La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

11 Les nouveautés d'Active Directory Federation Service (AD FS) 2.0 (Release Candidate, nom de code "Geneva" Server) Code Session : SEC207 Philippe BERAUD.

Présentations similaires


Présentation au sujet: "11 Les nouveautés d'Active Directory Federation Service (AD FS) 2.0 (Release Candidate, nom de code "Geneva" Server) Code Session : SEC207 Philippe BERAUD."— Transcription de la présentation:

1 11 Les nouveautés d'Active Directory Federation Service (AD FS) 2.0 (Release Candidate, nom de code "Geneva" Server) Code Session : SEC207 Philippe BERAUD Consultant Architecte Direction Technique Microsoft France Pierre COUZY Architecte en système d'informations Division Plateforme et Ecosystème Microsoft France

2 22 Description de la session Venez découvrir les nouveautés d'AD FS 2, son support des standards (émergents) et la simplicité de mise en œuvre des scénarios d'entreprise étendue les plus courants.

3 33 Le parcours virtuel Logiciels + Services Identité dans le cadre des Microsoft TechDays sessions pour faire un point ensemble Session SEC207 "Les nouveautés d'AD FS 2.0" Cette session !! Session SEC317 "Windows Identity Foundation pour les développeurs" Aujourd'hui de 16h00 à 17h00 Session ARC307 "Software + Services Identity Roadmap" Lundi 8 février, de 17h30 à 18h30, à revivre prochainement en session Web Session SEC315 "The 'M'-Based System.Identity Model for Accessing Directory Services" Lundi 8 février, de 11h00 à 12h00, à revivre prochainement en session Web

4 44 Objectifs de la session Compléter la session SEC208 "La plateforme “Geneva”, le successeur d’AD FS (Active Directory Federation Services) animée lors de TechDays EID=437a7ce1-cdb7-40ed-8c04-d77193dbcade Faire le point sur la version Release Candidate (RC) d'AD FS 2.0 Illustrer quelques scénarios clés

5 55 Sommaire Un bref rappel sur AD FS 1.x, ses bénéfices et ses enseignements Découverte des composants et des protocoles d'AD FS 2.0 Illustration d'une mise en œuvre type et quelques considérations associées Utilisation des revendications En guise de synthèse…

6 66 AD FS 1.x Composants de Windows 2003 R2 et Windows Server 2008 (R2) pour une expérience d'authentification unique Web (Web SSO) Intranet, Extranet et fédérée sur Internet Services de Federation (FS : FS-A/FS-R) Services de Federation proxy (FS-P) Proxy client pour les demandes de jetons dans les scénarios Extranet Agents Web SSO pour IIS 6.0 et 7.0 WIA, Ex. Outlook Web Access (OWA) 2007 Fondé sur les revendications (claims), Ex. Office SharePoint Server 2007 Ces composants sont évalués Critères Communs et certifiés EAL4+

7 77 Interopérabilité AD FS 1.x Protocoles AD FS 1.x Documentés dans le cadre de Windows Server Protocols (WSPP) [MS-MWBF] Microsoft Web Browser Federated Sign-On Protocol Specification [MS-MWBE] Microsoft Web Browser Federated Sign-On Protocol Extensions Solutions d’identité interopérables avec AD FS 1.x BMC Universal Identity Federator, CA eTrust SiteMinder Federation Security Services (6 SP5), IBM Tivoli Federated Identity Manager, Internet2 Shibboleth System (1.3), Novell Access Manager, Oracle Identity Federation, Ping Identity PingFederate Server, RSA Federated Identity Manager (4), Sun OpenSSO, symLABS Federated Identity Suite, Version3 Enhanced Authentication Edition, etc.

