ADFS, l’expérience Web SSO (fédérée) 1ère partie

Slides:



Advertisements
Présentations similaires
Sécurité informatique
Advertisements

3/25/ :58 AM Développement de Services Web sécurisés et interopérables avec WS-* et WSE 2.0 SP3 Philippe Beraud Consultant Principal Microsoft France.
Fédération d'identité et ADFS de Windows Server 2003 R2
Active Directory Windows 2003 Server
Les Web Services Schéma Directeur des Espaces numériques de Travail
Active Directory, Applications STIME/Groupement des Mousquetaires 03 Novembre 2003.
Protection du réseau périphérique avec ISA 2004
Gérer son parc hétérogène depuis MOM et SMS avec QMX de Quest Software Laurent CAYATTE Consultant avant-vente Quest Software.
Architecte Infrastructure
Client Mac dans un réseau Wifi d’entreprise sécurisé
RMS et la Fédération d’identité
ASP.NET 2.0 et la sécurité Nicolas CLERC
« Les Mercredis du développement » Introduction Office « 12 » Présenté par Bernard Fedotoff Microsoft Regional Director Agilcom.
Laccès distant aux bases bibliographiques J. Gutierrez / B.Nominé – Université Nancy 2.
Université Nancy 2 - CRI Propositions de mécanisme de SSO dans un environnement d’applications web.
Les Web Services Schéma Directeur des Espaces numériques de Travail
- Couche 7 - Couche application. Sommaire 1)Introduction 1)DNS 1)FTP et TFTP 1)HTTP 1)SNMP 1)SMTP 1)Telnet.
Conception de la sécurité pour un réseau Microsoft
Guillaume CACHO Pierre-Louis BROUCHUD
L’architecture .net et ASP.net
Vue d'ensemble Implémentation de la sécurité IPSec
Le mécanisme de Single Sign-On CAS (Central Authentication Service)
Single Sign-On open source avec CAS (Central Authentication Service)
Atelier Portail SAP Durée : 2h.
La configuration Apache 2.2 Lhébergement virtuel.
Jérôme DUCLOS Architecte Winwise
Sécurité Informatique
Active Directory Windows 2003 Server
LOG 02 Bases de Données Avancées Rappels sur JSP / Servlet
Plateforme de gestion de données de capteurs
ManageEngine ADSelfService Plus
SSL (Secure Sockets Layer) (couche de sockets sécurisée)
Etude des Technologies du Web services
SECURITE DU SYSTEME D’INFORMATION (SSI)
XML-Family Web Services Description Language W.S.D.L.
Le langage ASP Les variables d'environnement HTTP avec Request.
Web Services - ADFS Pellarin Anthony En collaboration avec : Sogeti 1.
INTRANET au service du système d’information
V b date.
ASP.NET Par: Hugo St-Louis. C ARACTÉRISTIQUES A SP. NET Évolution, successeur plus flexible quASP (Active Server Pages). Pages web dynamiques permettant.
WINDOWS Les Versions Serveurs
Microsoft .NET.
SSO : Single Sign On.
Module 3 : Création d'un domaine Windows 2000
Vue d'ensemble Présentation du rôle du système DNS dans Active Directory Système DNS et Active Directory Résolution de noms DNS dans Active Directory.
Un portail éducatif (1) Les fonctions d'un portail –Point d'entrée vers une palette de services existants (intégration). –Gestion de l' identité et des.
Installation d’un fournisseur d’identités Shibboleth
22 Web Platform Installer pour faciliter la mise en œuvre de votre plateforme Web 9 Février 2010 Alban OlierLaurent Bonnet
Initiation au web dynamique
Windows Sharepoint Services “v3“ (1/6) Les nouveautés Stéphane Crozatier Relation Technique Editeurs de Logiciels DPE - Microsoft France
4 - Annuaires Les Annuaires d ’Entreprises Offres et solutions
Active Directory Windows 2003 Server
Travail de diplôme José Garrido Professeur : Philippe Freddi Explorer Internet en toute sécurité Surf Safe SPY INTERNET.
PHP 5° PARTIE : LES COOKIES
Sécurité des Services Web
Citrix ® Presentation Server 4.0 : Administration Module 11 : Activation de l'accès Web aux ressources publiées.
Erreurs commises couramment dans le domaine de la sécurité 1.Sensibilisation aux questions de sécurité 2.Suivi des incidents 3.Gestion déficiente des.
Metro Web Services Ben Yaflah Marouen Dhrif Mohamed Hbib Hajlaoui Nader.
Installation et Configuration Internet Information Server (IIS 6)
 SHIBBOLET Vitthagna BARNIER Paul CLEMENT M2 MIAGE Nancy 2009/2010.
Développement d’application Web.  Internet  WWW  Client/Serveur  HTTP.
Windows 2003 R2 Positionnement, fonctionnalités & scénarios
Module 3 : Création d'un domaine Windows 2000
La technologie Shibboleth
Les Servlets Présentation Cycle de vie Principe de fonctionnement
L’authentification Kerberos
Sécurité des Web Services
Cette session avec la démo disponible prochainement sur le site « interop » :
TWP Toolkit Formation 21/10/2009.
Chapitre 8 Protection du trafic réseau à l'aide de la sécurité IPSec et de certificats Module S43.
Transcription de la présentation:

ADFS, l’expérience Web SSO (fédérée) 1ère partie 3/25/2017 1:36 AM ADFS, l’expérience Web SSO (fédérée) 1ère partie Philippe Beraud Consultant Principal Microsoft France © 2006 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Sommaire Vue d’ensemble d’ADFS Composantes Scénarios de mise 3/25/2017 1:36 AM Sommaire Vue d’ensemble d’ADFS Composantes Scénarios de mise Eléments d’architecture d’ADFS Politique et configuration ADFS Federation Service (FS) Federation Service Proxy (FS-P) Web Agents Interopérabilité entre plates-formes WS-Federation Passive Requestor Interop Profile (WS-Fed PRIP) © 2006 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Active Directory Federation Services Objectifs 3/25/2017 1:36 AM Projeter l’identité utilisateur sur la base d’une première ouverture de session Etendre le périmètre d’utilisation d’Active Directory Fournir des mécanismes d’authentification et d’autorisation distribués Permettre aux clients, partenaires, fournisseurs, collaborateurs un accès sécurisé et contrôlé aux applications web situées hors de leur forêt Active Directory Connecter les « îles » ( à travers les frontières des plateformes, organisationnelles ou de sécurité) Permettre la mise en place de solutions de Web SSO ainsi qu’une gestion simplifiée des identités © 2006 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Active Directory Federation Services Quelques précisions 3/25/2017 1:36 AM ADFS n’est pas Le nouveau nom de Microsoft Passport Un nouveau référentiel d’identités Un nouveau type de relation d’approbation ou de forêt ADFS ne nécessite pas Une extension du schéma Active Directory ADFS est Un composant de Windows 2003 Server R2 Une implémentation interopérable de la spécification WS-Federation Passive Requestor Profile (WS-F PRP) ADFS s’appuie sur un certain nombre de composants de l’offre Microsoft AD et AD/AM en temps que référentiel utilisateur ASP.Net 2.0 Certificate Services (optionnel) Authorization Manager (optionnel) © 2006 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Quelques définitions… 3/25/2017 1:36 AM Quelques définitions… Jetons de sécurité Bases pour une authentification et une autorisation distribuées Les jetons de sécurité définissent des déclarations (claims) faites au sujet d’une identité, d’aptitude ou de privilèges Nom, adresse mèl, clé, groupe, rôle, etc. Attributs/propriétés de sécurité Quelques exemples Signé Certificat X.509, ticket Kerberos, assertion SAML, licence XrML, etc. Exigence ou non d’une preuve de possession Clé secrète, mot de passe © 2006 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Quelques définitions… Service de jetons de sécurité Un service de jetons émet des jetons de sécurité Un service de jeton peut « échanger » des jetons lorsque la requête traverse les frontières de royaumes de sécurité Centre de distribution des clés Ticket Kerberos contenant des claims SID= S-1-5-21-3485267726-192398... UPN=johndoe@adatum.com Service de jetons de sécurité Jeton SAML contenant des assertions Company=A.Datum Role=Purchasing Agent

