La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Philippe BERAUD Consultant Architecte Microsoft France Stéphane SAUNIER TSP Sécurité Microsoft France

Présentations similaires


Présentation au sujet: "Philippe BERAUD Consultant Architecte Microsoft France Stéphane SAUNIER TSP Sécurité Microsoft France"— Transcription de la présentation:

1 Philippe BERAUD Consultant Architecte Microsoft France Stéphane SAUNIER TSP Sécurité Microsoft France

2 Constats Des information sensibles (documents, s, contenu intranet, etc.) peuvent être divulguées accidentellement ou intentionnellement Les coûts associés en termes de perte de revenu, davantage concurrentiels, de confiance clients peuvent savérer important « Le vol dinformations propriétaires est la plus grande source de dommages financiers parmi tous les incidents de sécurité » CSI/FBI Computer Crime and Security Survey, 2001 Besoins Protection permanentes des informations sensibles Technologie qui soit facilement utilisable Technologie qui soit souple, facilement déployable, et extensible Technologie qui aille au-delà du contrôle daccès et du chiffrement Contrôle de lusage

3 Technologie dinfrastructure destinée aux environnements dentreprise pour la protection des documents et courriels Nest pas destinée à la protection de laudio, vidéo et media en « streaming » Ne nécessite pas dinfrastructure PKI X.509 REL Certificats/Licences XrML (eXtensible Rights Markup Language, intégrés et transparents pour lutilisateur et ladministrateur Permet non seulement le contrôle daccès à linformation, mais surtout le contrôle de lusage qui en est fait Protection de linformation indépendamment dun périmètre La protection est attachée à linformation Lauteur/propriétaire définit et applique une politique dusage Attachée à linformation Indépendant du format des données Persiste et suit linformation

4

5

6 2.Lapplication fait un appel au client RMS pour créer une nouvelle session 1.Lutilisateur tente de publier ou consommer un contenu

7 2.Lapplication fait un appel au client RMS pour créer une nouvelle session Activation de la machine 3.Le client RMS commence sa procédure dinitialisation…

8 Activation de la machine a.Le client RMS génère une paire de clés RSA 1024-bit b.La clé privée est sécurisée par les Crypto APIs c.La clé publique est stockée dans le « Security Processor Certificate » (SPC) d.Le SPC est signé par le client RMS

9 Activation de la machine a.Le client RMS génère une paire de clés RSA 1024-bit b.La clé privée est sécurisée par les Crypto APIs c.La clé publique est stockée dans le « Security Processor Certificate » (SPC) d.Le SPC est signé par le client RMS

10 SPC Certification du compte

11 SPC a.Le client RMS initie une demande de certification au serveur RMS en envoyant le SPC b.Lutilisateur est authentifié DOMAIN\username SID d.Ladresse de courriel est obtenue de lAD DOMAIN\username SID e.Une paire de clés RSA 1024-bit est générée et stockée dans la base de données RMS SID Certification du compte SPC c.Le serveur valide le SPC

12 Certification du compte SPC f.La clé privée de lutilisateur est chiffrée avec la clé publique de la machine DOMAIN\username SID a.Le client RMS initie une demande de certification au serveur RMS en envoyant le SPC b.Lutilisateur est authentifié d.Ladresse de courriel est obtenue de lAD e.Une paire de clés RSA 1024-bit est générée et stockée dans la base de données RMS c.Le serveur valide le SPC

13 RAC Certification du compte SPC g.Le « Rights Management Account Certificate » (RAC) est créé, de courriel de lutilisateur et la clé publique y sont ajoutées h.Le serveur signe le RAC f.La clé privée de lutilisateur est chiffrée avec la clé publique de la machine DOMAIN\username SID

14 SPC RAC Certification du compte i.Le RAC est retourné au client Lutilisateur dispose maintenant un RAC quil peut utiliser pour consommer du contenu Pour publier, lutilisateur a encore besoin dun « Client Licensor Certificate » (CLC) g.Le « Rights Management Account Certificate » (RAC) est créé, de courriel de lutilisateur et la clé publique y sont ajoutées h.Le serveur signe le RAC

15 RAC Enrôlement du client a.Le client RMS contacte le serveur pour senrôler en fournissant son RAC c.Il génère une paire de clés RSA 1024-bit pour le CLC d.La clé privée est chiffrée avec la clé publique du RAC SPCRAC b.Le serveur valide le RAC

