2/ :44 AM Interopérabilité AD FS 1.x Solutions d’identité interopérables Guides d’intégration CA SiteMinder Federation Security Services, IBM Tivoli Federated Identity Manager, Oracle Identity Federation, RSA Federated Identity Manager, Internet2 Shibboleth Agents Web pour AD FS 1.x Suite Centrify DirectControl Quest Vintela Single Sign-on for Java (VSJ) Toolkit SourceId WS-Federation SDK Ping Identity PingFederate Webcasts de mise en œuvre sur le site MS France Interopérabilité - Interopérabilité des identités © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

9 Quelques enseignements tirés d’AD FS 1.x
Bénéfices Coûts de gestion des identités réduit Expérience Web SSO Intranet, Extranet et fédérée Modèle d’autorisation fondé sur les revendications Interopérabilité inter plate-forme Mais… Gestion des politiques de confiance Les MAJ requièrent une intervention des deux côtés (FS-A/FS-P) Découverte du domaine d’origine Trop compliquée pour certaines populations d'utilisateurs Facteurs limitant du navigateur N’est pas à même de fournir une preuve de possession (attaque par relecture) N’est pas à même de répondre directement à une politique

10 Sommaire Un bref rappel sur AD FS 1.x, ses bénéfices et ses enseignements Découverte des protocoles et composants d'AD FS 2.0 Illustration d'une mise en œuvre type et quelques considérations associées Utilisation des revendications En guise de synthèse…

11 Les défis courants de l'identité fédérée
La gestion des relations de confiance est difficile Leur mise en œuvre est complexe et source d’erreurs :-( Les modifications manuelles engendrent des interruptions de services/pannes Les standards ne garantissent pas l’interopérabilité WS-Federation (PRP) est très largement adopté SAML est largement implémenté, mais pas dans AD FS 1.x Les sélecteurs d’identité requièrent le support de WS-Trust Les cartes d’information manquent de soutien en termes de STS d’entreprise Aucun STS Microsoft "out-of-the-box" pour les cartes d’information gérées

12 Contexte (et objectifs) de mise en œuvre d'AD FS 2.0
Fournir aux utilisateurs déclarés dans votre Active Directory un accès aux applications et services Web de l'interne Expérience d'authentification unique (SSO) depuis l'interne ou à distance Fournir aux utilisateurs déclarés dans votre Active Directory un accès aux applications et services Web d'autres organisations Expérience de SSO vers des services fédérés, externalisés ou dans le nuage Fournir aux utilisateurs d'une autre organisation un accès aux applications et services Web souhaités … Indépendamment des choix de standards protocolaires Et aussi Permettre la délégation d'identité, la réauthentification en fonction de la force d'authentification souhaitée, etc. Fournir des cartes d'informations pour optimiser et sécuriser l'accès SSO à des applications et/ou des services Web

13 Démo Accéder via la fédération aux études du Burton Group
Un service de Microsoft IT pour l'interne

14 Qu’est-ce qu’AD FS 2.0 ? En quelques mots…
Service de Jeton de Sécurité (STS) pour Active Directory Fournisseur d’Identité et de Fédération Gestionnaire de confiance de Fédération Automatise la gestion des relations de confiance à l'aide de métadonnées Fournisseur de cartes d’information gérées pour Active Directory Windows CardSpace 2.0 et sélecteurs d’identité tiers Fondés, en termes de protocoles, sur des standards et interopérables par défaut

15 Protocoles AD FS 2.0 Support du standard OASIS WS-Federation 1.2
Dans la pratique Section § 13 pour les navigateurs, compatible avec les déploiements WS-Federation PRP existants Métadonnées WS-Federation harmonisées avec les métadonnées SAML 2.0 : dialecte commun pour l'expression d'exigences et de valeurs en termes de revendications Extension de la spécification Metadata for the OASIS Security Assertion Markup Language (SAML) V2.0 Tests d'interopérabilité WS-Federation conduits avec Sun Microsystems, Novell, CA avant la Bêta 2 d'AD FS 2.0

