Active Directory Federation Services

Slides:



Advertisements
Presentazioni simili
3/25/2017 3:51 AM TechNet Security Workshop per la PMI Come rendere sicura l'infrastruttura IT di una Piccola e Media Impresa Marco Agnoli Responsabile.
Advertisements

Introduzione a Windows Communication Foundation
Gli ipertesti del World Wide Web Funzionamento e tecniche di realizzazione a cura di Loris Tissìno (
EGEE-II INFSO-RI Enabling Grids for E-sciencE EGEE and gLite are registered trademarks Sicurezza in EGEE Vincenzo Ciaschini Roma.
Windows Server 2003 Active Directory Diagnostica, Troubleshooting e Ripristino PierGiorgio Malusardi IT Pro – Evangelist Microsoft.
Servizi integrati e completi per la piccola impresa Andrea Candian.
Certification Authority
ISA Server 2004 Enterprise Edition Preview. ISA Server 2004.
ISA Server 2004 Configurazione di Accessi via VPN
ASP .NET & Web Service: Introduzione
Giorgio Quaranta ISV Account Manager
Visual Studio Tools For Office 2005 Fabio Santini. NET Senior Developer Evangelist Microsoft Italy.
Windows Server 2003 SP1 Security Configuration Wizard PierGiorgio Malusardi IT Pro Evangelist Microsoft.
Introduzione ad Active Directory
Liberiamo(ci) (dal)le applicazioni con Softgrid
Microsoft Visual Basic MVP
Consumare Web Service Andrea Saltarello
Certification Authority
Fatti e misfatti dei protocolli di autenticazione LM, NTLM e Kerberos
Configuring Network Access
Sharepoint Gabriele Castellani
SSL/TLS.
| | Microsoft Certificate Lifecycle Manager.
Branch office update – SP2. Agenda Messa in esercizio degli uffici remoti Compressione HTTP Differentiated Services Cache di BITS.
Executive Webcast Aumentare l'efficienza dell'IT per supportare il Business Aziendale: quando Windows NT non basta più Marco DAngelo Product Technology.
Passare a Windows Server 2003 Milano – Marcello Caenazzo IT Manager Sud Europa.
Il nuovo Microsoft ISA Server 2006
Laurea Magistrale in Informatica Reti 2 (2007/08)
Web Services.
Sicurezza e Policy in Active Directory
Organizzazione di una rete Windows 2003
Sicurezza e Policy in Active Directory. Sommario Amministrazione della sicurezza in una rete Windows 2003 Amministrazione della sicurezza in una rete.
Active Directory.
SEVER RAS.
Integrazione di una piattaforma IPTV in un’architettura SOA
1 Novità sul protocollo TLS. Seminario di : Calabrese Luca - estensione per il Wireless. - IC.
Test sul Cisco VPN Concentrator
Un servizio di autenticazione per sistemi di rete aperti
La sicurezza può essere fornita in ciascuno degli strati: applicazione, trasporto, rete. Quando la sicurezza è fornita per uno specifico protocollo dello.
Novità nelle tecnologie per il Web
Ottobre 2006 – Pag. 1
Guida IIS 6 A cura di Nicola Del Re.
Roberto DAngelo Business Productivity Technology Specialist Office System come Smart Client.
1 Modello di utilizzo n° 1 Login al sistema. 2 Accedere al sistema con autenticazione debole: PASSWORD ? PASSWORD scaduta ? La password è adeguata alle.
Network Access Protection (NAP): la soluzione di policy enforcement in Windows Server 2008 R2 PierGiorgio Malusardi IT Pro Evangelist Microsoft Italia.
Fabrizio Grossi Verifica delle attività. L'operato degli amministratori di sistema deve essere oggetto, con cadenza almeno annuale, di un'attività
Server Web in una rete Windows Sommario Meccanismi di accesso remoto Meccanismi di accesso remoto Introduzione ai Server Web Introduzione ai Server.
Gestione delle Identità Digitali: dall’Enterprise User Administration alla Federated Identity Catania, 22 Settembre 2006.
Un problema importante
Microsoft Office System Introduzione a XML in Office 2003.
DFS e soluzioni per le sedi remote
Configurazione di una rete Windows
Windows Server 2003 Integrazione di DNS in Strutture Esistenti PierGiorgio Malusardi – Microsoft.
Analisi e sperimentazione di una Certification Authority
Exchange 2003 ed i “Mobile Worker”. Agenda Esigenze dei Mobile Worker Strumenti Soluzioni “legacy” Accesso ad Exchange 2003 Architetture/implementazioni.
INFN-AAI SAML 2.0 Dael Maselli Tutorial INFN-AAI Plus Dicembre 2010.
ASP.NET – Autenticazione e Sicurezza basata sui ruoli
Certificati e VPN.
Dario Orselli Centro di Ateneo per le Biblioteche Università di Messina Seminario Pescara, Sala convegni CARIPE, 22 – 23 magio 2007 Autenticazione federata:
Extension pack per IIS7 Piergiorgio Malusardi IT Pro Evangelist
Servizi Internet Claudia Raibulet
Overview. Agenda Scenari principali Gestione delle sedi remote Identità e gestione degli accessi Gestione efficiente degli storage Piattaforma applicativa.
Active Directory. Cos’è Active Directory (AD)  Un “directory service”  Un contenitore di oggetti  Un insieme di servizi di accesso  Un “namespace”
“Virtual Organisation” in un contesto di Federazioni di Identità Workshop congiunto INFN CCR - GARR 2012 Napoli, Istituto.
OpenAM & OpenIG 30 settembre 2015.
Gruppi di lavoro Dreams Single Sign On, LDAP Stefano Zanmarchi, CCA.
La gestione della rete e dei server. Lista delle attività  Organizzare la rete  Configurare i servizi di base  Creare gli utenti e i gruppi  Condividere.
INFN-AAI Autenticazione e Autorizzazione Dael Maselli Tutorial INFN-AAI Plus Marzo 2012.
Framework di sicurezza della piattaforma OCP (Identity & Access Management) Smart Cities and Communities and Social Innovation Bando MIUR D.D. 391/Ric.
Windows Admin Center La rivoluzione della gestione di Windows Server
Transcript della presentazione:

Active Directory Federation Services

Agenda Estendere l’accesso alle organizzazioni Visione Problemi ADFS WS-* Eredità delle specifiche Interoperabilità multi-vendor Active Directory Federation Services Architettura e Componenti Gestione degli accessi con i claim Requirement Configurazione Demo

Estendere l’accesso Visione Log on unico, accesso sicuro a tutto Due filosofie di base complementari: Basarsi su identità e servizi nel modo più ampio possibile Estendere agli “irraggiungibili” attraverso soluzioni di integrazione come MIIS

Identità e gestione degli accessi Active Directory Federation Service Exchange Active Directory Web APPS Logon a Windows File Share Autenticazione flessibile Kerberos X509 v3/Smartcard/PKI VPN/802.1x/RADIUS LDAP Passport/Digest/Basic (Web) SSPI/SPNEGO Windows Integrated Applications Single Sign-on verso: File/Print server Windows Applicazioni Microsoft 390/AS400 (Host Integration Server) ERP (BizTalk®, SharePoint® ESSO) Applicazioni di terze parti Applicazioni web via IIS Unix/J2EE (Services for Unix, Vintela/Centrify)

Identità e gestione degli accessi Le sfide Fornitori e le loro applicazioni Clienti Partner e le loro applicazioni Dipendenti Applicazioni Piattaforma Dipendenti remoti e virtuali

Soluzione: Federazione delle identità e gestione degli accessi Richieste Tecnologie basate su standard Identificazione e autorizzazione distribuita Attraverso i confini: sicurezza, dipartimentali, delle organizzazioni, di piattaforma Visione di ADFS Log on unico, accesso sicuro a tutto Basarsi su identità e servizi più estesamente possibile

WS-Federation Cross-organisation, interoperabilità multi-vendor Web Services Federation Language Definisce messaggi per consentire a realm di sicurezza di federarsi e scambiarsi token di sicurezza Costruito su WS-Security e WS-Trust Ampio supporto Autori: BEA, IBM, Microsoft, RSA, VeriSign Interoperabilità: IBM, OpenNetwork, Oblix, Netegrity, RSA, PingID Il modello definisce due profili Passive (Web browser) client – HTTP/S Active (smart/rich) client – SOAP ADFS v1 ADFS v2 messaggi HTTP Ricevente HTTP Security Token Service Ricevente SOAP messaggi SOAP