16 CLC RAC Enrôlement du client e.Le CLC est créé permettant à lutilisateur de publier de linformation SPCRAC f.Des informations serveur telles que lURL et la clé publique du serveur sont ajoutées au CLC a.Le client RMS contacte le serveur pour senrôler en fournissant son RAC c.Il génère une paire de clés RSA 1024-bit pour le CLC d.La clé privée est chiffrée avec la clé publique du RAC b.Le serveur valide le RAC

17 CLC Enrôlement du client g.Le serveur signe le CLC SPCRAC CLC h.Le CLC est retourné au client Le client est maintenant prêt a publier et consommer du contenu f.Des informations serveur telles que lURL et la clé publique du serveur sont ajoutées au CLC

18 Publication a.Lutilisateur crée du contenu avec une application compatible RMS c.Lapplication appelle la couche RMS cliente pour publication b.Lutilisateur précise le destinataire, les droits et les condition de publication read, print expire après 30 jours CLCSPCRAC

19 c.Lapplication appelle la couche RMS cliente pour publication PLPublication read, print expire après 30 jours d.Le client RMS génère une clés de chiffrement 128-bit AES, e.Chiffre le contenu, f.Et crée une « Publishing License » (PL) CLCSPCRAC

20 CLCSPCRAC f.Et crée une « Publishing License » (PL) PLPublication g.Les droits et la clé de chiffrement sont chiffrés par la clé publique du serveur inclue dans le CLC read, print expire apres 30 jours h.LURL du serveur est ajoutée a la PL i.La PL est signée par le CLC read, print expire après 30 jours

21 Publication i.La PL est signée par la CLC j.Le client retourne la PL à lapplication. k.Lapplication peut maintenant combiner la PL avec le contenu PL read, print expire après 30 jours PL read, print expire après 30 jours Le contenu peut maintenant être distribué !! CLCSPCRAC

22 Le contenu peut maintenant être distribué !! CLCSPCRACPublication PL read, print expires 30 days Le document est distribué aux destinataires comme nimporte quel document Imaginons que la machine du destinataire soit déjà initialisée Le destinataire a besoin dune licence pour accéder au document CLCSPCRAC

23 a.Le destinataire ouvre le document dans une application compatible RMS Acquisition de licence b.Lapplication invoque la couche client RMS pour obtenir une licence dutilisation PL read, print expires 30 days c.Le client RMS envoie la PL et la RAC au serveur RMS RAC d.Le serveur valide la RAC et la PL e.Les données de la PL sont déchiffrées PL read, print expires 30 days read, print expires 30 days CLCSPCRAC

24 UL read, print expires 30 days Acquisition de licence f.Si le contenu a été publié pour un groupe, le serveur vérifie lappartenance au groupe dans lAD PL read, print expires 30 days g.Si lidentité dans le RAC correspond à la PL, le serveur commence a construire une « Using License » (UL) e.Les données de la PL sont déchiffrées h.Les droits sont écrits dans lUL CLCSPCRAC read, print expires 30 days read, print expire après 30 jours read, print expire après 30 jours

25 RAC UL read, print expires 30 days Acquisition de licence i.La clé de chiffrement du contenu est chiffrée par la RAC PL read, print expires 30 days j.Puis ajoutée à lUL h.Les droits sont écrits dans lUL j.LUL est retournée au client k.LUL est signée par le serveur CLCSPCRAC

26 Acquisition de licence PL read, print expires 30 days CLCSPCRAC Le destinataire peut maintenant consommer le contenu !! UL read, print expires 30 days i.La clé de chiffrement du contenu est chiffrée par le RAC j.Puis ajoutée à lUL h.Les droits sont écrits dans lUL l.LUL est retournée au client k.LUL est signée par le serveur

27 UL read, print expires 30 days Accès au contenu PL read, print expires 30 days SPCRACCLC SPCUL read, print expire après 30 jours RAC

28 Accès au contenu SPCUL read, print expire après 30 jours RAC b.Le client RMS utilise le certificat du « Security Processor » pour déchiffrer la clé privée du RAC a.Lapplication invoque la couche client RMS Client pour déchiffrer le contenu c.La clé privée du RAC déchiffre la clé de chiffrement du contenu

29 Accès au contenu SPCUL read, print expire après 30 jours RAC d.Le client RMS déchiffre le contenu c.La clé privée du RAC déchiffre la clé de chiffrement du contenu e.Lapplication affiche le contenu et applique les restrictions associée au document

30 La protection de linformation est importante pour les communications internes La protection de linformation est critique pour les communications externes

31 A. Datum a déployé une infrastructure RMS pour protéger ses propriétés intellectuelles en interne Contoso est un fournisseur dA. Datum Dans le cadre de la collaboration avec Contoso, A. Datum souhaite protéger avec RMS le contenu partagé avec les collaborateurs Contoso Bibliothèques de documents SharePoint, sites Intranet, etc.

