11 pour les développeurs Code Session : SEC317 Philippe BERAUD Consultant Architecte Direction Technique Microsoft France Pierre COUZY Architecte en système d'informations Division Plateforme et Ecosystème Microsoft France

22 Description de la session Cette session vous offre un aperçu complet de Windows Identity Foundation (WIF), le nouveau Framework Identity de la plateforme.NET. Vous découvrirez notamment comment le modèle (de contrôle) d'accès fondé sur les revendications s'intègre en toute transparence avec le modèle objet.NET Identité traditionnel tout en donnant également aux développeurs un contrôle complet sur l'ensemble des aspects relatifs à l'authentification, aux autorisations et aux comportements applicatifs pilotés par l'identité. Cette session est illustrée par une mise en œuvre concrète de WIF au travers d'une application ASP.NET existante utilisant des services Web Windows Communication Foundation (WCF).

33

44 Le parcours virtuel Logiciels + Services Identité dans le cadre des Microsoft TechDays sessions pour faire un point ensemble Session SEC317 "Windows Identity Foundation pour les développeurs" Cette session !! Session SEC207 "Les nouveautés d'AD FS 2.0" Aujourd'hui de 14h30 à 15h30, à revivre prochainement en Session Web Session SEC315 "The 'M'-Based System.Identity Model for Accessing Directory Services" Lundi 8 février, de 11h00 à 12h00, à revivre prochainement en Session Web Session ARC307 "Software + Services Identity Roadmap" Lundi 8 février, de 14h30 à 15h30, à revivre prochainement en Session Web

55 Objectifs de la session Compléter la session IND213 "La gestion d'identité dans l'entreprise étendue (b2b/b2c) : Geneva" animée lors des TechDays EID=388ec88d-4ce4-4c57-a a25f6d6e5 Faire le point sur la version finale de Windows Identity Foundation (WIF, nom de code Zermatt Framework puis Geneva Framework) Illustrer quelques capacités clés de WIF

66 Sommaire Vers un nouveau modèle Une rapide introduction de Windows Identity Foundation (WIF) Une illustration des capacités de WIF

77 Les deux premières lignes de toute application connectée 1. Qui êtes-vous ? 2. Quêtes-vous autorisés à faire ?

88 Quest-ce quune identité ? Une identité est un ensemble dinformations à propos dune entité, telle quun utilisateur La plupart des applications travaillent avec des identités Les informations didentité influencent des aspects importants du comportement dune application tels que Déterminer ce quun utilisateur est autorisé à faire Contrôler la façon dont lapplication interagit avec lutilisateur

99 Le problème… Travailler avec les identités est devenu trop difficile La notion d'identité (numérique) est essentielle, mais pas simple ;-) Les applications doivent utiliser différentes technologies didentité dans différentes situations Kerberos au sein dun domaine Active Directory Utilisateur/Mot de passe, certificat ou OTP sur lInternet WS-Federation et SAML entre les organisations Etc. Il est difficile de concevoir quelque chose qui puisse fonctionner dans tous les contextes demandés par vos clients Vous nen avez jamais fini… Arbre de décision complexe, technologie vers scénario Une solution tactique aujourdhui peut bloquer une interopérabilité future

10 Vers un nouveau modèle Externalisation de lauthentification Lincorporation de code de gestion d'identité dans le code de base applicatif est une mauvaise idée En termes de compétences, besoin généralement de conseils ; peu d'entre nous sont des experts de l'identité En termes de maintenance, les applications développées ont un couplage fort avec une technologie X En termes de robustesse/flexibilité/interopérabilité De nombreuses technologies d'identité Mots de passe, Kerberos, X.509, SAML, LDAP, etc. Aucune technologie ne sapplique à lensemble des scénarii Intranet versus Internet Collaborateurs, partenaires, clients Applications Web, Smart Client, Services Web (avancés) Les détails techniques de l'authentification doivent être abstraits de la perspective du développeur d'applications

11 Vers un autre modèle… Au travers de l'externalisation de lauthentification, pourquoi ne pas enfin définir une approche qui puisse être utilisée dans tous ces cas ? La notion didentité fondée sur des revendications permet datteindre un tel objectif Cela peut rendre la vie des développeurs dapplications et des RSSI considérablement plus simple