16 Protocoles AD FS 2.0 Support du standard OASIS WS-Trust 1.4
4/2/2017 Protocoles AD FS 2.0 Support du standard OASIS WS-Trust 1.4 Compatible avec la version 1.3 avec l'ajout de nouvelles capacités : ActAs et Challenge/Response La plateforme “Geneva” supporte ces nouvelles capacités ActAs dans AD FS 2.0 et WIF 1.0 Challenge/Response dans WIF 1.0 © 2008 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION. 16

17 Protocoles AD FS 2.0 Support du standard OASIS SAML 2.0
Web SSO, Artifact Resolution, Name Identifier Management, Single Logout et Identity Provider Discovery Dans la pratique, AD FS 2.0 supporte 3 profils SAML Modes opérationnels IdP Lite et SP Lite Cf. OASIS Conformance Requiremenrs for the OASIS Security Assertion Markup Language (SAML) V2.0 Profil GSA (profil eGovernment harmonisé Liberty Alliance) 1.5 Tests d'interopérabilité SAML 2.0 Liberty Alliance passés avec succès pour ces 3 profils Liberty Interoperability Testing Procedures for SAML 2.0 version : Communiqué de presse : Matrice de résultat : Rapport de test :

18 Protocoles AD FS 2.0 Sur le site Microsoft France Interopérabilité
Livre blanc "Approches technologiques pour la fédération des identités" Livre blanc "AD FS 2.0, une plateforme ouverte et interopérable pour l’authentification unique Web et la fédération des identités"

19 Composants AD FS 2.0 Configuration Database Internet Client
Intranet Client Account & Attribute Stores Active Directory Federation Services (AD FS) 2.0 Management APIs and UX Active Directory Federation Services (AD FS) 2.0 Proxy Metadata Proxy Token Issuance Proxy Card Issuance Metadata Token Issuance

20 Composants AD FS 2.0 Clients AD FS
Configuration Database Internet Client Intranet Client Navigateurs clients Clients compatible WS-* (WCF, JAX-WS, etc.) Sélecteurs d'identités (Windows CardSpace ou d'autres) Account & Attribute Stores Active Directory Federation Services (AD FS) 2.0 Metadata Card Issuance Token Issuance Management APIs and UX Active Directory Federation Services (AD FS) 2.0 Proxy Token Issuance Proxy Metadata Proxy

21 Composants AD FS 2.0 Serveur AD FS
Configuration Database Internet Client Intranet Client STS pour clients browser et SOAP Service d'émission de cartes d'information et site Web associé Gestion des politiques d'émission et d'acceptation Account & Attribute Stores Active Directory Federation Services (AD FS) 2.0 Management APIs and UX Active Directory Federation Services (AD FS) 2.0 Proxy Token Issuance Proxy Metadata Proxy Card Issuance Metadata Token Issuance

22 Composants AD FS 2.0 Serveur AD FS - Architecture
Account & Attribute Stores Configuration Database Active Directory Federation Services (AD FS) 2.0 Management APIs and UX WMI Provider Protocol Hosting (WS-*, SAML 2.0) Identity Store Interface Policy Store Interface Windows Identity Foundation (WIF) API Information Card Issuance Service Metadata/Policy Management Service Token/Claim Issuance Service

23 Composants AD FS 2.0 Base de données de configuration
Configuration Database Internet Client Intranet Client Windows Internal Database (WID) Microsoft SQL Server 2005/2008 Account & Attribute Stores Active Directory Federation Services (AD FS) 2.0 Metadata Card Issuance Token Issuance Management APIs and UX Active Directory Federation Services (AD FS) 2.0 Proxy Token Issuance Proxy Metadata Proxy