32 Comment je midentifie (et jidentifie/authentifie un collaborateur Contoso) ? Etablir une relation de confiance RMS Créer des comptes séparé dans lAD interne Utiliser Microsoft Passport/Windows Live ID Déployer un AD distinct en Extranet Collaboration externe

33 RMS supporte les scénarios B2B au travers des relations de confiance RMS Deux types de relation de confiance peuvent être établies Use Trust Le server RMS A. Datum voit les RACs utilisateurs émise par le serveur RMS Contoso comme valide Importation de la clé publique Contoso (SLC) Publish Trust Le server RMS A. Datum peut accorder des ULs pour du contenu protégé par le serveur RMS Contoso Importation de la clé privée Contoso Les relations de confiance RMS supposent une infrastructure de part et dautre (A. Datum et Contoso) Les collaborateurs A. Datum peuvent protéger du contenu et en conférer des permissions dusage aux collaborateurs Contoso Les relations de confiance RMS sont établies hors ligne SLC et clé privée (dans Publish Trust) échangés OOB ©Microsoft Confidential All rights reserved.

34 1. Le SLC est exporté depuis le serveur RMS 6. Le destinataire obtient un RAC du serveur RMS 2. Le SLC est transmis OOB à ladministrateur de lentreprise partenaire 3. Le SLC est importé dans le serveur RMS pour établir le Use Trust 5. Le contenu est transmis à lutilisateur de lentreprise partenaire RMS 4. Lutilisateur protège un contenu avec le CLC émis par le serveur RMS 8. Le serveur RMS valide le RAC et traite la requête UL 7. La requête UL est envoyée avec le RAC 9. LUL est retournée au client Serveur de certification RMS Serveur de licences RMS Relation de confiance A. Datum Corporation Contoso, Inc.

35 Contoso ne dispose pas forcément dune infrastructure RMS A.Datum ne souhaite pas obligatoirement créer et gérer des comptes pour la collaboration avec Contoso A.Datum ne souhaite pas vraiment reposer sur Windows Live ID

36 Etablir un cadre de confiance une fois entre A.Datum et Contoso Le réutiliser pour de multiples applications Accès aux bibliothèques SharePoint, sites Intranet, etc. dA.Datum Les utilisateurs de Contoso peuvent consommer un contenu A. Datum protégé par RMS Les utilisateurs de Contoso peuvent produire un contenu protégé par RMS pour A. Datum Les comptes utilisateur de Contoso sont directement gérés par Contoso Aucun impact en terme de gestion du cycle de vie de lidentité

37 Fournir des mécanismes dauthentification et dautorisation distribués Permettre aux clients, partenaires, fournisseurs, collaborateurs un accès sécurisé et contrôlé aux applications web situées hors de leur forêt Active Directory Projeter lidentité utilisateur sur la base dune première ouverture de session Etendre le périmètre dutilisation dActive Directory Connecter les « îles » ( à travers les frontières des plateformes, organisationnelles ou de sécurité) Permettre la mise en place de solutions de Web SSO ainsi quune gestion simplifiée des identités

38 Dans Windows Server 2003 (R2) Federation Service (FS) Service de jetons de sécurité Active Directory ou Active Directory Application Mode (AD/AM) comme référentiel didentité Authentification des utilisateurs Gestion des attributs utilisés pour fournir linformation didentité Gestion des politiques de confiance de fédération Federation Service Proxy (FS-P) Proxy client pour les demandes de jetons Web Server SSO Agent (Agent SSO) Agent dauthentification Sassure de lauthentification utilisateur Constitue le contexte utilisateur dautorisation

39 « Projection » des identités Active Directory dans dautres royaumes de sécurité Relation de confiance A. Datum Corporation Contoso, Inc. FS-RFS-A Émission de jetons de sécurité Gestion de la confiance – Clés la sécurité – Jetons/Claims nécessaires la confidentialité -- Jetons/Claims autorisés laudit -- Identités, autorités Espace de noms privé A. Datum Corp. Espace de noms privé Contoso, Inc.