8 88 Interopérabilité AD FS 1.x Solutions d’identité interopérables Guides d’intégration CA SiteMinder Federation Security Services, IBM Tivoli Federated Identity Manager, Oracle Identity Federation, RSA Federated Identity Manager, Internet2 Shibboleth Agents Web pour AD FS 1.x Suite Centrify DirectControl Quest Vintela Single Sign-on for Java (VSJ) Toolkit SourceId WS-Federation SDK Ping Identity PingFederate Webcasts de mise en œuvre sur le site MS France Interopérabilité - Interopérabilité des identités

9 99 Quelques enseignements tirés d’AD FS 1.x Bénéfices Coûts de gestion des identités réduit Expérience Web SSO Intranet, Extranet et fédérée Modèle d’autorisation fondé sur les revendications Interopérabilité inter plate-forme Mais… Gestion des politiques de confiance Les MAJ requièrent une intervention des deux côtés (FS-A/FS-P) Découverte du domaine d’origine Trop compliquée pour certaines populations d'utilisateurs Facteurs limitant du navigateur N’est pas à même de fournir une preuve de possession (attaque par relecture) N’est pas à même de répondre directement à une politique

10 10 Sommaire Un bref rappel sur AD FS 1.x, ses bénéfices et ses enseignements Découverte des protocoles et composants d'AD FS 2.0 Illustration d'une mise en œuvre type et quelques considérations associées Utilisation des revendications En guise de synthèse…

11 11 Les défis courants de l'identité fédérée La gestion des relations de confiance est difficile Leur mise en œuvre est complexe et source d’erreurs :-( Les modifications manuelles engendrent des interruptions de services/pannes Les standards ne garantissent pas l’interopérabilité WS-Federation (PRP) est très largement adopté SAML est largement implémenté, mais pas dans AD FS 1.x Les sélecteurs d’identité requièrent le support de WS-Trust Les cartes d’information manquent de soutien en termes de STS d’entreprise Aucun STS Microsoft "out-of-the-box" pour les cartes d’information gérées

12 12 Contexte (et objectifs) de mise en œuvre d'AD FS 2.0 Fournir aux utilisateurs déclarés dans votre Active Directory un accès aux applications et services Web de l'interne Expérience d'authentification unique (SSO) depuis l'interne ou à distance Fournir aux utilisateurs déclarés dans votre Active Directory un accès aux applications et services Web d'autres organisations Expérience de SSO vers des services fédérés, externalisés ou dans le nuage Fournir aux utilisateurs d'une autre organisation un accès aux applications et services Web souhaités … Indépendamment des choix de standards protocolaires Et aussi Permettre la délégation d'identité, la réauthentification en fonction de la force d'authentification souhaitée, etc. Fournir des cartes d'informations pour optimiser et sécuriser l'accès SSO à des applications et/ou des services Web

13 13 Démo Accéder via la fédération aux études du Burton Group Un service de Microsoft IT pour l'interne

14 14 Qu’est-ce qu’AD FS 2.0 ? En quelques mots… Service de Jeton de Sécurité (STS) pour Active Directory Fournisseur d’Identité et de Fédération Gestionnaire de confiance de Fédération Automatise la gestion des relations de confiance à l'aide de métadonnées Fournisseur de cartes d’information gérées pour Active Directory Windows CardSpace 2.0 et sélecteurs d’identité tiers Fondés, en termes de protocoles, sur des standards et interopérables par défaut

15 15 Protocoles AD FS 2.0 Support du standard OASIS WS-Federation 1.2 Dans la pratique Section § 13 pour les navigateurs, compatible avec les déploiements WS-Federation PRP existants Métadonnées WS-Federation harmonisées avec les métadonnées SAML 2.0 : dialecte commun pour l'expression d'exigences et de valeurs en termes de revendications Extension de la spécification Metadata for the OASIS Security Assertion Markup Language (SAML) V os.pdf Tests d'interopérabilité WS-Federation conduits avec Sun Microsystems, Novell, CA avant la Bêta 2 d'AD FS 2.0 &FamilyID=9eb1f3c7-84da-40eb-b9aa-44724c98e026

16 16 Protocoles AD FS 2.0 Support du standard OASIS WS-Trust 1.4 os.pdf Compatible avec la version 1.3 avec l'ajout de nouvelles capacités : ActAs et Challenge/Response La plateforme “Geneva” supporte ces nouvelles capacités ActAs dans AD FS 2.0 et WIF 1.0 Challenge/Response dans WIF 1.0