3/25/2017 1:36 AM Composantes ADFS Active Directory ou Active Directory Application Mode (AD/AM) Fournisseur d’identités Authentification des utilisateurs Gestion des attributs utilisés pour constituer les claims Support des forêts Windows 2000 et 2003 Federation Service (FS) Service de jetons de sécurité Mappage des attributs utilisateur en claims Emission de jetons de sécurité Gestion des politiques de confiance de fédération Federation Service Proxy (FS-P) Proxy client pour les demandes de jetons UI pour les clients Browser (Découverte du royaume, Authentification) Web Server SSO Agent (Agent SSO) Agent d’authentification S’assure de l’authentification utilisateur Constitue le contexte utilisateur d’autorisation © 2006 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Composantes ADFS Notes 3/25/2017 1:36 AM Composantes ADFS LPC/Méthodes Web Authentification Kerberos/LDAP FS-P FS Active Directory ou AD/AM HTTPS Application Agent SSO WS Notes Les composantes FS et FS-P sont co-logés par défaut et peuvent être dissociés Les composantes FS, FS-P et SSO Agent requièrent la version IIS 6.0 de Windows Server 2003 R2 Seuls les clients Browser sont supportés © 2006 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Fournisseur de ressources 3/25/2017 1:36 AM Gestion fédérée d’identité ADFS « Projette » les identités Active Directory dans d’autres royaumes de sécurité Fournisseur de compte Fournisseur de ressources Fédération FS-A FS-R Émission de jetons de sécurité Gestion de la confiance – Clés la sécurité – Jetons/Claims nécessaires la confidentialité -- Jetons/Claims autorisés l’audit -- Identités , autorités Espace de noms privé A. Datum Corp. Espace de noms privé Trey Research, Inc. © 2006 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Flux d’authentification ADFS 3/25/2017 1:36 AM Flux d’authentification ADFS Forêt intranet Forêt DMZ [6] Fédération [4] [4] Obtention des attributs par FS-A et construction du jeton(A) [6] [6] Construction par FS-R d’un jeton(R) à partir du jeton(A) FS-A [5] [5] Renvoi par FS-A du jeton(A) au browser HTTP POST par le browser du jeton(A) vers FS-P [7] [7] Renvoi par FS-R du jeton(R) au browser HTTP POST par le browser du jeton(R) à WS [3] [3] Redirection HTTP 302 vers FS-A Authentification de l’utilisateur et demande de jeton [2] Redirection HTTP 302 vers FS-P R Découverte du Royaume d’Appartenance [2] FS-R FS-P A Client [8] [8] Renvoi par WS de la page [1] HTTP GET par le browser à destination du serveur Web (WS) [1] WS Pare-feu Pare-feu Pare-feu Pare-feu Relation de confiance établie « out-of-band » par l’échange de certificats X.509 et de politiques de claims Articulation de l’ensemble de l’authentification autour du client pour les clients Browser © 2006 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Fédération d’identité en action 3/25/2017 1:36 AM Démonstration Fédération d’identité en action © 2006 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Scénario B2B – Web SSO fédéré Les partenaires n’ont PAS besoin de comptes locaux 3/25/2017 1:36 AM Applications Web hébergées chez Trey Research,Inc. Les utilisateurs A. Datum Corp. utilisent leur compte AD A. Datum Corp. Intranet : Web SSO à l’issue de l’ouverture de session Windows Internet : Web SSO à l’issue de l’ouverture de session Forms ou d’une authentification SSL cliente Forêt intranet Pare-feu Fédération FS-A FS-R Client SW Acheteur interne FS-P A (ext) Pare-feu Pare-feu Pare-feu Client A. Datum Corp. Trey Research Inc. Acheteur nomade © 2006 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Scénario B2E – Web SSO Extranet SSO pour l’interne et les utilisateurs itinérants 3/25/2017 1:36 AM Application Web de commandes en ligne dans la DMZ Tous les utilisateurs Acme Sporting Goods ont leur compte dans l’AD intranet Intranet : Web SSO à l’issue de l’ouverture de session Windows Internet : Web SSO à l’issue de l’ouverture de session Forms ou d’une authentification SSL cliente Forêt intranet Forêt DMZ Relation de confiance Windows Fédération FS-R FS-A Client FS-P A (ext) Commercial Gestionnaire de stock Pare-feu Application Web Acme Sporting Goods Pare-feu © 2006 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Scénario B2C – Web SSO « en ligne » Web SSO classique pour les internautes 3/25/2017 1:36 AM Site de commerce en ligne et services client associés Les clients disposent de comptes dans la DMZ (AD ou AD/AM) Internet : Web SSO à l’issue de l’ouverture de session Forms Forêt intranet Forêt DMZ AD/AM FS Client Pare-feu SW Acme Sporting Goods Pare-feu © 2006 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Sommaire Eléments d’architecture d’ADFS 3/25/2017 1:36 AM Sommaire Vue d’ensemble d’ADFS Composantes Scénarios de mise Eléments d’architecture d’ADFS Politique et configuration ADFS Federation Service (FS) Federation Service Proxy (FS-P) Web Agents Interopérabilité entre plates-formes WS-Federation Passive Requestor Interop Profile (WS-Fed PRIP) © 2006 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Architecture ADFS Information de confiance Domaine/Forêt AD Federation Service (FS) Politique de confiance FS Web.config Lecture/écriture Magasin de politique de confiance FS ASP.NET IIS Lecture seule Lecture seule Version politique de confiance Information de configuration FS-Proxy Information de configuration Web Agent Federation Service Proxy (FS-P) Web Server SSO Agent ASP.NET ASP.NET IIS Métabase IIS Web.config Web.config IIS URL Service FS URL Service FS Chemin Cookie Audiences URLs de retour