40 6. Le client est redirigé vers FS-R pour authentification 1. Un contenu protégé par RMS est transmis à un utilisateur de lentreprise partenaire RMS 2. Le serveur RMS est contacté pour obtenir un RAC pour obtenir un RAC 4. Le client est redirigé vers FS-R Serveur RMS Relation de confiance A. Datum Corporation Contoso, Inc. FS-RFS-A 5. Le client est redirigé vers FS-A pour authentification 3. Lagent WebSSO ADFS intercepte la requête 7. Le client est redirigé vers le serveur RMS 8. Lagent WebSSO ADFS intercepte la requête, vérifie lauthentification et transmet la requête au server RMS 9. Le serveur RMS retourne le RAC au client SPCRACCLCSPCRACCLC

41 41 Contoso Client RMS ContosoFS-AA.Datum Serveur RMS A.DatumFS-R Découverte du domaine dorigne du client Redirection vers le FS-A Contoso Identification/Authentification Redirection vers le FS-R A.Datum avec un jeton dauthentification A.Datum Redirection vers le serveur RMS avec un jeton dautorisation Contoso Certification du client Demande de certification au serveur RMS A.Datum Demande de certification au serveur RMS A.Datum Redirection vers le FS-R A.Datum GET https://rms.adatum.com/_wmcs HTTP/1.1 HTTP/ Found Location: https://fs-r.adatum.com/adfs/ls?wa=wsignin1.0&wreply=https://rms.adatum.com/_wmcs&wct= T19:06:21Z GET https://fs-r.adatum.com/adfs/ls?wa=wsignin1.0&wreply=https://rms.adatum.com/_wmcs&wct= T19:06:21Z HTTP/1.1 HTTP/ Found Location: https://fs-a.contoso.com/adfs/ls?wa=wsignin1.0&wreply=https://fs-r.adatum.com/adfs/ls&wctx= https://rms.adatum.com/_wmcs&wct= T19:06:22Z&wtrealm=adatum.com GEThttps://fs-a.contoso.com/adfs/ls?wa=wsignin1.0&wreply=https://fs-r.adatum.com/adfs/ls&wctx= https://rms.adatum.com/_wmcs&wct= T19:06:22Z&wtrealm=adatum.com GET https://fs-a.contoso.com/adfs/ls?wa=wsignin1.0&wreply=https://fs-r.adatum.com/adfs/ls&wctx= https://rms.adatum.com/_wmcs&wct= T19:06:22Z&wtrealm=adatum.com HTTP/1.1 HTTP/ OK... Working... POST POST setTimeout('document.forms[0].submit()', 0); setTimeout('document.forms[0].submit()', 0); POST https://fs-r.adatum.com/adfs/ls HTTP/1.1 …... wa=wsignin1.0wctx=https://rms.adatum.com/_wmcswresult=... HTTP/ OK... Working...

POST POST

setTimeout('document.forms[0].submit()', 0); POST https://rms.adatum.com/_wmcs HTTP/1.1...wa=wsignin1.0wresult=...

42

43 Modifications au niveau du client RMS Le client RMS suit les redirections ADFS Le client fournit linformation du domaine dorigine au serveur de fédération dans la query string Nouveau type didentification au-delà de Windows et de Passport/Windows Live ID Modification au niveau du serveur RMS Application « Claims-aware » Nouvelles vroots Certification externe, Licensing externe

44 Côté A.Datum - Ressources Une infrastructure RMS opérationnelles avec toutes ses dépendances Un serveur de fédération ADFS Windows Server 2003 R2 ou Windows Server Longhorn SSL activé sur les nouvelles vroots RMS et sur le serveur de fédération Côté Contoso - Comptes Un serveur de fédération ADFS Windows Server 2003 R2 ou Windows Server Longhorn SSL activé sur le serveur de fédération Clé de registre Home Realm Discovery sur les machines client

45 Gestion de l'identité dans Windows Server 2003 R2 ntite.mspx Introduction à ADFS sts/intro_adfs.mspx ADFS Pas à Pas 2-A82F BBD-A103B9F27654&displaylang=fr

46

47 Sinformer - Un portail dinformations, des événements, une newsletter bimensuelle personnalisée Se former - Des webcasts, des articles techniques, des téléchargements, des forums pour échanger avec vos pairs Bénéficier de services - Des cursus de formations et de certifications, des offres de support technique Visual Studio Abonnement MSDN Premium Abonnement TechNet Plus : Versions déval + 2 incidents support

48 © 2007 Microsoft France Votre potentiel, notre passion TM


Télécharger ppt "Philippe BERAUD Consultant Architecte Microsoft France Stéphane SAUNIER TSP Sécurité Microsoft France"

Présentations similaires


Annonces Google