17 17 Protocoles AD FS 2.0 Support du standard OASIS SAML 2.0 Web SSO, Artifact Resolution, Name Identifier Management, Single Logout et Identity Provider Discovery Dans la pratique, AD FS 2.0 supporte 3 profils SAML Modes opérationnels IdP Lite et SP Lite Cf. OASIS Conformance Requiremenrs for the OASIS Security Assertion Markup Language (SAML) V2.0 conformance-2.0-os.pdf Profil GSA (profil eGovernment harmonisé Liberty Alliance) /file/Liberty_Alliance_eGov_Profile_1.5_Final.pdf Tests d'interopérabilité SAML 2.0 Liberty Alliance passés avec succès pour ces 3 profils

18 18 Protocoles AD FS 2.0 Sur le site Microsoft France Interopérabilité Livre blanc "Approches technologiques pour la fédération des identités" 2BFB-408A-B25B-34D79D2CE971&displaylang=fr Livre blanc "AD FS 2.0, une plateforme ouverte et interopérable pour l’authentification unique Web et la fédération des identités" Plateforme_Ouverte_Interoperable_Web_SSO_Federation_Identites.pdf

19 19 Composants AD FS 2.0

20 20 Composants AD FS 2.0 Clients AD FS Navigateurs clients Clients compatible WS-* (WCF, JAX-WS, etc.) Sélecteurs d'identités (Windows CardSpace ou d'autres)

21 21 Composants AD FS 2.0 Serveur AD FS STS pour clients browser et SOAP Service d'émission de cartes d'information et site Web associé Gestion des politiques d'émission et d'acceptation

22 22 Composants AD FS 2.0 Serveur AD FS - Architecture

23 23 Composants AD FS 2.0 Base de données de configuration Windows Internal Database (WID) Microsoft SQL Server 2005/2008

24 24 Composants AD FS 2.0 Magasins de comptes et d'attributs AD DS ADAM/AD LDS SQL Server 2005/2008 LDAP, etc.

25 25 Composants AD FS 2.0 Proxy Proxy en bordure pour les demandes de jeton Supporte l'authentification mutuelle SSL au niveau transport Expose un WSDL distinct

26 26 Sommaire Un bref rappel sur AD FS 1.x, ses bénéfices et ses enseignements Découverte des protocoles et composants d'AD FS 2.0 Illustration d'une mise en œuvre type et quelques considérations associées Utilisation des revendications En guise de synthèse…

27 27 Base de données de configuration 2 options possibles : 1.Windows Internal Database (WID) Configuration via l'assistant de configuration, Fsconfig.exe ou les cmdlets Windows PowerShell 2.Instance de Microsoft SQL Server 2005/2008 Configuration via Fsconfig.exe ou les cmdlets Windows PowerShell Différentes approches de haute disponibilité avec SQL Server Cf. High Availability Solutions Overview Support d'un point de terminaison (endpoint) SAML Artifact Resolution Support de la détection du rejeu d'un jeton Profil Web SSO SAML 2.0 et profil passif de WS-Federation

28 28 Déploiement d'une ferme Fournit un niveau de fiabilité additionnel Les défaillances matérielles ne causent pas de perte de service Procure des performances additionnelles Configuration Les serveurs AD FS "Front-End" pointent vers une base de données de configuration commune (SQL Server) ou s'appuient sur WID L'ensemble de la configuration est conservée dans la base de données de configuration, exception faite Des chaînes de connexion à la base de données de configuration Des événements / audits / traces de débogage Du paramétrage des traces de débogage

29 29 Déploiement du proxy Requis pour l'authentification client SSL provenant d'un réseau de périmètre Possède son propre certificat d'authentification client Approuvé pour authentifier l'utilisateur Dispose d'un ensemble de pages Web distinct pour la personnalisation Les points de terminaison WS-Trust activés sont contrôlés depuis les serveurs AD FS 2.0 intranet

30 30 Installation d'un serveur de fédération Start  All Programs  Administrative Tools  ADFS 2.0 Management

31 31 Exemple de mise en œuvre type Fabrikam et Contoso Ex. Scénario "Federated Document Collaboration Using Microsoft Office SharePoint Server 2007 and AD FS 2" https://connect.microsoft.com/site642/Downloads