24 Composants AD FS 2.0 Magasins de comptes et d'attributs
Configuration Database Internet Client Intranet Client AD DS ADAM/AD LDS SQL Server 2005/2008 LDAP, etc. Account & Attribute Stores Active Directory Federation Services (AD FS) 2.0 Metadata Card Issuance Token Issuance Management APIs and UX Active Directory Federation Services (AD FS) 2.0 Proxy Token Issuance Proxy Metadata Proxy

25 Composants AD FS 2.0 Proxy Proxy en bordure pour les demandes de jeton
Configuration Database Internet Client Intranet Client Proxy en bordure pour les demandes de jeton Supporte l'authentification mutuelle SSL au niveau transport Expose un WSDL distinct Account & Attribute Stores Active Directory Federation Services (AD FS) 2.0 Metadata Card Issuance Token Issuance Management APIs and UX Active Directory Federation Services (AD FS) 2.0 Proxy Metadata Proxy Token Issuance Proxy

26 Sommaire Un bref rappel sur AD FS 1.x, ses bénéfices et ses enseignements Découverte des protocoles et composants d'AD FS 2.0 Illustration d'une mise en œuvre type et quelques considérations associées Utilisation des revendications En guise de synthèse…

27 Base de données de configuration
2 options possibles : Windows Internal Database (WID) Configuration via l'assistant de configuration, Fsconfig.exe ou les cmdlets Windows PowerShell Instance de Microsoft SQL Server 2005/2008 Configuration via Fsconfig.exe ou les cmdlets Windows PowerShell Différentes approches de haute disponibilité avec SQL Server Cf. High Availability Solutions Overview Support d'un point de terminaison (endpoint) SAML Artifact Resolution Support de la détection du rejeu d'un jeton Profil Web SSO SAML 2.0 et profil passif de WS-Federation Microsoft SQL Server 2008 Management Studio Express (SSMSE) : \\.\pipe\MSSQL$MICROSOFT##SSEE\sql\query date

28 Déploiement d'une ferme
Fournit un niveau de fiabilité additionnel Les défaillances matérielles ne causent pas de perte de service Procure des performances additionnelles Configuration Les serveurs AD FS "Front-End" pointent vers une base de données de configuration commune (SQL Server) ou s'appuient sur WID L'ensemble de la configuration est conservée dans la base de données de configuration, exception faite Des chaînes de connexion à la base de données de configuration Des événements / audits / traces de débogage Du paramétrage des traces de débogage Un seul serveur AD FS 2.0 sur une machine quad core peut produire plus de 100 émissions de jetons par seconde date

29 Déploiement du proxy Requis pour l'authentification client SSL provenant d'un réseau de périmètre Possède son propre certificat d'authentification client Approuvé pour authentifier l'utilisateur Dispose d'un ensemble de pages Web distinct pour la personnalisation Les points de terminaison WS-Trust activés sont contrôlés depuis les serveurs AD FS 2.0 intranet Doit avoir le même nom DNS que le serveur (ou la ferme de serveurs) AD FS interne date

30 Installation d'un serveur de fédération
Start All Programs Administrative Tools ADFS 2.0 Management Compte de services SeServiceLogonRight et SeAuditPrivilege

31 Exemple de mise en œuvre type Fabrikam et Contoso
Ex. Scénario "Federated Document Collaboration Using Microsoft Office SharePoint Server 2007 and AD FS 2" https://connect.microsoft.com/site642/Downloads Microsoft SQL Server Management Studio Express : \\.\pipe\MSSQL$MICROSOFT##SSEE\sql\query Microsoft Office SharePoint Server 2007 Daniel Weisman Dr. Frank Miller Fabrikam Research Contoso Pharma date