Jetons de sécurité ADFS 3/25/2017 1:36 AM Jetons de sécurité ADFS Exclusivement des assertions SAML 1.1 (Security Assertion Markup Language) Aucun chiffrement des jetons L’ensemble des messages est véhiculé sur HTTPS Les jetons sont signés Interopérabilité avec d’autres solutions (défaut) Signature avec la clé privée RSA et signature vérifiée avec la clé publique du certificat X.509 correspondant Gestion des clés internes ADFS (optionnel) Les jetons FS-R à destination d’un Agent SSO peuvent être signés avec la clé de session Kerberos © 2006 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Certificats FS pour la signature Emission de certificats Auto-signé, Microsoft Certificate Services, AC commerciale Certificat de signature et clé privée Le FS doit signer les assertions SAML qu’il génère Stocké dans le magasin de certificats Machine Certificats de vérification Un FS doit être à même de vérifier les assertions SAML émises Par : lui-même, d’autres FS au sein de la ferme, des FS partenaires de confiance Stockés dans la politique de confiance La chaîne de certification est stockée en entier De multiple certificats peuvent être configurés

Types de claims supportés 3/25/2017 1:36 AM Types de claims supportés Types de claim interopérables WS-Federation Identité User Principal Name (UPN) Adresse mèl Common Name (toute chaîne de caractères) Groupe Personnalisé Paire nom/valeur, exemple SS=1 99 01 75 111 001 22 Données authZ seulement pour ADFS-vers-ADFS SIDs Envoyés afin d’éviter les comptes fantômes en Extranet DMZ Envoyés dans l’élément Advice du jeton SAML (ne constitue pas un type de claim standard) © 2006 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Traitement des jetons et des claims 3/25/2017 1:36 AM Traitement des jetons et des claims Demande de jeton Parcours et validation Magasins d’identités Queue IIS Contenu ? Ouverture de session AD Ouverture de session Extraction des claims Queue interne ADAM Cookie Claims Extracteur de claims Magasins de politiques Cache des politiques de confiance Transformation des claims Primaire Secondaire Création et signature du jeton SAML Jeton en réponse © 2006 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Transformation des claims 3/25/2017 1:36 AM Transformation des claims Remplacement de suffixe – Claim Identité UPN et Adresse mèl Supporté uniquement pour les claims allant vers un partenaire de ressources fédéré johndoe@purchasing.corp.adatum.com  johndoe@adatum.com Transformation « Groupe vers Groupe » Group=Purchasing Agents  Group=Purchasers Transformation des noms de claim personnalisés SS=1 99 01 75 111 001 22  NumSecSos=1 99 01 75 111 001 22 Transformation « Groupe vers UPN » Supporté uniquement pour les claims provenant d’un partenaire de comptes fédéré Transformation « Groupe SAML vers Groupe AD » (SG2ADG) Transformation personnalisée Interface pour développer des modules Plug-in de transformation Cf. 2nde partie © 2006 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Flot des claims ADFS de fédération 3/25/2017 1:36 AM Flot des claims ADFS de fédération Partenaire - Compte Peuplement Claims organisationnelles Compte Transformation Claims en sortie Magasin AD Transmission des claims Application - Ressource Activation Transformation Claims organisationnelles Ressource Claims en entrée Application © 2006 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Schématique FS-Proxy Page Discover Client Realm Page Client Logon Page Sign Out Application Pool HttpHandler W3ADM W3WP.exe LS Authentication Module HttpApplication Aspnet_isapi.dll Aspnet_wp.exe HTTP.SYS Requête

FS-P Compte d. e. c. f. b. bb. a. g. Federation Service (FS-R) Demande de jeton Crédentiels d’authN Utilisateur (session établie: claims depuis le Cookie de cache) Federation Service (FS-R) Réponse à la demande de jeton Assertion SAML (initialisation de la session établie: claims pour le Cookie de cache) d. e. Federation Service Proxy (FS-P) Cred. d’authN Utilisateur Authentification utilisateur Traitement Cookie IU Forms Web c. f. b. Browser bb. Demande de jeton 302 depuis FS-R Réponse à la demande de jeton POST vers FS-R a. g.