32 32 Exemple de mise en œuvre type Fabrikam et Contoso

33 33 Démo Etablir un cadre de confiance entre Fabrikam Research et Contoso Pharma

34 34 Support de Windows PowerShell AD FS 2.0 intègre un support complet de Windows PowerShell pour une gestion de bout en bout Enregistré et disponible à l'issue de l'installation Propose un ensemble de cmdlets (préfixé par [Get|Set]-ADFS) pour la configuration et l'administration d'une instance Aide et exemples de mise en œuvre Cf. "AD FS 2.0 Administration with Windows PowerShell" Cf. "PowerShell API Overview" Get-PSSnapin –Registered Name : Microsoft.Adfs.PowerShell PSVersion : 1.0 Description : This PowerShell snap-in contains cmdlets used to manage Microsoft Identity Server resources.

35 35 Gestion "Zero-Touch" de la fédération “ If federation is broken. It's PKI. If it is not PKI, there's a typo. If you typed it correctly (case counts!). It's PKI ” - Laura E. Hunter L'échange de métadonnées facilite la vie ! Configuration pilotée et gestion automatisée par les métadonnées harmonisées WS-Federation Gestion et distribution automatique des certificats au sein d'une ferme

36 36 Sommaire Un bref rappel sur AD FS 1.x, ses bénéfices et ses enseignements Découverte des protocoles et composants d'AD FS 2.0 Illustration d'une mise en œuvre type et quelques considérations associées Utilisation des revendications En guise de synthèse…

37 37 Revendications Une identité est un ensemble de revendications (claims) qui caractérise une personne (ou une "chose" (entité numérique)) dans le monde numérique Une revendication est une déclaration faite sur quelqu’un/quelque chose par quelqu’un/quelque chose Peut être un identificateur, une caractéristique ou autre chose Age > 21, Employeur = Microsoft, Rôle=Architecte, etc. Quelques exemples dans la pratique… Peut identifier un utilisateur Peut véhiculer l’appartenance à un groupe ou à un rôle Peut transporter des informations de personnalisation Peut donner ou dénier le droit de faire quelque chose Peut limiter le droit de faire quelque chose

38 38 Revendications Les fournisseurs d'identité doivent connaître les revendications à envoyer Les consommateurs d'identité doivent connaître les revendications qu'ils sont susceptibles de recevoir (et/ou préciser les revendications qu'ils exigent) Un accord doit s'établir en grande partie "out-of-band", largement simplifié par les métadonnées Dans AD FS 2.0 Les revendications attendues sont codifiées dans la politique d'acceptation Les revendications à envoyer sont codifiées dans la politique d'émission

39 39 Politique d’émission des revendications Les partenaires attendent différents types ou valeurs de revendications Politique pilotée par le périmètre du (AppliesTo) Comment sont alimentées les revendications ? Extraction de l’attribut displayName depuis le référentiel d’identité et émission d’une revendication urn:foo:name Comment sont transformées les revendications ? Le type de revendication urn:firstName est émis en tant que urn:givenName La valeur d'une revendication est modifiée via des expressions régulières Représentation de la politique Modélisée en interne avec des données SQL

40 40 Emission des revendications

41 41 Emission des revendications Protocols

42 42 Moteur de règles pour les revendications L'émission de revendications est pilotée par un langage déclaratif fondé sur l'expression de règles Une règle consiste en Une partie Conditions Une partie Emission De multiples conditions sont supportées Toutes les conditions doivent être remplies avant que la partie Emission ne soit exécutée Les disjonctions sont implémentées en divisant les conditions en plusieurs règles

43 43 Exemples de syntaxe Les règles sont exécutées séquentiellement (sans inférence) [type == "Name", value == "EUROPE\philber"] && [type == "AuthenticationType”, value == "SmartCard"] => add(type = "Role", value = "Editor"); c:[type == "UPN"] => issue(store = "SQLStore", types = (" ", "Age"), query = "SELECT , age FROM users WHERE name = '{0}'", param = c.value); Moteur de règles pour les revendications

44 44 Moteur de règles pour les revendications

45 45 Démo Définition d'une politique d'émission Configurer le serveur AD FS 2.0 Contoso pour obtenir des revendications d'une base SQL Server Schéma des tables de la base "HOL Doctors Role" Table 1 (dbo.URT) Table 2 (dbo.TS) Table 3 (dbo.RS)