32 Exemple de mise en œuvre type Fabrikam et Contoso
Fabrikam Research IP Contoso Pharma RP fabrikam.com Confiance sts2.fabrikam.com Microsoft AD FS 2.0 RC sts1.contoso.com Microsoft AD FS 2.0 RC 3. Obtention des revendications Confiance 2. Authentification suite à une auto-sélection d'une carte 4. Envoi et obtention des revendications Microsoft Office SharePoint Server 2007 1. Lecture de la politique 5. Envoi des revendications Windows Identity Foundation 1.0 Dr. Frank Miller https://docs.contoso.com

33 Démo Etablir un cadre de confiance entre Fabrikam Research et Contoso Pharma

34 Support de Windows PowerShell
AD FS 2.0 intègre un support complet de Windows PowerShell pour une gestion de bout en bout Enregistré et disponible à l'issue de l'installation Propose un ensemble de cmdlets (préfixé par [Get|Set]-ADFS) pour la configuration et l'administration d'une instance Aide et exemples de mise en œuvre Cf. "AD FS 2.0 Administration with Windows PowerShell" Cf. "PowerShell API Overview" Get-PSSnapin –Registered Name : Microsoft.Adfs.PowerShell PSVersion : 1.0 Description : This PowerShell snap-in contains cmdlets used to manage Microsoft Identity Server resources. Scripting with Windows PowerShell :

35 Gestion "Zero-Touch" de la fédération
“If federation is broken. It's PKI. If it is not PKI, there's a typo. If you typed it correctly (case counts!). It's PKI” - Laura E. Hunter L'échange de métadonnées facilite la vie ! Configuration pilotée et gestion automatisée par les métadonnées harmonisées WS-Federation Gestion et distribution automatique des certificats au sein d'une ferme

36 Sommaire Un bref rappel sur AD FS 1.x, ses bénéfices et ses enseignements Découverte des protocoles et composants d'AD FS 2.0 Illustration d'une mise en œuvre type et quelques considérations associées Utilisation des revendications En guise de synthèse…

37 Revendications Une identité est un ensemble de revendications (claims) qui caractérise une personne (ou une "chose" (entité numérique)) dans le monde numérique Une revendication est une déclaration faite sur quelqu’un/quelque chose par quelqu’un/quelque chose Peut être un identificateur, une caractéristique ou autre chose Age > 21, Employeur = Microsoft, Rôle=Architecte, etc. Quelques exemples dans la pratique… Peut identifier un utilisateur Peut véhiculer l’appartenance à un groupe ou à un rôle Peut transporter des informations de personnalisation Peut donner ou dénier le droit de faire quelque chose Peut limiter le droit de faire quelque chose

38 Revendications Les fournisseurs d'identité doivent connaître les revendications à envoyer Les consommateurs d'identité doivent connaître les revendications qu'ils sont susceptibles de recevoir (et/ou préciser les revendications qu'ils exigent) Un accord doit s'établir en grande partie "out-of-band", largement simplifié par les métadonnées Dans AD FS 2.0 Les revendications attendues sont codifiées dans la politique d'acceptation Les revendications à envoyer sont codifiées dans la politique d'émission

39 Politique d’émission des revendications
Les partenaires attendent différents types ou valeurs de revendications Politique pilotée par le périmètre du (AppliesTo) Comment sont alimentées les revendications ? Extraction de l’attribut displayName depuis le référentiel d’identité et émission d’une revendication urn:foo:name Comment sont transformées les revendications ? Le type de revendication urn:firstName est émis en tant que urn:givenName La valeur d'une revendication est modifiée via des expressions régulières Représentation de la politique Modélisée en interne avec des données SQL

40 Emission des revendications
Account & Attribute Stores Configuration Database Active Directory Federation Services (AD FS) 2.0 Token/Claim Issuance Engine Identity Store I/F Claims Issuance Engine Security Token Issuance Claims Claims Issuance Policy Policy Store I/F Requête jeton Réponse jeton <RST> …</RST> <RSTRC></RSTRC>

