RMS et la Fédération d’identité

Slides:



Advertisements
Présentations similaires
Mars 2006 OLMEK Développé par Item Centric, Olmek est une solution novatrice de protection des données informatiques, garantissant un niveau de confidentialité
Advertisements

Les Web Services Schéma Directeur des Espaces numériques de Travail
Cyril VOISIN Chef de programme Sécurité Microsoft France
Botnet, défense en profondeur
Client Mac dans un réseau Wifi d’entreprise sécurisé
Le déploiement dapplications et la gestion du réseau pédagogiques détablissements scolaires Brice DELONS Consultant manager EXAKIS.
Tableau de Bord DSI Lionel Gomes Da Rosa
Gestion de droits numériques en entreprise avec RMS SP1
Linq, fonctionnement et architecture
« Les Mercredis du développement » Introduction Office « 12 » Présenté par Bernard Fedotoff Microsoft Regional Director Agilcom.
1 HPC pour les opérations. Administration Compute Cluster Server.
Laccès distant aux bases bibliographiques J. Gutierrez / B.Nominé – Université Nancy 2.
Université Nancy 2 - CRI Propositions de mécanisme de SSO dans un environnement d’applications web.
Microsoft Office Groove Le contexte Une utilisation des postes de travail en très grande évolution chez les professionnels. Des lieux de travail.
Implémentation de la gestion de réseau dans Windows 2000 et plus
DUDIN Aymeric MARINO Andrès
Vue d'ensemble Implémentation de la sécurité IPSec
Réseaux Privés Virtuels
Le mécanisme de Single Sign-On CAS (Central Authentication Service)
Sécurité Informatique
Plateforme de gestion de données de capteurs
Public Key Infrastructure
SSL (Secure Sockets Layer) (couche de sockets sécurisée)
Microsoft Dynamics AX et la mobilité
Module 1 : Préparation de l'administration d'un serveur
Amélioration de la sécurité des données à l'aide de SQL Server 2005
Web Services - ADFS Pellarin Anthony En collaboration avec : Sogeti 1.
Quel serveur pour vous?.
Mise en place d'un serveur SSL
Protocole 802.1x serveur radius
Cette session suppose une connaissance préalable des grands principes de Workflow Foundation Nous parlerons très peu de lécriture de workflows Une session.
Développement dapplications web Authentification, session.
SSO : Single Sign On.
Assurer la confidentialité de vos documents
Excel et Excel Services
Gestion 100% réalisée par le système Les API du système permettent de : Savoir si le mot de passe est actif Declare Function GetPasswordStatus Lib "Coredll"
SDL en une slide Modélisation des menaces Démo…interactive!