FS-P Ressource f. g. e. b. h. bb. a. c. d. i. Federation Service (FS-R) Demande de jeton Assertion SAML (session établie: claims depuis le Cookie de cache) Réponse à la demande de jeton Assertion SAML (initialisation de la session établie: claims pour le Cookie de cache) f. g. Federation Service Proxy (FS-P) Royaume Compte Utilisateur Identification utilisateur Traitement Cookie IU Découverte de royaume e. Cookie Royaume Compte Paramètre Royaume Compte b. h. Browser bb. a. Demande de jeton 302 depuis Agent Web Réponse à la demande de jeton POST depuis FS-A Demande de jeton 302 vers FS-A Réponse à la demande de jeton POST vers Agent Web c. d. i.

Agent Web SSO Agent Application basée sur un jeton NT Validation de la signature de l’assertion SAML et extraction des claims Assemblage WebSSO Code géré Windows 2003 Code natif Transmission de l’assertion SAML et récupération des claims Kerberos AuthN Provider Construction d’un jeton NT Service Windows LsaLogonUser ADFS AuthN Provider Windows 2000 Vérification pour l’assertion SAML ou le Cookie ADFS Application Pool W3WP.exe Extension ISAPI W3ADM Pipeline de requête IIS Application Web Impersonation jeton NT Filtre ISAPI HTTP.SYS Requête

Web SSO ADFS et les technologies SharePoint 3/25/2017 1:36 AM Démonstration Web SSO ADFS et les technologies SharePoint © 2006 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Agent Web SSO Agent Application « Claim-Aware » Application Pool Aspnet_wp.exe W3WP.exe W3ADM Web SSO Authentication Module HttpApplication Aspnet_isapi.dll HttpHandler Assemblage WebSSO HTTP.SYS Requête

Interopérabilité avec d’autres serveurs Web 3/25/2017 1:36 AM Interopérabilité avec d’autres serveurs Web Centrify DirectControl for Microsoft ADFS http://www.centrify.com/directcontrol/adfs.asp Offre un équivalent « cross-plateformes » à l’agent ADFS Web SSO pour IIS 6.0 : Apache, WebLogic, Tomcat, Websphere, JBoss Supporte aussi bien les applications sans modification que les applications qui ont été étendues pour tirer partie de l’environnement SAML (« Claim-Aware ») Quest Vintela Single Sing-On for Java (VSJ) v3.1 http://www.vintela.com/products/vsj Filtre servlet VSJ 3.1 ADFS Aucune modification nécessaire avec VSJ 3.1 pour les applications Java existantes PingID/SourceID WS-Federation for Apache 2.0 Toolkit http://www.sourceid.org/projects/ws-federation-apache Module en Open Source à destination des applications Apache écrites en Java, Perl et PHP © 2006 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Sommaire Interopérabilité entre plates-formes 3/25/2017 1:36 AM Sommaire Vue d’ensemble d’ADFS Composantes Scénarios de mise Eléments d’architecture d’ADFS Politique et configuration ADFS Federation Service (FS) Federation Service Proxy (FS-P) Web Agents Interopérabilité entre plates-formes WS-Federation Passive Requestor Interop Profile (WS-Fed PRIP) © 2006 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