41 Emission des revendications
Token/Claim Issuance Service Identity Store I/F Policy Store I/F Token Issuance Engine 3. AppliesTo et AuthorizationContext 4. Jeu de revendications Token Services Tokens and Claims Crypto Services Token Construction Issue Issue “ActAs” Encryption SAML 1.1 2. Requête jeton 5. Réponse jeton Renew Signing SAML 2.0 Validate Key Derivation Custom Custom Protocols WS-Trust SAML 2.0 Custom 1. <RST> …</RST> 6. <RSTRC></RSTRC> WS-Fed Passive Federation Metadata Protocol Hosting Active Directory Federation Services (AD FS) 2.0 RC Windows Identity Foundation (WIF)

42 Moteur de règles pour les revendications
L'émission de revendications est pilotée par un langage déclaratif fondé sur l'expression de règles Une règle consiste en Une partie Conditions Une partie Emission De multiples conditions sont supportées Toutes les conditions doivent être remplies avant que la partie Emission ne soit exécutée Les disjonctions sont implémentées en divisant les conditions en plusieurs règles Règle Conditions, alors (=>) Emission

43 Moteur de règles pour les revendications
Exemples de syntaxe Les règles sont exécutées séquentiellement (sans inférence) [type == "Name", value == "EUROPE\philber"] && [type == "AuthenticationType”, value == "SmartCard"] => add(type = "Role", value = "Editor"); c:[type == "UPN"] => issue(store = "SQLStore", types = (" ", "Age"), query = "SELECT , age FROM users WHERE name = '{0}'", param = c.value); Règle 1 Si valeur = C, alors ajouter E Règle 2 Si valeur = A, alors ajouter C Règle 3 Si valeur = C, alors émettre D Règle 4 Si valeur = B, alors émettre G date

44 Moteur de règles pour les revendications
Trois types d'instructions Copie d'une revendication Nouvelle revendication Revendication avec une valeur issue d'un magasin d'attributs Une instruction peut créer des revendications qui vont dans le jeton émis ou qui sont seulement utilisées pour l'évaluation Deux façons de définir les règles En utilisant la syntaxe du langage En utilisant l'IHM de gestion Modèles de règle de revendications Pass Trough or Filter an Incoming Claim, Transform an Incoming Claim, Send LDAP Attributes as Claims, Send Group Membership as a Claim, Send Claims Using a Custom Rule, Permit or Deny Users Based on an Incoming Claim, Permit All Users Apporte le support de la testabilité, des analyses what-if et staging

45 Démo Définition d'une politique d'émission
Configurer le serveur AD FS 2.0 Contoso pour obtenir des revendications d'une base SQL Server Schéma des tables de la base "HOL Doctors Role" Table 1 (dbo.URT) Table 2 (dbo.TS) Table 3 (dbo.RS)

46 Définition d'une politique d'émission
Démo Définition d'une politique d'émission date

47 Démo Définition d'une politique d'émission
Application au contexte de l'utilisateur Application de la règle 1 Revendication d'évaluation Type : Valeur: DrugTrial 1 => add(store = "HOL Doctors Role", types = (http://schemas.microsoft.com/ws/2008/06/identity/claims/trial), query = "select trial from dbo.TS where dbo.TS.SharePointSite = {0}", param = "https://docs.contoso.com");

48 Démo Définition d'une politique d'émission
Application au contexte de l'utilisateur Application de la règle 2 Revendication d'évaluation Type : Valeur: auditor c1:[Type == "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/ address"] && c2:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/trial"] => add(store = "HOL Doctors Role", types = ("http://tempuri.org/claims/incomingtrialrole"), query = "select role from dbo.URT where dbo.URT.Trial = {1} and dbo.URT.UserName={0}", param = c1.Value, param c2.Value);

49 Démo Définition d'une politique d'émission
Application au contexte de l'utilisateur Application de la règle 3 Revendication à émettre Type : Valeur: sp_visitor c:[Type == "http://tempuri.org/claims/incomingtrialrole"] => issue(store = "HOL Doctors Role", types = ("http://schemas.microsoft.com/ws/2008/06/identityclaims/role"), query = "select dbo.RS.SharePointGroup from dbo.RS where dbo.RS.Role = {0}", param = c.Value);