•Présentation de Team Edition for Database Professionals •La méthodologie •Etude de cas.
PHP 5° PARTIE : LES COOKIES
Introduction Les contrôles Les templates de données Les vues Conclusion.
Introduction au développement Office 2007
Le protocole d’authentification
Expose sur « logiciel teamviewer »
Combien envisagent d’utiliser SSMA pour migrer : OracleSybaseAccess.
Erreurs commises couramment dans le domaine de la sécurité 1.Sensibilisation aux questions de sécurité 2.Suivi des incidents 3.Gestion déficiente des.
GESTION DES UTILISATEURS ET DES GROUPES
Outil de conception d’applications WPF Anciennement « Interactive Designer » Orienté « intégrateur graphistes » Particularité : Blend tm est une application.
La sécurité dans SQL Server 2005
Technet Office System
Windows 2003 R2 Positionnement, fonctionnalités & scénarios
Positionnement : Outil de supervision et d’administration spécialiste Les management packs de l’éditeur et la base de connaissance embarquée Rapidité.
Module 3 : Création d'un domaine Windows 2000
La technologie Shibboleth
Communication & Collaboration Gestion de contenu numérique Business Intelligence Solutions Office system 2007 Vos équipes Gestion de Projets Entreprise.
L’authentification Kerberos
04/06/2015BATOUMA Narkoy1 An OGSI CredentialManager Service ( Par:Jim Basney, Shiva Shankar Chetan, Feng Qin, Sumin Song, Xiao Tu et Marty Humphrey ) Présentation:
Quels sont les bénéfices techniques à migrer vers Windows Longhorn Server ?
Comprendre le Catalogue de Données Métier Utiliser le Catalogue de Données Métier Développer avec le Catalogue de Données Métier Conclusion.
 Répondre aux problèmes principaux de VS 2005  Augmenter toujours la productivité côté désign  Un vrai outil de développement pour le développement.
Portail collaboratif avec les technologies SharePoint
Introduction Les bases de la 3D dans WPF L’application Tron (la 3D pour les nuls ) Passer d’un rendu 2D à un rendu 3D La 3D dans les interfaces WPF.
Linq = Language INtegrated Query DLinq = Database + Linq Appelé maintenant Linq to Data Xlinq = XML + Linq Appelé maintenant Linq to XML.
1 Démo SoftGrid. Le Séquenceur SoftGrid Utilisation d’un « packageur » SoftGrid Possibilité de “séquencer” en ligne de commande (CLI) Existence d’outils.
Sécurité des Web Services
EGEE-II INFSO-RI Enabling Grids for E-sciencE EGEE and gLite are registered trademarks Sécurité sur le GRID Ahmed Beriache (CGG)
1 Chesné Pierre
Création d’applications distribuées.NET Ziriad Saibi Relation technique éditeurs de logiciels Microsoft France.
Les identités numériques dans un monde connecté Digicloud 2016 – Marrakech Ouadie TALHANI Consultant Senior Sécurité Tél.: +336.
Chapitre 8 Protection du trafic réseau à l'aide de la sécurité IPSec et de certificats Module S43.
Transcription de la présentation:

RMS et la Fédération d’identité Philippe BERAUD Consultant Architecte Microsoft France philber@microsoft.com Stéphane SAUNIER TSP Sécurité Microsoft France stephsau@microsoft.com

Gérer l’information numérique Constats Des information sensibles (documents, e-mails, contenu intranet, etc.) peuvent être divulguées accidentellement ou intentionnellement http://www.internalmemos.com Les coûts associés en termes de perte de revenu, d’avantage concurrentiels, de confiance clients peuvent s’avérer important « Le vol d’informations propriétaires est la plus grande source de dommages financiers parmi tous les incidents de sécurité » CSI/FBI Computer Crime and Security Survey, 2001 Besoins Protection permanentes des informations sensibles Technologie qui soit facilement utilisable Technologie qui soit souple, facilement déployable, et extensible Technologie qui aille au-delà du contrôle d’accès et du chiffrement Contrôle de l’usage

Rights Management Services (RMS) 3/26/2017 3:56 PM Rights Management Services (RMS) Technologie d’infrastructure destinée aux environnements d’entreprise pour la protection des documents et courriels N’est pas destinée à la protection de l’audio, vidéo et media en « streaming » Ne nécessite pas d’infrastructure PKI X.509 REL Certificats/Licences XrML (eXtensible Rights Markup Language, http://www.xrml.org) intégrés et transparents pour l’utilisateur et l’administrateur Permet non seulement le contrôle d’accès à l’information, mais surtout le contrôle de l’usage qui en est fait Protection de l’information indépendamment d’un périmètre La protection est attachée à l’information L’auteur/propriétaire définit et applique une politique d’usage Attachée à l’information Indépendant du format des données Persiste et suit l’information © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Principes de fonctionnement de RMS 17/3/26 15時56分 Principes de fonctionnement de RMS App App RMS Client RMS Client OS OS © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

17/3/26 15時56分 OS RMS Client App © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

App App RMS Client RMS Client OS 17/3/26 15時56分 App App L’utilisateur tente de publier ou consommer un contenu RMS Client RMS Client OS L’application fait un appel au client RMS pour créer une nouvelle session © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

