La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

| | Active Directory Federation Services.

Presentazioni simili


Presentazione sul tema: "| | Active Directory Federation Services."— Transcript della presentazione:

1 | | Active Directory Federation Services

2 | | Agenda Estendere laccesso alle organizzazioni Visione Problemi ADFS WS-* Eredità delle specifiche Interoperabilità multi-vendor Active Directory Federation Services Architettura e Componenti Gestione degli accessi con i claim Requirement Configurazione Demo

3 | | Estendere laccesso Visione Log on unico, accesso sicuro a tutto Due filosofie di base complementari: Basarsi su identità e servizi nel modo più ampio possibile Estendere agli irraggiungibili attraverso soluzioni di integrazione come MIIS

4 | | Identità e gestione degli accessi Active Directory Federation Service Active Directory Logon a Windows Autenticazione flessibile Kerberos X509 v3/Smartcard/PKI VPN/802.1x/RADIUS LDAP Passport/Digest/Basic (Web) SSPI/SPNEGO Single Sign-on verso: File/Print server Windows Applicazioni Microsoft 390/AS400 (Host Integration Server) ERP (BizTalk ®, SharePoint ® ESSO) Applicazioni di terze parti Applicazioni web via IIS Unix/J2EE (Services for Unix, Vintela/Centrify) Exchange Web APPS File Share Windows Integrated Applications

5 | | Dipendenti Applicazioni Piattaforma Fornitori e le loro applicazioni Partner e le loro applicazioni Dipendenti remoti e virtuali Clienti Identità e gestione degli accessi Le sfide

6 | | Soluzione: Federazione delle identità e gestione degli accessi Richieste Tecnologie basate su standard Identificazione e autorizzazione distribuita Attraverso i confini: sicurezza, dipartimentali, delle organizzazioni, di piattaforma Visione di ADFS Log on unico, accesso sicuro a tutto Basarsi su identità e servizi più estesamente possibile

7 | | SecurityTokenServiceRiceventeHTTP messaggi HTTP WS-Federation Cross-organisation, interoperabilità multi-vendor Web Services Federation Language Definisce messaggi per consentire a realm di sicurezza di federarsi e scambiarsi token di sicurezza Costruito su WS-Security e WS-Trust Ampio supporto Autori: BEA, IBM, Microsoft, RSA, VeriSign Interoperabilità: IBM, OpenNetwork, Oblix, Netegrity, RSA, PingID Il modello definisce due profili Passive (Web browser) client – HTTP/S Active (smart/rich) client – SOAP messaggi SOAP RiceventeSOAP ADFS v2 ADFS v1

8 | | Passive Requestor Profile Supportato da ADFSv1 in Windows Server 2003 R2 Unione di WS-Federation e WS-Trust per client browser (passive) Adesione implicita alle politiche seguendo le redirezioni Acquisizione implicita dei token attraverso messaggi HTTP Autenticazione richiede trasporto sicuro (HTTPS) Non può fornire prova di possesso dei token Cache dei token limitata (in base al tempo) Token riutilizzabili

9 | | Active Requestor Profile Versioni future di ADFS Unione di WS-Federation e WS-Trust per client compatibili SOAP/XML (active) Determinazione esplicita, dalle policy, della necessità di token Richiesta esplicita di token con messaggi SOAP Strong authentication per tutte le richieste Può fornire proof of possession per i token Supporta la delega Client possono fornire token ai web service per uso in propria vece Consente cache ricca dei token lato client Migliora le performance

10 | | OrganizzazioneB Spazio nomi privato OrganizzazioneA privato ADFS Identity Federation Proietta le identità AD in altri Realm FederationServer Federation Server Server Federation Servers Gestisce: Trust – chiavi Trust – chiavi Securezza – Claim necessari Securezza – Claim necessari Privacy – Claims consentiti Privacy – Claims consentiti Audit – Identità, autorità Audit – Identità, autorità

11 | | Architettura ADFS Active Directory Autentica gli utenti Gestisce gli attributi usati per popolare i claim Federation Service (FS) STS rilascia i token di sicurezza Gestisce le politiche di fiducia della federazione FS Proxy (FS-P) Proxy per le richieste di token dei client Fornisce UI per i client browser Web Server SSO Agent Forza lautenticazione degli utenti Crea il contesto di autorizzazione degli utenti Nota: ADFS supporta foreste W2K e W2K3 FS & FS-P sono co-locati per default, possono essere separati FS, FS-P e SSO agent richiedono IISv6 W2K3 R2 In ADFSv1 (W2K03 R2) solo client browser HTTPS LPC/Web Methods Windows Authentication/L DAP

12 | | Federation Service Servizio ospitato da ASP.NET su IISv6 – Windows Server 2003 R2 Gestione delle Federation Policy Stabilisce laffidabilità di token di sicurezza firmati attraverso la distribuzione di chiavi basate su certificati Definisce i tipi di token/claim e spazi dei nomi condivisi per i Realm federati Generazione dei token di sicurezza Recupera gli attributi per la generazione dei claim da AD (o ADAM) via LDAP Se necessario trasforma i claim tra spazio dei nomi interno e federato Costruisce token di sicurezza firmati e li spedisce al FS-P Costruisce cookie User SSO e li spedisce al FS-P Autenticazione utente Valida ID/Password via bind LDAP per Forms-based authentication