50 Moteur de règles pour les revendications
Exécute au sein d'un pipeline des jeux de règles (rule set) correspondant à l'application de politiques Acceptance transform rule set, Issuance transform rule set, Issuance Authorization rule set, Delegation authorization rule set et Impersonation authorization rule set Ex. Pipeline d'émission Exécution successivement des politiques d'acceptation, d'autorisation d'émission et d'émission Denied Claims included in the token Identity claims Identity Provider Policy Relying Party Issuance Policy Relying Party Authorization Policy Allowed Normalized identity claims

51 Autorisations dans le pipeline d'émission
Même langage fondé sur les revendications Résultat du contrôle d'accès contrôle par deux revendications Evaluation selon les deux principes "Deny by default" et "Deny overrides" La valeur de ces revendications n'a aucun impact sur le contrôle d'accès

52 Autorisations dans le pipeline d'émission
Support des sémantiques "allow-list" Et "deny-list" Règle 1 Extraire les groupes de l'utilisateur, chaque groupe est représenté par une revendication Règle 2 Si une revendication groupe avec la valeur "foo" existe, émettre une revendication "permit" Règle 1 Toujours émettre une revendication "permit" Règle 2 Interroger un magasin d'attributs SQL et émettre une revendication "Extérieur" si la personne est un sous-traitant Règle 3 Si la revendication "Extérieur" est présente, émettre une revendication "deny"

53 Magasins d'attributs Plusieurs magasins d'attributs sont pris en charge pour une seule instance de STS En natif Magasin d'attributs SQL Server 2005/2008 Magasin d'attributs ADAM/AD LDS La prise en charge pour les valeurs liées, comme Reports-To, est en cours d'examen Des magasins d'attributs personnalisés peuvent être ajoutés Des langages arbitraires de requête d'attributs sont pris en charge Le moteur de langage transmet la chaîne de requête au magasin d'attributs pour interprétation

54 Magasins d'attributs personnalisés
Permettre à un code personnalisé d'être enfiché pour la récupération des attributs Suppose de définir un assembly .Net implémentant l'interface IAttributeStore Cf. "Attribute Store Overview"

55 Sommaire Un bref rappel sur AD FS 1.x, ses bénéfices et ses enseignements Découverte des protocoles et composants d'AD FS 2.0 Illustration d'une mise en œuvre type et quelques considérations associées Utilisation des revendications En guise de synthèse…

56 AD FS 2.0 RC en synthèse Quelques fonctionnalités importantes
Support des standards OASIS WS-Federation et WS-Trust Support (certifié par les tests d'interopérabilité Liberty Interoperable SAML 2.0) du standard OASIS SAML 2.0 pour les profils IDP Lite, SP Lite, et eGov 1.5 Support des jetons SAML 1.1 et 2.0 Expérience utilisateur simplifiée pour la configuration (de ferme(s)) de serveur(s) et/ou de proxy(s) de fédération Choix de déploiement possible sans SQL Server Fournisseurs de magasins d'attributs AD DS, ADAM/AD LDS et SQL Server, et interface d'extensibilité pour d’autres référentiels Configuration pilotée et gestion automatisée par les métadonnées harmonisées WS-Federation Gestion et distribution automatique des certificats au sein d'une ferme Authentification via WIA, mots de passe, certificats client, SAML Délégation d'identité

57 AD FS 2.0 RC en synthèse Quelques fonctionnalités importantes
Moteur de transformation de revendications fondé sur les règles Règles d'autorisation fondées sur les revendications pour restreindre l'émission de jetons de sécurité Fonctions de diagnostic avancées (événements, audits et traces) Support de la fédération avec AD RMS 2008 Support complet de Windows PowerShell pour une gestion d'AD FS 2.0 de bout en bout Emission de cartes d'information et support de Windows CardSpace 2.0 Beta 2 Refresh