App RMS Client OS Activation de la machine 17/3/26 15時56分 App L’utilisateur tente de publier ou consommer un contenu RMS Client OS L’application fait un appel au client RMS pour créer une nouvelle session Le client RMS commence sa procédure d’initialisation… Activation de la machine © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

App RMS Client OS Activation de la machine 17/3/26 15時56分 App Activation de la machine Le client RMS génère une paire de clés RSA 1024-bit RMS Client La clé privée est sécurisée par les Crypto APIs OS La clé publique est stockée dans le « Security Processor Certificate » (SPC) Le SPC est signé par le client RMS © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

App RMS Client OS Activation de la machine 17/3/26 15時56分 App Activation de la machine Le client RMS génère une paire de clés RSA 1024-bit La clé privée est sécurisée par les Crypto APIs La clé publique est stockée dans le « Security Processor Certificate » (SPC) Le SPC est signé par le client RMS RMS Client OS © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Certification du compte 17/3/26 15時56分 Certification du compte SPC © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Certification du compte 17/3/26 15時56分 DOMAIN\username SID username@domain.com Certification du compte Le client RMS initie une demande de certification au serveur RMS en envoyant le SPC SID DOMAIN\username SID L’utilisateur est authentifié SPC Le serveur valide le SPC L’adresse de courriel est obtenue de l’AD Une paire de clés RSA 1024-bit est générée et stockée dans la base de données RMS SPC © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Certification du compte 17/3/26 15時56分 DOMAIN\username SID username@domain.com Certification du compte Le client RMS initie une demande de certification au serveur RMS en envoyant le SPC L’utilisateur est authentifié L’adresse de courriel est obtenue de l’AD Une paire de clés RSA 1024-bit est générée et stockée dans la base de données RMS Le serveur valide le SPC SPC La clé privée de l’utilisateur est chiffrée avec la clé publique de la machine SPC © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Certification du compte 17/3/26 15時56分 DOMAIN\username SID username@domain.com Certification du compte La clé privée de l’utilisateur est chiffrée avec la clé publique de la machine Le « Rights Management Account Certificate » (RAC) est créé, l’@ de courriel de l’utilisateur et la clé publique y sont ajoutées RAC Le serveur signe le RAC SPC © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Certification du compte 17/3/26 15時56分 Certification du compte Le « Rights Management Account Certificate » (RAC) est créé, l’@ de courriel de l’utilisateur et la clé publique y sont ajoutées Le serveur signe le RAC RAC Le RAC est retourné au client L’utilisateur dispose maintenant un RAC qu’il peut utiliser pour consommer du contenu Pour publier, l’utilisateur a encore besoin d’un « Client Licensor Certificate » (CLC) SPC © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

17/3/26 15時56分 Enrôlement du client Le client RMS contacte le serveur pour s’enrôler en fournissant son RAC Le serveur valide le RAC RAC Il génère une paire de clés RSA 1024-bit pour le CLC La clé privée est chiffrée avec la clé publique du RAC SPC RAC © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

17/3/26 15時56分 Enrôlement du client Le client RMS contacte le serveur pour s’enrôler en fournissant son RAC Il génère une paire de clés RSA 1024-bit pour le CLC La clé privée est chiffrée avec la clé publique du RAC Le serveur valide le RAC RAC CLC Le CLC est créé permettant à l’utilisateur de publier de l’information Des informations serveur telles que l’URL et la clé publique du serveur sont ajoutées au CLC SPC RAC © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

17/3/26 15時56分 Enrôlement du client Des informations serveur telles que l’URL et la clé publique du serveur sont ajoutées au CLC Le serveur signe le CLC Le CLC est retourné au client CLC CLC Le client est maintenant prêt a publier et consommer du contenu SPC RAC © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

App App RMS Client RMS Client OS 17/3/26 15時56分 Publication L’utilisateur crée du contenu avec une application compatible RMS L’utilisateur précise le destinataire, les droits et les condition de publication L’application appelle la couche RMS cliente pour publication App App RMS Client RMS Client group@example.com read, print expire après 30 jours OS CLC SPC RAC © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