46 46 Démo Définition d'une politique d'émission

47 47 Démo Définition d'une politique d'émission Application au contexte de l'utilisateur Application de la règle 1 Revendication d'évaluation Type : Valeur: DrugTrial 1 => add(store = "HOL Doctors Role", types = (http://schemas.microsoft.com/ws/2008/06/identity/claims/trial), query = "select trial from dbo.TS where dbo.TS.SharePointSite = {0}", param = "https://docs.contoso.com");

48 48 Démo Définition d'une politique d'émission Application au contexte de l'utilisateur Application de la règle 2 Revendication d'évaluation Type : Valeur: auditor c1:[Type == "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/ address"] && c2:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/trial"] => add(store = "HOL Doctors Role", types = ("http://tempuri.org/claims/incomingtrialrole"), query = "select role from dbo.URT where dbo.URT.Trial = {1} and dbo.URT.UserName={0}", param = c1.Value, param c2.Value);

49 49 Démo Définition d'une politique d'émission Application au contexte de l'utilisateur Application de la règle 3 Revendication à émettre Type : Valeur: sp_visitor c:[Type == "http://tempuri.org/claims/incomingtrialrole"] => issue(store = "HOL Doctors Role", types = ("http://schemas.microsoft.com/ws/2008/06/identityclaims/role"), query = "select dbo.RS.SharePointGroup from dbo.RS where dbo.RS.Role = {0}", param = c.Value);

50 50 Moteur de règles pour les revendications Denied Allowed

51 51 Autorisations dans le pipeline d'émission Même langage fondé sur les revendications Résultat du contrôle d'accès contrôle par deux revendications Evaluation selon les deux principes "Deny by default" et "Deny overrides" La valeur de ces revendications n'a aucun impact sur le contrôle d'accès

52 52 Autorisations dans le pipeline d'émission Support des sémantiques "allow-list" Et "deny-list"

53 53 Magasins d'attributs Plusieurs magasins d'attributs sont pris en charge pour une seule instance de STS En natif Magasin d'attributs SQL Server 2005/2008 Magasin d'attributs ADAM/AD LDS La prise en charge pour les valeurs liées, comme Reports-To, est en cours d'examen Des magasins d'attributs personnalisés peuvent être ajoutés Des langages arbitraires de requête d'attributs sont pris en charge Le moteur de langage transmet la chaîne de requête au magasin d'attributs pour interprétation

54 54 Magasins d'attributs personnalisés Permettre à un code personnalisé d'être enfiché pour la récupération des attributs Suppose de définir un assembly.Net implémentant l'interface IAttributeStore Cf. "Attribute Store Overview"

55 55 Sommaire Un bref rappel sur AD FS 1.x, ses bénéfices et ses enseignements Découverte des protocoles et composants d'AD FS 2.0 Illustration d'une mise en œuvre type et quelques considérations associées Utilisation des revendications En guise de synthèse…

56 56 AD FS 2.0 RC en synthèse Quelques fonctionnalités importantes Support des standards OASIS WS-Federation et WS-Trust Support ( certifié par les tests d'interopérabilité Liberty Interoperable SAML 2.0 ) du standard OASIS SAML 2.0 pour les profils IDP Lite, SP Lite, et eGov 1.5 Support des jetons SAML 1.1 et 2.0 Expérience utilisateur simplifiée pour la configuration (de ferme(s)) de serveur(s) et/ou de proxy(s) de fédération Choix de déploiement possible sans SQL Server Fournisseurs de magasins d'attributs AD DS, ADAM/AD LDS et SQL Server, et interface d'extensibilité pour d’autres référentiels Configuration pilotée et gestion automatisée par les métadonnées harmonisées WS-Federation Gestion et distribution automatique des certificats au sein d'une ferme Authentification via WIA, mots de passe, certificats client, SAML Délégation d'identité