58 AD FS 2.0 RC en synthèse Composants connexes
Windows CardSpace 2.0 Beta 2 Refresh Téléchargement de taille réduite, expérience utilisateur rationalisée Cartes d'information poussées via les stratégies de groupe Décisions de sélection de carte poussées via les stratégies de groupe Microsoft Federation Extensions for SharePoint 3.0 RC Support pour SharePoint 2007 (fournisseurs d'authentification et d'appartenances) Windows Identity Foundation (WIF) 1.0 Modèle de programmation basé sur les revendications et intégré avec les rôles .Net Support de la plateforme Windows Azure Cf. session SEC317 "Windows Identity Foundation pour les développeurs" Mercredi 8 février, de 16h00 à 17h00

59 En guise de conclusion AD FS 2.0 résout les points de blocage en termes de déploiement d’AD FS 1.x Via notamment le support du protocole SAML 2.0 AD FS 2.0 améliore la productivité de l'entreprise avec une gestion "Zero-Touch" Gestion automatisée des relations de confiance à l’aide des métadonnées Gestion et distribution automatisées des certificats (signature et chiffrement) au sein d'une ferme AD FS 2.0 permet des scénarios critiques et propose une interopérabilité native en environnements hétérogènes Validée avec Sun OpenSSO Entreprise, Novell Access Manager, CA SiteMinder et Federation Manager, etc. Cf. https://docs.federatedidentity.net

60 Evaluer AD FS 2.0 (RC) aujourd'hui
Télécharger AD FS 2.0 RC depuis le centre d'évaluation TechNet AD FS 2.0 RC Windows CardSpace 2.0 RC Microsoft Federation Extensions for SharePoint 3.0 Release Candidate

61 Evaluer AD FS 2.0 (RC) aujourd'hui
Tester les scénarios proposés sur Microsoft Connect https://connect.microsoft.com/site642/Downloads Scénario + machines virtuelles Hyper-V Scénario "Federated Document Collaboration Using Microsoft Office SharePoint Server 2007 and AD FS 2" Scénario "Step by Step Guide to Identity Delegation" Scénario "Step-Up Authentication"

62 Evaluer AD FS 2.0 (RC) aujourd'hui
Suivre les sessions sur “The Id Element” de Channel 9 ADFS 2.0 RC is Here! SharePoint 2010 and Claims-Based Identity What’s new in Geneva Server Making the shift from ADFS v1 to Geneva Server The new claims transformation language Geneva Server and SAML 2.0 Interoperability

63 Pour aller plus loin… Documentation AD FS 2.0 sur Microsoft TechNet
AD FS 2.0 RC Design Guide AD FS 2.0 RC Deployment Guide AD FS 2.0 RC Product Help Documentation AD FS 2.0 sur MSDN Documentation additionnelle sur Microsoft Connect https://connect.microsoft.com/site642/Downloads AD FS 2.0 RC Getting Started Guide Step by Step Guide for Single Sign-On to Microsoft Online Developing Custom Attribute Stores for AD FS 2.0 Etc.

64 Pour aller plus loin… Centre de développement MSDN Sécurité pour la gestion de l'identité Forum “Geneva” Weblogs Blog "Geneva" Team Blog Documentation AD FS Blog Support Produit AD FS

65 Questions / Réponses SPEAKERS PLEASE NOTE: our standard timing for your availability for Q&A at the Ask- the-Experts pavilion will be the next lunch-break following your session, and variations from this standard will be scheduled based on your availability and for all Friday afternoon sessions.

66 Votre potentiel, notre passion TM
© 2010 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.


Télécharger ppt "Les nouveautés d'Active Directory Federation Service (AD FS) 2"

Présentations similaires


Annonces Google