WS-Federation Passive Requestor Profile 3/25/2017 1:36 AM WS-Federation Passive Requestor Profile Supporté par ADFS v1 dans Windows Server 2003 R2 « Binding » des spécifications WS-Trust et WS-Federation des services Web de seconde génération à destination des clients passifs (browser) « Web Services Federation Language: Passive Requestor Profile » (WS-Fed PRP) BEA, IBM, Microsoft, RSA Security, Verisign Juillet 2003 http://msdn.microsoft.com/ws/2003/07/ws-passive-profile Adhésion implicite aux politiques en suivant les redirections 302 Acquisition implicite de jetons via les messages HTTP Requiert un transport sécurisé (HTTPS) pour l’authentification Aucune fourniture de « preuve de possession » pour les jetons Mise à cache limitée (durée) des jetons Les jetons PEUVENT être rejoués © 2006 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Interopérabilité WS-Fed PRP 3/25/2017 1:36 AM Interopérabilité WS-Fed PRP Revues des spécifications et ateliers de mise en œuvre publics http://groups.yahoo.com/group/WS-Security-Workshops WS-Federation Passive Requestor Profile Interoperability Workshop (2004) Microsoft, IBM, RSA, Oracle (Oblix), PingID, BMC (Open Network), CA (Netegrity) Interopérabilité au sens service de jetons de sécurité pour les assertions SAML WS-Federation Passive Requestor Interoperability Profile (WS-Fed PRIP) http://download.microsoft.com/download/e/9/0/e90f1994-91be-4cf8-be5e-6ab54206192d/2004.03.Fed_passive_profile_interop_workshop_invite_pack.zip Avant-première des solutions WS-Federation lors de TechEd’04 (2004) Pavillon d’interopérabilité TechEd « Leading Identity Management Vendors Join Microsoft to Demonstrate Federated Identity Using Web Services » http://www.microsoft.com/presspass/press/2004/may04/05-25IMVRallyPR.asp   Interopérabilité des solutions WS-Federation au Burton Catalyst (2005) Démonstration d’interopérabilité multi-protocoles de fédération d’identité Microsoft, IBM, BMC, PingID, Symabs, Trustgenix, DataPower © 2006 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

WS-Fed PRIP Paramètres URL de la « Query String » Requêtes de jeton wa=wsignin1.0 wtrealm=resource realm URI [wreply=resource IP/STS Url] [wctx=anything] [wct=ISO8601 UTC] Réponses wresult=RequestSecurityTokenResponse [wctx=wctx from the request]   © 2006 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

WS-Fed PRIP Requesting Browser Requestor’s IP/STS Target Resource 3/25/2017 1:36 AM WS-Fed PRIP Requesting Browser Requestor’s IP/STS Target Resource Target’s IP/STS Get resource GET https://res.resource.com/app HTTP/1.1 HTTP/1.1 302 Found Location: https://sts.resource.com/sts?wa=wsignin1.0&wreply=http://res.resource.com/app&wct=2006-03-01T19:06:21Z Redirect to resource’s IP/STS GET https://sts.resource.com/sts?wa=wsignin1.0&wreply=https://res.resource.com/app&wct=2006-03-01T19:06:21Z HTTP/1.1 Detect realm HTTP/1.1 200 OK . . . <html xmlns="https://www.w3.org/1999/xhtml"> <head> <title>Working...</title> </head> <body> <form method="post" action="https://res.resource.com/app"> <p> <input type="hidden" name="wa" value="wsignin1.0" /> <input type="hidden" name="wresult" value="<RequestSecurityTokenResponse>...</RequestSecurityTokenResponse>" /> <button type="submit">POST</button> <!-- included for requestors that do not support javascript --> </p> </form> <script type="text/javascript"> setTimeout('document.forms[0].submit()', 0); </script> </body> </html> HTTP/1.1 302 Found Location: https://sts.account.com/sts?wa=wsignin1.0&wreply=https://sts.resource.com/sts&wctx= https://res.resource.com/app&wct=2006-03-01T19:06:22Z&wtrealm=resource.com HTTP/1.1 200 OK . . . <html xmlns="https://www.w3.org/1999/xhtml"> <head> <title>Working...</title> </head> <body> <form method="post" action="https://sts.resource.com/sts"> <input type="hidden" name="wa" value="wsignin1.0" /> <input type="hidden" name="wctx" value="https://res.resource.com/app" /> <input type="hidden" name="wresult" value="<RequestSecurityTokenResponse>...</RequestSecurityTokenResponse>" /> <button type="submit">POST</button> <!-- included for requestors that do not support javascript --> </form> <script type="text/javascript"> setTimeout('document.forms[0].submit()', 0); </script> </body> </html> Redirect to requestor’s IP/STS GET https://sts.account.com/sts?wa=wsignin1.0&wreply=https://sts.resource.com/sts&wctx=https://res.resource.com/app&wct=2006-03-01T19:06:22Z&wtrealm=resource.com HTTP/1.1 Login Return identity token POST https://sts.resource.com/sts HTTP/1.1 …. . . wa=wsignin1.0 wctx=https://res.resource.com/app wresult=<RequestSecurityTokenResponse>...</RequestSecurityTokenResponse> Return resource token POST https://res.resource.com/app HTTP/1.1 ... wa=wsignin1.0 wresult=<RequestSecurityTokenResponse>...</RequestSecurityTokenResponse> Return secured response © 2006 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