12 Vers un nouveau modèle Quallons-nous appeler une identité ? Lidentité est un ensemble de revendications (claims) faites par un fournisseur didentité (létat, la banque, lentreprise) qui caractérise une personne ou une "chose" (entité numérique) dans le monde numérique Peut être un identificateur, une caractéristique ou autre chose Age > 21, Employeur = Microsoft, Rôle=Architecte, etc. Ces revendications sont physiquement transportées dans des documents (des jetons de sécurité) Ces jetons sont délivrés par des services de distribution de jetons (STS, ou Security Token Service) Les jetons sont utilisés par des applications, sites Web ou services Web, qui font confiance au STS (on les appelle des Relying Parties)

13 Vers un nouveau modèle Externalisation de lauthentification et revendications

14 Vers un nouveau modèle Externalisation de lauthentification et revendications

15 Vers un nouveau modèle Introduction de la plateforme Geneva Objectif : découpler du code applicatif l'authentification utilisateur et la recherche des revendications Composants Active Directory Federation Services (AD FS) 2.0 (ou un autre STS) Authentifie lutilisateur Sappuie sur les sources/référentiels faisant autorité pour les valeurs des revendications utilisateur Émet les valeurs, formats et types spécifiques de revendications requises par lapplication ou le service Windows Identity Foundation (WIF) Valide le jeton de sécurité émis par le STS Extrait les revendications et les met à disposition de lapplication ou du service

16 Démo L'identité fondée sur les revendications : c'est FACILE !

17 Sommaire Vers un nouveau modèle Une rapide introduction de Windows Identity Foundation (WIF) Une illustration des capacités de WIF

18 Windows Identity Foundation (WIF) 1.0 Framework pour.NET 3.5 au même titre que WCF, WF, et WPF Un modèle de développement pour les revendications Modèle objet des revendications intégré avec les APIs Identité.NET Modèle de programmation unifié et cohérent pour ASP.NET et WCF Modèle piloté par configuration Framework pour le développement de services de jetons de sécurité (STS) personnalisés avec un minimum d'efforts Outils pour la configuration automatique des applications et services pilotée par les métadonnées Fondés sur les standards OASIS WS-Federation et WS-Trust Et bien plus encore…

19 Windows Identity Foundation (WIF) 1.0 Composantes du Framework Modèle objet unifié (ASP.NET vs. WCF) pour les revendications Utilitaire FedUtil Ensemble de modules HTTP.NET pour le traitement des jetons de sécurité, la gestion des sessions, etc. Service c2WTS (Claims to Windows Token Service) Contrôles ASP.NET APIs pour l'émission de jetons et de cartes d'information Support de la plateforme Windows Azure Intégration à Visual Studio

20 Windows Identity Foundation (WIF) 1.0 Intégration Visual Studio Outils pour établir et maintenir des relations de confiance Modèles Visual Studio pour le développement de sites et de services Web fondés sur les revendications Contrôles ASP.NET prêts à l'emploi

21 Windows Identity Foundation (WIF) 1.0 Modèles Visual Studio Disponibles en C# File New Web Site… ASP.NET Security Token Service Web Site Claims-aware ASP.NET Web Site Claims-aware WCF Services WCF Service Token Service Projets thinktecture STS Starter Kit 1.0 Beta 1 et RP Starter Kit Construits sur WIF 1.0 Support des fournisseurs ASP.NET, des clients Silverlight, pont avec OpenID, etc.

22 Windows Identity Foundation (WIF) 1.0 Contrôles ASP.NET 2 contrôles standards complètement intégrés avec le pipeline WIF et FedUtil FederatedPassiveSignIn SignInStatus 2 contrôles DPE additionnels SecurityTokenVisualizerControl (STVC) ClaimsDrivenModifierControl (CDMC)

23 Sommaire Vers un nouveau modèle Une rapide introduction de Windows Identity Foundation (WIF) Une illustration des capacités de WIF

24 Comment découvrir WIF 1.0 ? Microsoft propose une application dexemple couvrant notamment les thématiques suivantes Externalisation de l'authentification et obtention des revendications Consommation des revendications Autorisations Invocation de services WCF Mise en œuvre d'une STS Personnalisé Délégation didentité Nous allons parcourir ensemble une partie de cette application