App RMS Client OS Publication 17/3/26 15時56分 Publication L’application appelle la couche RMS cliente pour publication Le client RMS génère une clés de chiffrement 128-bit AES, Chiffre le contenu, Et crée une « Publishing License » (PL) App PL RMS Client group@example.com read, print expire après 30 jours OS CLC SPC RAC © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

App RMS Client OS Publication Et crée une « Publishing License » (PL) 17/3/26 15時56分 Publication Et crée une « Publishing License » (PL) Les droits et la clé de chiffrement sont chiffrés par la clé publique du serveur inclue dans le CLC L’URL du serveur est ajoutée a la PL App La PL est signée par le CLC PL RMS Client group@example.com read, print expire après 30 jours group@example.com read, print expire apres 30 jours OS SPC RAC CLC © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

App RMS Client RMS Client OS 17/3/26 15時56分 Publication La PL est signée par la CLC Le client retourne la PL à l’application. L’application peut maintenant combiner la PL avec le contenu Le contenu peut maintenant être distribué !! App PL group@example.com read, print expire après 30 jours RMS Client RMS Client PL group@example.com read, print expire après 30 jours OS CLC SPC RAC © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

App RMS Client OS Publication 17/3/26 15時56分 Publication Le contenu peut maintenant être distribué !! Le document est distribué aux destinataires comme n’importe quel document Imaginons que la machine du destinataire soit déjà initialisée Le destinataire a besoin d’une licence pour accéder au document App RMS Client PL group@example.com read, print expires 30 days OS CLC SPC RAC CLC SPC RAC © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

App App RMS Client RMS Client OS 17/3/26 15時56分 Acquisition de licence Le destinataire ouvre le document dans une application compatible RMS L’application invoque la couche client RMS pour obtenir une licence d’utilisation PL RAC group@example.com expires 30 days read, print group@example.com expires 30 days read, print Le client RMS envoie la PL et la RAC au serveur RMS Le serveur valide la RAC et la PL Les données de la PL sont déchiffrées App App RMS Client RMS Client PL group@example.com read, print expires 30 days OS CLC SPC RAC © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

App RMS Client OS Acquisition de licence 17/3/26 15時56分 Acquisition de licence Les données de la PL sont déchiffrées group@example.com read, print expire après 30 jours user@example.com read, print expire après 30 jours Si le contenu a été publié pour un groupe, le serveur vérifie l’appartenance au groupe dans l’AD UL RAC user@example.com expires 30 days read, print group@example.com expires 30 days read, print Si l’identité dans le RAC correspond à la PL, le serveur commence a construire une « Using License » (UL) Les droits sont écrits dans l’UL App RMS Client PL group@example.com read, print expires 30 days OS CLC SPC RAC © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

App RMS Client OS Acquisition de licence 17/3/26 15時56分 Acquisition de licence Les droits sont écrits dans l’UL La clé de chiffrement du contenu est chiffrée par la RAC UL user@example.com expires 30 days read, print RAC Puis ajoutée à l’UL L’UL est signée par le serveur L’UL est retournée au client App RMS Client PL group@example.com read, print expires 30 days OS CLC SPC RAC © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

App RMS Client OS Acquisition de licence 17/3/26 15時56分 Acquisition de licence Les droits sont écrits dans l’UL La clé de chiffrement du contenu est chiffrée par le RAC Puis ajoutée à l’UL L’UL est signée par le serveur L’UL est retournée au client Le destinataire peut maintenant consommer le contenu !! App RMS Client UL user@example.com expires 30 days read, print PL group@example.com read, print expires 30 days OS CLC SPC RAC © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

App RMS Client OS App RMS Client OS 17/3/26 15時56分 Accès au contenu SPC RAC UL user@example.com read, print expire après 30 jours App RMS Client OS App RMS Client UL user@example.com expires 30 days read, print PL group@example.com read, print expires 30 days OS SPC RAC CLC © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