3/25/2017 1:36 AM WS-Fed PRIP Requested Security Token Response (RSTR) <RequestSecurityTokenResponse xmlns="http://schemas.xmlsoap.org/ws/2005/02/trust"> <AppliesTo xmlns="http://schemas.xmlsoap.org/ws/2004/09/policy"> <EndpointReference xmlns="http://schemas.xmlsoap.org/ws/2004/08/addressing" > <Address> https://www.treyresearch.net/adfs/fs </Address> </EndpointReference> </AppliesTo> <RequestedSecurityToken> <saml:Assertion … </saml:Assertion> </RequestedSecurityToken> </RequestSecurityTokenResponse> © 2006 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

WS-Fed PRIP <saml:AuthenticationStatement Syntaxe des assertions SAML 1.1 <saml:Conditions NotBefore="2006-03-01T17:11:30Z" NotOnOrAfter="2006-03-01T22:21:30Z"> <saml:AudienceRestrictionCondition> <saml:Audience> https://www.treyresearch.net/adfs/fs</saml:Audience> </saml:AudienceRestrictionCondition> </saml:Conditions> <saml:AuthenticationStatement AuthenticationMethod="urn:oasis:names:tc:SAML:1.0:am:password" AuthenticationInstant="2006-03-01T19:29:23Z"> <saml:Subject> <saml:NameIdentifier Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress"> ohnd@adatum.com </saml:NameIdentifier> </saml:Subject> </saml:AuthenticationStatement> <saml:AttributeStatement> <saml:Subject> … </saml:Subject> <saml:Attribute AttributeName="Group" AttributeNamespace="http://schemas.xmlsoap.org/claims"> <saml:AttributeValue> Purchasing Agent </saml:AttributeValue> </saml:Attribute> </saml:AttributeStatement> <Signature xmlns="http://www.w3.org/2000/09/xmldsig#"> … </Signature>

Interopérabilité WS-Fed PRP 3/25/2017 1:36 AM Interopérabilité WS-Fed PRP Adoption de WS-Federation PRIP Supporté par BMC Federated Identity Manager IBM Tivoli Federated Identity Manager Future fonctionnalité courant 2006 de CA eTrust SiteMinder Federation Security Services Citrix Access Suite Internet2 Shibboleth 1.3 (Shib-ADFS) PingID PingFederate v3.1 Source Burton Group « Federation Products: Building Blocks of a Growing Federation Ecosystem » http://www.burtongroup.com/research_consulting/doc.aspx?cid=715 © 2006 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Pour plus d’informations sur ADFS 3/25/2017 1:36 AM Pour plus d’informations sur ADFS Page d’accueil ADFS sur Microsoft TechNet http://technet2.microsoft.com/WindowsServer/en/Library/050392bc-c8f5-48b3-b30e-bf310399ff5d1033.mspx « Overview of Active Directory Federation Services (ADFS) in Windows Server 2003 R2 » http://go.microsoft.com/fwlink/?LinkId=54650 « Active Directory Federation Services Design Guide » http://technet2.microsoft.com/WindowsServer/en/Library/b0f029cb-65ab-44fb-bcfc-5aa02314e06e1033.mspx « ADFS Step-by-Step Guide » http://go.microsoft.com/fwlink/?LinkId=49531 « Windows SharePoint Services and SharePoint Portal Server 2003 Support boundaries for Active Directory Federation Services » http://support.microsoft.com/default.aspx?scid=kb;en-us;912492 .NET Show « ADFS » http://msdn.microsoft.com/theshow/episode047/default.asp Rejoignez les discussions sur http://www.identityblog.com © 2006 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

3/25/2017 1:36 AM © 2006 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Microsoft France 18, avenue du Québec 91 957 Courtaboeuf Cedex 3/25/2017 1:36 AM Microsoft France 18, avenue du Québec 91 957 Courtaboeuf Cedex www.microsoft.com/france 0 825 827 829 msfrance@microsoft.com © 2006 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.