25 Obtention des revendications Challenge L'authentification fournit un identifiant, peut-être des groupes… les applications nécessitent plus dinformations sur lutilisateur Aujourd'hui, les applications doivent faire des requêtes DS ou DB pour obtenir les revendications utilisateur additionnelles Les applications doivent disposer de code vis-à-vis des différentes interfaces DS et DB, reflet de lhétérogénéité des référentiels Les applications ne sont généralement pas autorisées pour requêter dans une autre organisation ! ;-) Les applications hébergées (c.à.d. " dans le nuage") ne sont pas forcément connectées au(x) référentiel(s) d'entreprise "sur site"

26 Obtention des revendications Mise en œuvre Etapes Utiliser FedUtil pour se fédérer avec le STS Adatum Corporation Bénéfices Aucune requête DS ou DB nest nécessaire dans l'application Fabrikam Shipping Authentification unique entre les applications, et à travers les pare-feu Mise en oeuvre facilitée d'une fédération entre Adatum Corporation et Fabrikam pour l'accès au service Fabrikam Shipping

27 Obtention des revendications Modules HTTP de WIF HTTP Module(s) dans le pipeline ASP.NET de l'application Ils prennent le soin d'exposer la politique, de gérer les redirections de protocole, d'établir des sessions, etc. WSFederationAuthenticationModule (FAM) Implémente le protocole WS-Federation et ses redirections SessionAuthenticationModule Prend en charge la gestion des sessions indépendamment du protocole de "sign-in" ClaimsPrincipalHttpModule Fournit un "hook" pour injecter des revendications dans le principal courant

28 Obtention des revendications Fedutil Mise à jour du fichier web.config Déclaration du module WSFederationAuthenticationModule (FAM) Prise en charge de WS-Fed Passive et constitution d'un ClaimsPrincipal Déclaration du module SessionAuthenticationModule Gestion (agnostique vis-à-vis des protocoles) des sessions Consommation des métadonnées du STS pour les revendications Définition des informations de nom et de rôle pour les interfaces bien connues IPrincipal et IIdentity Création des métadonnées de fédération pour l'application Mise à disposition sous FederationMetadata\ pour consommation par le STS… /FederationMetadata/ /FederationMetadata.xml

29 Obtention des revendications Architecture de WIF Pipeline de traitement ASP.NET en première approche

30 Obtention des revendications Architecture de WIF

31 Obtention des revendications Traces au sein du pipeline WIF Introduites à partir de la RC Activation au sein du fichier.config Peuvent être visualisées avec SvcTraceViewer.exe %Program Files%\Microsoft SDKs\Windows\[v6.0A\v6.1\v7.0]\bin <add name="xml" type="System.Diagnostics.XmlWriterTraceListener" initializeData="C:\logs\WIF.xml" />

32 Obtention des revendications Traces au sein du pipeline WIF

33 Obtention des revendications Modèle de revendications dans WIF Et mes (Generic/Windows)Principal/((Generic/Windows)Identity dans tous cela ? IClaimsIdentity étend IIdentity, en y ajoutant le support des revendications Collection de revendications Revendications Name et Role pour la compatibilité arrière Peut inclure la chaîne de délégué (Actor) pour les scénarios de ActAs IClaimPrincipal étend IPrincipal, en y ajoutant une collection de ClaimsIdentity public interface IClaimsIdentity : IIdentity { ClaimCollection Claims { get; } string NameClaimType { get; set; } ICollection RoleClaimTypes { get; } string Label { get; set; } IClaimsIdentity Actor { get; set; } SecurityToken BootstrapToken { get; set; } } public interface IClaimsPrincipal : IPrincipal { ClaimsIdentityCollection Identities { get; } }

34 Obtention des revendications Modèle de revendications dans WIF Propriétés clé de la classe Claim ClaimType, Value, ValueType, Issuer Les chaînes permettent d'éviter les complexités de la désérialisation public class Claim { // some members omitted for brevity public virtual string ClaimType { get; } public virtual string Value { get; } public virtual string ValueType { get; } public virtual IDictionnary Properties; public virtual string Issuer { get; } public virtual string OriginalIssuer { get; } public virtual string IClaimIdentity Subject { get; } }