App App RMS Client RMS Client OS 17/3/26 15時56分 Accès au contenu L’application invoque la couche client RMS Client pour déchiffrer le contenu Le client RMS utilise le certificat du « Security Processor » pour déchiffrer la clé privée du RAC La clé privée du RAC déchiffre la clé de chiffrement du contenu SPC RAC UL App App RMS Client RMS Client user@example.com read, print expire après 30 jours OS © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

App RMS Client RMS Client OS 17/3/26 15時56分 Accès au contenu La clé privée du RAC déchiffre la clé de chiffrement du contenu Le client RMS déchiffre le contenu L’application affiche le contenu et applique les restrictions associée au document App SPC RAC UL RMS Client RMS Client user@example.com read, print expire après 30 jours OS © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Extension du problème posé La protection de l’information est importante pour les communications internes La protection de l’information est critique pour les communications externes

Soit le scénario type de collaboration externe A. Datum a déployé une infrastructure RMS pour protéger ses propriétés intellectuelles en interne Contoso est un fournisseur d’A. Datum Dans le cadre de la collaboration avec Contoso, A. Datum souhaite protéger avec RMS le contenu partagé avec les collaborateurs Contoso Bibliothèques de documents SharePoint, sites Intranet, etc.

Options pour la collaboration externe Comment je m’identifie (et j’identifie/authentifie un collaborateur Contoso) ? Etablir une relation de confiance RMS Créer des comptes séparé dans l’AD interne Collaboration externe Déployer un AD distinct en Extranet Utiliser Microsoft Passport/Windows Live ID

Relation de confiance RMS RMS supporte les scénarios B2B au travers des relations de confiance RMS Deux types de relation de confiance peuvent être établies Use Trust Le server RMS A. Datum voit les RACs utilisateurs émise par le serveur RMS Contoso comme valide Importation de la clé publique Contoso (SLC) Publish Trust Le server RMS A. Datum peut accorder des ULs pour du contenu protégé par le serveur RMS Contoso Importation de la clé privée Contoso Les relations de confiance RMS supposent une infrastructure de part et d’autre (A. Datum et Contoso) Les collaborateurs A. Datum peuvent protéger du contenu et en conférer des permissions d’usage aux collaborateurs Contoso Les relations de confiance RMS sont établies hors ligne SLC et clé privée (dans Publish Trust) échangés OOB ©Microsoft Confidential 2005. All rights reserved.

Relation de confiance RMS « Use Trust » 2. Le SLC est transmis OOB à l’administrateur de l’entreprise partenaire 3. Le SLC est importé dans le serveur RMS pour établir le Use Trust A. Datum Corporation Relation de confiance Contoso, Inc. 1. Le SLC est exporté depuis le serveur RMS Serveur de licences RMS Serveur de certification RMS 9. L’UL est retournée au client 8. Le serveur RMS valide le RAC et traite la requête UL 7. La requête UL est envoyée avec le RAC 4. L’utilisateur protège un contenu avec le CLC émis par le serveur RMS 6. Le destinataire obtient un RAC du serveur RMS 5. Le contenu est transmis à l’utilisateur de l’entreprise partenaire RMS

Challenges pour la collaboration externe Contoso ne dispose pas forcément d’une infrastructure RMS A.Datum ne souhaite pas obligatoirement créer et gérer des comptes pour la collaboration avec Contoso A.Datum ne souhaite pas vraiment reposer sur Windows Live ID

Solution – Active Directory Federation Services Etablir un cadre de confiance une fois entre A.Datum et Contoso Le réutiliser pour de multiples applications Accès aux bibliothèques SharePoint, sites Intranet, etc. d’A.Datum Les utilisateurs de Contoso peuvent consommer un contenu A. Datum protégé par RMS Les utilisateurs de Contoso peuvent produire un contenu protégé par RMS pour A. Datum Les comptes utilisateur de Contoso sont directement gérés par Contoso Aucun impact en terme de gestion du cycle de vie de l’identité