57 57 AD FS 2.0 RC en synthèse Quelques fonctionnalités importantes Moteur de transformation de revendications fondé sur les règles Règles d'autorisation fondées sur les revendications pour restreindre l'émission de jetons de sécurité Fonctions de diagnostic avancées (événements, audits et traces) Support de la fédération avec AD RMS 2008 Support complet de Windows PowerShell pour une gestion d'AD FS 2.0 de bout en bout Emission de cartes d'information et support de Windows CardSpace 2.0 Beta 2 Refresh

58 58 AD FS 2.0 RC en synthèse Composants connexes Windows CardSpace 2.0 Beta 2 Refresh Téléchargement de taille réduite, expérience utilisateur rationalisée Cartes d'information poussées via les stratégies de groupe Décisions de sélection de carte poussées via les stratégies de groupe Microsoft Federation Extensions for SharePoint 3.0 RC Support pour SharePoint 2007 (fournisseurs d'authentification et d'appartenances) Windows Identity Foundation (WIF) 1.0 Modèle de programmation basé sur les revendications et intégré avec les rôles.Net Support de la plateforme Windows Azure Cf. session SEC317 "Windows Identity Foundation pour les développeurs" Mercredi 8 février, de 16h00 à 17h00

59 59 En guise de conclusion AD FS 2.0 résout les points de blocage en termes de déploiement d’AD FS 1.x Via notamment le support du protocole SAML 2.0 AD FS 2.0 améliore la productivité de l'entreprise avec une gestion "Zero-Touch" Gestion automatisée des relations de confiance à l’aide des métadonnées Gestion et distribution automatisées des certificats (signature et chiffrement) au sein d'une ferme AD FS 2.0 permet des scénarios critiques et propose une interopérabilité native en environnements hétérogènes Validée avec Sun OpenSSO Entreprise, Novell Access Manager, CA SiteMinder et Federation Manager, etc. Cf. https://docs.federatedidentity.net

60 60 Evaluer AD FS 2.0 (RC) aujourd'hui Télécharger AD FS 2.0 RC depuis le centre d'évaluation TechNet AD FS 2.0 RC A0-B76D-446D-810C-EA3C25B3969A&displayLang=en Windows CardSpace 2.0 RC 5f-e830-40b8-a5fe-ae7a864c4d76&displaylang=en Microsoft Federation Extensions for SharePoint 3.0 Release Candidate e-44fc-a74e-9adb152ddc37&displaylang=en

61 61 Evaluer AD FS 2.0 (RC) aujourd'hui Tester les scénarios proposés sur Microsoft Connect https://connect.microsoft.com/site642/Downloads Scénario + machines virtuelles Hyper-V Scénario "Federated Document Collaboration Using Microsoft Office SharePoint Server 2007 and AD FS 2" Scénario "Step by Step Guide to Identity Delegation" Scénario "Step-Up Authentication"

62 62 Evaluer AD FS 2.0 (RC) aujourd'hui Suivre les sessions sur “The Id Element” de Channel 9 ADFS 2.0 RC is Here! SharePoint 2010 and Claims-Based Identity What’s new in Geneva Server Making the shift from ADFS v1 to Geneva Server The new claims transformation language Geneva Server and SAML 2.0 Interoperability

63 63 Pour aller plus loin… Documentation AD FS 2.0 sur Microsoft TechNet AD FS 2.0 RC Design Guide AD FS 2.0 RC Deployment Guide AD FS 2.0 RC Product Help Documentation AD FS 2.0 sur MSDN Documentation additionnelle sur Microsoft Connect https://connect.microsoft.com/site642/Downloads AD FS 2.0 RC Getting Started Guide Step by Step Guide for Single Sign-On to Microsoft Online Developing Custom Attribute Stores for AD FS 2.0 Etc.

64 64 Pour aller plus loin… Centre de développement MSDN Sécurité pour la gestion de l'identité Forum “Geneva” Weblogs Blog "Geneva" Team Blog Documentation AD FS Blog Support Produit AD FS

65 65 Questions / Réponses

66 66 © 2010 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION. Votre potentiel, notre passion TM


Télécharger ppt "11 Les nouveautés d'Active Directory Federation Service (AD FS) 2.0 (Release Candidate, nom de code "Geneva" Server) Code Session : SEC207 Philippe BERAUD."

Présentations similaires


Annonces Google