35 Obtention des revendications Consommation des revendications dans le code IClaimsIdentity id =((IClaimsPrincipal)Thread.CurrentPrincipal).Identities[0]; // you can use a simple foreach loop to find a claim... string users = null; foreach (Claim c in id.Claims) { if (c.ClaimType == System.IdentityModel.Claims.ClaimTypes. ) { Users = c.Value; break; } // you can also use LINQ to find a claim string usersFirstName = (from c in id.Claims where c.ClaimType == System.IdentityModel.Claims.ClaimTypes.GivenName select c).First().Value;

36 Démo Externalisation de l'authentification, obtention et consommation des revendications Fabrikam Shipping

37 Personnalisation à l'aide de revendications Mise en œuvre Etapes Utiliser FedUtil pour créer un STS local Fabrikam Envoyer des revendications pour la personnalisation Modifier l'application pour utiliser les revendications Se re-fédérer avec le STS Adatum Corporation Bénéfices Aucun code applicatif nécessaire pour requêter des informations sur l'utilisateur d'un annuaire ou d'une base de données La transformation de revendications au niveau des STS fournit une capacité dadaptation dimpédance pour les valeur/type de revendications

38 Et les autorisations dans tout cela ? Les rôles ASP.NET fonctionnent en tant que tels IsInRole, élément N'importe quel type de revendication en entrée peut être utilisé comme rôle ! Pour autant, un contrôle d'accès fondé sur les revendications peut être beaucoup plus sophistiqués que RBAC avec des règles métier conditionnées par différentes notions Plages horaires, montants de délégation, etc.

39 Et les autorisations dans tout cela ? WIF permet de modéliser l'information d'autorisation comme Une ressource que le sujet souhaite accéder Les actions que le sujet souhaite réaliser sur la ressource Ceci correspond à un AuthorizationContext Cette information ou politique peut être stockée dans le fichier web.config de l'application et consommée par un point d'extensibilité de WIF : classe ClaimsAuthorizationManager Hook pour votre logique d'autorisation Définition de votre implémentation de CheckAccess Ajout dans le pipeline de WIF via config [ClaimsPrincipalPermission(SecurityAction.Demand, Resource = "Directory", Operation = "Browse")] private bytes[] GetVideoFile(string path) {}

40 WIF et WCF Initialisation du pipeline WIF dans WCF Même modèle de programmation que dans ASP.NET… …mais avec une architecture de "hosting" différente Services "Self-Hosted" : Invoquer FederatedServiceCredentials.ConfigureServiceHost(host) dans votre ServiceHost avant de l'ouvrir (.Open) Services activés Web : Dériver une nouvelle usine à partir de ServiceHostFactory Faire un "Override" sur la méthode CreateServiceHost et faire l'appel à ConfigureServiceHost ci-avant en son sein Déclarer votre fabrique personnalisée dans la de votre fichier.svc

41 WIF et WCF Liaisons WIF UserNameWSTrustBinding CertificateWSTrustBinding WindowsWSTrustBinding KerberosWSTrustBinding IssuedTokenWSTrustBinding

42 Démo Autorisations, WIF et services WCF Fabrikam Shipping

43 Développer un STS avec WIF WIF fournit les briques de bases pour le développement de STS personnalisé AD FS 2.0 a été développé sur la base de WIF ! Même modèle de programmation pour l'ensemble des fonctions de "hosting" Actif : WCF Passif : ASP.NET Les assistants et modèles permettent de créer instantanément un squelette de STS Parfaitement adapté à des fins de testabilité Activités principales Décider en qui faire confiance Décider quel type de crédentités vous accepterez Fournir tout le matériel cryptographique pour la signature et le chiffrement Hook dans la logique d'extraction de revendications

44 Délégation didentité

45 Délégation didentité IClaimsIdentity Sample Fill

46 Délégation didentité Mise en œuvre Étapes Coder le service WCF BE Écrire du code dans le FE Fabrikam Shipping pour invoquer le service BE à l'aide dun jeton ActAs Mettre en place un STS personnalisé local pour le support de la délégation d'identité Bénéfices Contrôle granulaire fin de la politique de la délégation Préservation de l'identité de l'appelant d'origine Il est possible de mapper lutilisateur sur un compte AD "Shadow" pour l'accès aux ressources protégées via Kerberos (c2WTS) Audit précis au niveau du service BE Les accès et laudit reflètent les identités aussi bien de l'utilisateur et que de l'application FE Modèle de programmation WCF familier