Active Directory Federation Services Fournir des mécanismes d’authentification et d’autorisation distribués Permettre aux clients, partenaires, fournisseurs, collaborateurs un accès sécurisé et contrôlé aux applications web situées hors de leur forêt Active Directory Projeter l’identité utilisateur sur la base d’une première ouverture de session Etendre le périmètre d’utilisation d’Active Directory Connecter les « îles » ( à travers les frontières des plateformes, organisationnelles ou de sécurité) Permettre la mise en place de solutions de Web SSO ainsi qu’une gestion simplifiée des identités

Active Directory Federation Services (ADFS) 3/26/2017 3:56 PM Active Directory Federation Services (ADFS) Dans Windows Server 2003 (R2) Federation Service (FS) Service de jetons de sécurité Active Directory ou Active Directory Application Mode (AD/AM) comme référentiel d’identité Authentification des utilisateurs Gestion des attributs utilisés pour fournir l’information d’identité Gestion des politiques de confiance de fédération Federation Service Proxy (FS-P) Proxy client pour les demandes de jetons Web Server SSO Agent (Agent SSO) Agent d’authentification S’assure de l’authentification utilisateur Constitue le contexte utilisateur d’autorisation © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Collaboration externe via ADFS « Projection » des identités Active Directory dans d’autres royaumes de sécurité Relation de confiance A. Datum Corporation Contoso, Inc. FS-R FS-A Espace de noms privé A. Datum Corp. Espace de noms privé Contoso, Inc. Émission de jetons de sécurité Gestion de la confiance – Clés la sécurité – Jetons/Claims nécessaires la confidentialité -- Jetons/Claims autorisés l’audit -- Identités , autorités

Collaboration externe via ADFS Relation de confiance A. Datum Corporation Contoso, Inc. 7. Le client est redirigé vers le serveur RMS 5. Le client est redirigé vers FS-A pour authentification 8. L’agent WebSSO ADFS intercepte la requête, vérifie l’authentification et transmet la requête au server RMS 6. Le client est redirigé vers FS-R pour authentification FS-R FS-A 3. L’agent WebSSO ADFS intercepte la requête 9. Le serveur RMS retourne le RAC au client 4. Le client est redirigé vers FS-R 2. Le serveur RMS est contacté pour obtenir un RAC Serveur RMS 1. Un contenu protégé par RMS est transmis à un utilisateur de l’entreprise partenaire RMS SPC RAC CLC SPC RAC CLC

