La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

Active Directory Federation Services 2.0 Evoluzione del Single-Sign-On e Federation Mario Fontana Senior Software Architect - Security Developer & Platform.

Presentazioni simili


Presentazione sul tema: "Active Directory Federation Services 2.0 Evoluzione del Single-Sign-On e Federation Mario Fontana Senior Software Architect - Security Developer & Platform."— Transcript della presentazione:

1 Active Directory Federation Services 2.0 Evoluzione del Single-Sign-On e Federation Mario Fontana Senior Software Architect - Security Developer & Platform Group - Microsoft International Association of Software Architects IASA Chapter Italy : Founder & CEO

2 Agenda Il Problema dellautenticazione nelle architetture Il modello di sicurezza Claims-Based ADFS 2.0 Overview Un esempio completo con Sharepoint, Office e ADFS Interoperabilità

3 Il problema dellautenticazione Ogni applicazione deve gestire due funzioni: Autenticare lutente Ottenere informazioni sullutente per le funzioni di autorizzazione e customizzazione della UX Esistono molte tecnologie differenti : Name/password, X.509, Kerberos, SAML, LDAP, … Le applicazioni oggi si fanno carico di tutti gli aspetti di autenticazione Se lesercizio vuole cambiare policy di autenticazione è necessario mettere mano alle singole applicazioni. Soluzione : claims-based Security/Identity Una architettura che ci permetta di nascondere alle applicazioni tutti I dettagli dellautenticazione degli utenti Uso di protocolli standard non legati alle infrastrutture sistemistiche Invio di informazioni sullutente alle applicazioni in relazione alle attività che sta esenguedo. Cambiamento delle tecniche di autenticazione dopo il deployment senza modifiche al codice.

4 IDP - Identity Provider Applicazione/ Servizio Client IDP (Identity Provider) 1) Ottiene il token Token 2) Invia il token Token STS

5 Cosa intendiamo per Digital Identity Identità Informazioni Tokens (Security Tokens) Claims Claim 1 Claim 2 Claim … Claim n TokenEsempio di claim nome Gruppo Ruolo Queste informazioni vengono usate dalle applicazioni per: Autorizzazione. Personalizzazione.

6 Claims Un claim è una asserzione (es. nome,key, group, privilege, capability,....) rilasciata da unentità per unaltra entità. Claims sono un sovra insieme dei Ruoli. Claims possono essere molto flessibili Il nome del soggetto è Mario Fontana Lindirizzo del soggetto è Il soggetto è nel ruolo di Manager Il soggetto appartiene al dipartimento di Ingegneria Il soggetto ha il permesso di accedere allapplicazione X Il soggetto può usare la risorsa Y fino alle 5pm di Giovedì

7 Claims-Based Identity trust Autenticazione (RST) Ritorna un Token (RSTR) Invio del token allapplicazione Recupero claims, Trasformazione per lapplicazione Identity Provider Relaying party (RP)

8 ADFS 2.0 WIFWIF AppApp trust Relying Party Client Active Directory Federation Services 2.0 Active Directory SQLAttributeStoreSQLAttributeStore

9 Protocolli Per trasportare i Security Token esistono 2 classi di specifiche standard di riferimento WS-* WS-Security, WS-Trust, WS-Federation (WSFED) Sviluppata originariamente da : BEA Systems, BMC Software, CA, Inc., IBM, Layer 7 Technologies, Microsoft, Novell, Ping Identity, e VeriSign. Standard OASIS SAML 2.0 Protocol Convergenza tra SAML 1.1 Protocol, Liberty ID-FF1.2 e Shibboleth Standard OASIS

10 La famiglia «Geneva» Active Directory Federation Services (ADFS) 2.0 Evoluzione di ADFS presente in Windows Server 2003 R2 e successivi. Cardspace 2.0 Windows Identity Foundation (WIF) Queste 3 tecnologie erano conosciute con il code-name Geneva

11 ADFS 2.0 Security Token Service per AD Identity & Federation Provider Federation Trust Manager Automatizza il trust management via metadata Basato su standard WS-* e SAML 2.0 Protocol Token SAML 1.1 e Token SAML 2.0 Provider per Information Cards Per CardSpace e altri Identity Selectors

12 ADFS 2.0 Architecture ADFS 2.0 Trust and Policy Management Services Trust and Policy Management Services WMI Provider Configuration WMI Provider Configuration Information Card Issuance Service Information Card Issuance Service Protocol Hosting * (WS- *, SAML 2.0) Protocol Hosting * (WS- *, SAML 2.0) Token/Claim Issuance Engine AD DS/AD LDS User Attribute Store AD DS/AD LDS User Attribute Store SQL Policy and configuration Store SQL Policy and configuration Store Identity Store Interface Policy Store Interface

13 SharePoint 2007 – Identity Flow Authentication methods SharePoint Web Application Windows integrated Membership & Role Providers Web SSO Access control Roles protected Anonymous access Windows Identity SharePoint Service Applications Content Database Trusted sub-systems Client Claims protected ADFS 2.0 Auth App logic Windows Identity Services Application Framework WindowsWindows ASP.Net (FBA) Claims Based Identity SAML Web SSO WIF

14 Scenario Contoso.com Sharepoint contososrv02 Configurare SP per accettare tokens da ADFS Configurare ADFS per rilasciare tokens a SP Dare accessi alle applicazioni SP basandosi sui Claims Domain Controller ADFS 2.0 Contososrv01 https://sts1.contoso.com

15 Cosa è la Federazione? Un insieme di domini cha stabiliscono da un punto di vista organizzativo un livello di Trust. Utenti di un dominio possono accedere a risorse (es: applicazioni) in altri domini senza duplicare gli account tra i sistemi! I sistemi federati possono utilizzare tecnologie diverse allinterno della propria realtà MA possono interoperare a livello cross-domain tramite protocolli standard!

16 Scenario Federato trust Relying Party Client Active Directory Federation Services 2.0 ADFS/ altro… Azienda 1/ Dipartimento 1 Azienda 2/ Dipartimento 2 trust

17 Scenario 17 Contoso.comFabrikam.com Sharepoint contososrv02 Client fabrikamclt01 Stabilire la federazione: accettare tokens da fabrikam Stabilire la federazione: rilasciare tokens per contoso Experience!! Domain Controller ADFS 2.0 Contososrv01 https://sts1.contoso.com Domain Controller ADFS 2.0 fabrikamsrv01 https://sts2.fabrikam.com

18 Interoperabilità Sun OpenSSO Novell Access Manager CA SiteMinder e CA Federation Manager Shibboleth 2.0 ICAR

19 Approfondimenti Sito Ufficiale Microsoft per lIdentity Management Geneva Server in due parole ADFS 2.0 (Beta 2) e Sharepoint 2007 Microsoft e il protocollo SAML 2.0 Tematiche di Interoperabilità: Gruppo di discussione IASA:IASA _ug_hm _ug_hm Whitepapers di interoperabilità: interoperabilit-con-novell-access-manager-e-sun-opensso-enterprise.aspx interoperabilit-con-novell-access-manager-e-sun-opensso-enterprise.aspx DBEB5A4792BF/CA-ADFS%20Interop.pdf DBEB5A4792BF/CA-ADFS%20Interop.pdf

20 © 2008 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.


Scaricare ppt "Active Directory Federation Services 2.0 Evoluzione del Single-Sign-On e Federation Mario Fontana Senior Software Architect - Security Developer & Platform."

Presentazioni simili


Annunci Google