47 Démo STS personnalisé, délégation d'identité Fabrikam Shipping

48 Ce que contient lapplication exemple Externalisation de l'authentification et obtention des revendications Consommation des revendications Autorisations Invocation de services WCF Mise en œuvre d'une STS Personnalisé Délégation didentité

49 Pour autant, nous avons à peine abordé les capacités du Framework… …comme par exemple les thématiques suivantes Mise en œuvre avec AD FS 2.0 Assurance vis-à-vis du niveau de lauthentification Gestion avancée des sessions Fermes Web c2WTS TrustChannel Windows Azure Etc.

50 Windows Identity Foundation (WIF) 1.0 En résumé Framework fondé sur les revendications et intégré à ASP.NET et WCF Implémentation des protocoles WS-Trust et WS-Federation Framework pour la définition de STS personnalisés Pour vous aider le cas échéant à assurer les transformations nécessaires en fonction de vos spécificités Service Revendications-vers-Jeton NT Intégration Visual Studio : outils, modèles, STS local de développement Intégration Windows Azure

51 En guise de conclusion Les revendications sont flexibles et puissantes Une identité fondée sur les revendications simplifie considérablement l'authentification, le contrôle d'accès et la personnalisation dans vos applications Les STS sont là pour vous aider à obtenir les bonnes informations didentité pour vos applications La plateforme Geneva vous offre un modèle de programmation cohérent pour chaque situation WIF facile la vie des développeurs pour programmer avec les revendications

52 Evaluer WIF 1.0 aujourd'hui Télécharger WIF depuis le centre d'évaluation WIF 1.0 pour Windows Server 203 SP2 A0-B76D-446D-810C-EA3C25B3969A&displayLang=en WIF 1.0 pour Windows Vista, Windows 7, Windows Server 2008 (R2) 5f-e830-40b8-a5fe-ae7a864c4d76&displaylang=en SDK WIF DF-C7AF-46BB C &displaylang=en Continuer l'analyse du scénario exemple Fabrikam Shipping Cf. billet fabrikamshipping-in-depth-semi-realistic-sample-for-geneva- framework.aspx

53 Evaluer WIF 1.0 aujourd'hui Suivre les sessions sur Channel 9 Session "Windows Identity Foundation Ships!" Foundation-Ships/ Session " Windows Identity Foundation RC is Here!" Foundation-RC-is-here/ Quelques lectures d8f-81cb-1a59bdc9f7e3&displaylang=en Livre blanc "Claims-Based Identity for Windows" Livre blanc "Microsoft Windows Identity Foundation (WIF) Whitepaper for Developers" Guide Patterns & Practices "Claims Based Identity & Access Control" us/library/ff359115%28lightweight%29.aspx

54 Se former à WIF 1.0 Suivre le cours en ligne sur Channel 9 Identité et sites Web, Identité et services Web, fournisseur d'authentification ASP.NET et Fédération, Identité et la plateforme Azure Nouveau HOL "Federated Authentication in a Windows Azure Web Role Application" WAZLab/ Version autonome : Télécharger et suivre le Kit de formation Identité pour les développeur (PDC 2009)

55 Se former à WIF 1.0 Suivre les sessions du parcours "Identité" de la PDC SVC28 : System.Identity Model Accessing Directory Services PR11 : Leveraging & Extending SharePoint Identity Features SVC26 : How Microsoft SharePoint 2010 was Built with WIF SVC17 : Enabling SSO to Windows Azure Applications SVC02 : Windows Identity Foundation Overview SVC19 : REST Security Services in Windows Azure using the Access Control Service

56 Pour aller plus loin… Documentation WIF sur MSDN Centre de développement MSDN Sécurité pour la gestion de l'identité Forum MSDN "Claims based access platform (CBA), code- named Geneva" Weblogs Blog "Geneva" Team blog Vibro.NET Blog

57 Questions / Réponses

58 © 2010 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION. Votre potentiel, notre passion TM