13 | | Federation Service Proxy Servizio ospitato da ASP.NET su IISv6 – Windows Server 2003 R2 Autenticazione utenti Fornisce la UI per la Home Realm Discovery e Forms-based Logon Autentica gli utenti per autenticazioni Windows Integrated e client SSL Scrive i cookie User SSO sul browser (simile al Kerberos TGT) Processamento dei token di sicurezza Richiede i token di sicurezza per i client dal FS Gire i token al web server via POST redirect attraverso il browser

14 | | Web Server SSO Agent ISAPI extension per IISv6 – Windows Server 2003 R2 Autenticazione utente Intercetta le richieste URL GET ridirige gli utenti non autenticati a FS Scrive cookie Web Server SSO sul browser (simile a Kerberos Service Ticket) Autorizzazione utente (App non claim-aware) Crea token NT per limpersonizzazione (solo utenti AD) Autorizzazione utente (App claim-aware) Popola il contesto ASP.NET GenericPrincipal con il contenuto del claim per supportare IsInRole() Fornisce claim crudi alle applicazioni Elaborazione dei token Valida i token degli utenti ed esegue il parsing dei claim nei token

15 | | STS: Configurazione di claims e politiche di trust (out of band) Browser: Richiesta di applicazioni e token di sicurezza (HTTPS) ADFS Trust e flusso dei messaggi

16 | | ADFS: Token di sicurezza supportati Rilasciati solo token SAML (Security Assertion Markup Language) Token non criptati Tutti i messaggi sono su HTTPS Token sono firmati (default) Firmati con chiave RSA privata e firma verificata con chiave pubblica ricavata da un certificato X.509 (opzionale) Possono essere firmati con chiavi di sessione Kerberos

17 | | ADFS: Token di sicurezza supportati Claim sono asserzioni fatte riguardo allutente Capiti da entrambi i partner della federazione ADFS Usati per autorizzazione nelle applicazioni. Tipi di claim interoperabili di WS-Federation Identità User Principal Name (UPN) Indirizzo Common Name (ogni stringa) Gruppi Personalizzato Solo dati di autorizzazione in ADFS-to-ADFS

18 | | Esempio di Claim Set GroupDoctorAdministratorPurchaser Custom Office Location: Manchester Reports to: Senior Officer

19 | | La potenza dei claim I claim possono essere… Usati per fornire informazioni arbitrarie sullutente Modificati in punti diversi via via che vengono passati Popolati da AD e ADAM Controlati in uno store centralizzato Costruiti a partire da varie sorgenti usando il custom claim transformation module Spediti da un partner compatibile con il profilo WS- Federation Passive Requestor

20 | | Mappatura dei claim ADFS Claim organisational Sito delle risorse e sito degli account Insieme globale di claim condiviso da tutte le applicazioni del sito delle risorse Mappatura dei claim lato sito degli account I claim organisational sono popolati da AD – Gruppi, … I claim organisational sono mappati su claim outgoing Mappatura dei claim lato sito delle risorse Mappatura dei claim incoming Mappa i claim incoming su claim organisational Mappatura dei client applicativi I claim organisational sono abilitati/disabilitati applicazione per applicazione

21 | | Mappatura dei claim ADFS Raccomandazioni Necessario decidere una convenzione dei nomi per i claim nelle fasi iniziali del progetto I claim organisational sono globali e condivisi da tutte le applicazioni Si devono usare nomi diversi per i claim Incoming/Outgoing rispetto a quelli Organisational? Federazione interna – nomi uguali ovunque Federazione esterna – nomi differenti

22 | | Flusso dei claim in federazioni ADFS

23 | | Prerequisiti di ADFS Certificati per la firma digitale I certificati per i Web server sono OK Piattaforma di sviluppo.NET 2.0 ASP.NET V2.NET Framework v2.0 per FS e WSA Windows 2003 Server SP1, R2 DNS AD

24 | | Certificati SSL Certificato per Server Authentication Certificato SSL standard per Server Authentication Richiesto per proteggere il canale su cui i token sono trasmessi La gestione è effettuata attraverso IIS Admin Tool Certificato per FSP Client Certificato SSL standard per Server Authentication Consente al FS di autenticare le chiamate fatte dal FSP Configurato nella MMC FSP MMC e nella FS MMC

25 | | Federation Server Certificati per la firma dei token Salvati in Local Computer My Store Modificati attraverso la MMC di ADFS Usati per firmare i certificati generati dal Federation Server Verifiche FS deve essere in grado di verificare i certificati rilasciati da: se stesso, altri FS nella farm e partner fidati Salvati nelle politiche di trust così da essere condivisi con gli altri FS nella farm La catena dei certificati è inclusa

26 © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. MICROSOFT MAKES NO WARRANTIES, EXPRESS OR IMPLIED, IN THIS SUMMARY.


Scaricare ppt "| | Active Directory Federation Services."

Presentazioni simili


Annunci Google