Collaboration externe via ADFS Contoso Client RMS Contoso FS-A A.Datum Serveur RMS A.Datum FS-R Demande de certification au serveur RMS A.Datum GET https://rms.adatum.com/_wmcs HTTP/1.1 HTTP/1.1 302 Found Location: https://fs-r.adatum.com/adfs/ls?wa=wsignin1.0&wreply=https://rms.adatum.com/_wmcs&wct=2007-02-03T19:06:21Z Redirection vers le FS-R A.Datum GET https://fs-r.adatum.com/adfs/ls?wa=wsignin1.0&wreply=https://rms.adatum.com/_wmcs&wct=2007-02-03T19:06:21Z HTTP/1.1 Découverte du domaine d’origne du client HTTP/1.1 200 OK . . . <html xmlns="https://www.w3.org/1999/xhtml"> <head> <title>Working...</title> </head> <body> <form method="post" action="https://rms.adatum.com/_wmcs"> <p> <input type="hidden" name="wa" value="wsignin1.0" /> <input type="hidden" name="wresult" value="<RequestSecurityTokenResponse>...</RequestSecurityTokenResponse>" /> <button type="submit">POST</button> <!-- included for requestors that do not support javascript --> </p> </form> <script type="text/javascript"> setTimeout('document.forms[0].submit()', 0); </script> </body> </html> HTTP/1.1 302 Found Location: https://fs-a.contoso.com/adfs/ls?wa=wsignin1.0&wreply=https://fs-r.adatum.com/adfs/ls&wctx= https://rms.adatum.com/_wmcs&wct=2007-02-03T19:06:22Z&wtrealm=adatum.com Redirection vers le FS-A Contoso HTTP/1.1 200 OK . . . <html xmlns="https://www.w3.org/1999/xhtml"> <head> <title>Working...</title> </head> <body> <form method="post" action="https://fs-r.adatum.com/adfs/ls"> <input type="hidden" name="wa" value="wsignin1.0" /> <input type="hidden" name="wctx" value="https://rms.adatum.com/_wmcs" /> <input type="hidden" name="wresult" value="<RequestSecurityTokenResponse>...</RequestSecurityTokenResponse>" /> <button type="submit">POST</button> <!-- included for requestors that do not support javascript --> </form> <script type="text/javascript"> setTimeout('document.forms[0].submit()', 0); </script> </body> </html> GET https://fs-a.contoso.com/adfs/ls?wa=wsignin1.0&wreply=https://fs-r.adatum.com/adfs/ls&wctx= https://rms.adatum.com/_wmcs&wct=2007-02-03T19:06:22Z&wtrealm=adatum.com HTTP/1.1 Identification/Authentification Redirection vers le FS-R A.Datum avec un jeton d’authentification A.Datum POST https://fs-r.adatum.com/adfs/ls HTTP/1.1 …. . . wa=wsignin1.0 wctx=https://rms.adatum.com/_wmcs wresult=<RequestSecurityTokenResponse>...</RequestSecurityTokenResponse> Redirection vers le serveur RMS avec un jeton d’autorisation Contoso POST https://rms.adatum.com/_wmcs HTTP/1.1 ... wa=wsignin1.0 wresult=<RequestSecurityTokenResponse>...</RequestSecurityTokenResponse> Certification du client

Collaboration externe avec ADFS 3/26/2017 3:56 PM Collaboration externe avec ADFS © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Ce qui a changé Modifications au niveau du client RMS Le client RMS suit les redirections ADFS Le client fournit l’information du domaine d’origine au serveur de fédération dans la query string Nouveau type d’identification au-delà de Windows et de Passport/Windows Live ID Modification au niveau du serveur RMS Application « Claims-aware » Nouvelles vroots Certification externe, Licensing externe

Ce qui est nécessaire Côté A.Datum - Ressources Côté Contoso - Comptes Une infrastructure RMS opérationnelles avec toutes ses dépendances Un serveur de fédération ADFS Windows Server 2003 R2 ou Windows Server “Longhorn” SSL activé sur les nouvelles vroots RMS et sur le serveur de fédération Côté Contoso - Comptes SSL activé sur le serveur de fédération Clé de registre Home Realm Discovery sur les machines client

Pour aller plus loin Gestion de l'identité dans Windows Server 2003 R2 http://www.microsoft.com/france/windows/windowsserver2003/R2/identite.mspx Introduction à ADFS http://www.microsoft.com/france/windows/windowsserver2003/webcasts/intro_adfs.mspx ADFS Pas à Pas http://www.microsoft.com/downloads/details.aspx?familyid=062F7382-A82F-4428-9BBD-A103B9F27654&displaylang=fr

3/26/2017 3:56 PM Questions ? © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

La référence technique pour les IT Pros : La référence technique technet.microsoft.com 3/26/2017 3:56 PM La référence technique pour les développeurs : msdn.microsoft.com Abonnement TechNet Plus : Versions d’éval + 2 incidents support Visual Studio 2005 + Abonnement MSDN Premium S’informer - Un portail d’informations, des événements, une newsletter bimensuelle personnalisée Se former - Des webcasts, des articles techniques, des téléchargements, des forums pour échanger avec vos pairs Bénéficier de services - Des cursus de formations et de certifications, des offres de support technique © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Votre potentiel, notre passion TM 3/26/2017 3:56 PM Votre potentiel, notre passion TM © 2007 Microsoft France © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.