Passive Requestor Profile Supportato da ADFSv1 in Windows Server 2003 R2 Unione di WS-Federation e WS-Trust per client browser (passive) Adesione implicita alle politiche seguendo le redirezioni Acquisizione implicita dei token attraverso messaggi HTTP Autenticazione richiede trasporto sicuro (HTTPS) Non può fornire “prova di possesso” dei token Cache dei token limitata (in base al tempo) Token riutilizzabili

Active Requestor Profile Versioni future di ADFS Unione di WS-Federation e WS-Trust per client compatibili SOAP/XML (active) Determinazione esplicita, dalle policy, della necessità di token Richiesta esplicita di token con messaggi SOAP Strong authentication per tutte le richieste Può fornire “proof of possession” per i token Supporta la delega Client possono fornire token ai web service per uso in propria vece Consente cache “ricca” dei token lato client Migliora le performance

ADFS Identity Federation Proietta le identità AD in altri Realm Organizzazione A Spazio nomi privato Organizzazione B Spazio nomi privato Federation Servers Federation Server Gestisce: Trust – chiavi Securezza – Claim necessari Privacy – Claims consentiti Audit – Identità, autorità Federation Server

Windows Authentication/LDAP Architettura ADFS Active Directory Autentica gli utenti Gestisce gli attributi usati per popolare i claim Federation Service (FS) STS rilascia i token di sicurezza Gestisce le politiche di fiducia della federazione FS Proxy (FS-P) Proxy per le richieste di token dei client Fornisce UI per i client browser Web Server SSO Agent Forza l’autenticazione degli utenti Crea il contesto di autorizzazione degli utenti Windows Authentication/LDAP LPC/Web Methods HTTPS Nota: ADFS supporta foreste W2K e W2K3 FS & FS-P sono co-locati per default, possono essere separati FS, FS-P e SSO agent richiedono IISv6 W2K3 R2 In ADFSv1 (W2K03 R2) solo client browser

Federation Service Servizio ospitato da ASP.NET su IISv6 – Windows Server 2003 R2 Gestione delle Federation Policy Stabilisce l’affidabilità di token di sicurezza firmati attraverso la distribuzione di chiavi basate su certificati Definisce i tipi di token/claim e spazi dei nomi condivisi per i Realm federati Generazione dei token di sicurezza Recupera gli attributi per la generazione dei claim da AD (o ADAM) via LDAP Se necessario trasforma i claim tra spazio dei nomi interno e federato Costruisce token di sicurezza firmati e li spedisce al FS-P Costruisce cookie “User SSO” e li spedisce al FS-P Autenticazione utente Valida ID/Password via bind LDAP per Forms-based authentication

Federation Service Proxy Servizio ospitato da ASP.NET su IISv6 – Windows Server 2003 R2 Autenticazione utenti Fornisce la UI per la Home Realm Discovery e Forms-based Logon Autentica gli utenti per autenticazioni Windows Integrated e client SSL Scrive i cookie “User SSO” sul browser (simile al Kerberos TGT) Processamento dei token di sicurezza Richiede i token di sicurezza per i client dal FS Gire i token al web server via “POST redirect” attraverso il browser

Web Server SSO Agent ISAPI extension per IISv6 – Windows Server 2003 R2 Autenticazione utente Intercetta le richieste URL GET ridirige gli utenti non autenticati a FS Scrive cookie “Web Server SSO” sul browser (simile a Kerberos Service Ticket) Autorizzazione utente (App non claim-aware) Crea token NT per l’impersonizzazione (solo utenti AD) Autorizzazione utente (App claim-aware) Popola il contesto ASP.NET GenericPrincipal con il contenuto del claim per supportare IsInRole() Fornisce claim “crudi” alle applicazioni Elaborazione dei token Valida i token degli utenti ed esegue il parsing dei claim nei token

ADFS Trust e flusso dei messaggi STS: Configurazione di claims e politiche di trust (out of band) Browser: Richiesta di applicazioni e token di sicurezza (HTTPS)

ADFS: Token di sicurezza supportati Rilasciati solo token SAML (Security Assertion Markup Language) Token non criptati Tutti i messaggi sono su HTTPS Token sono firmati (default) Firmati con chiave RSA privata e firma verificata con chiave pubblica ricavata da un certificato X.509 (opzionale) Possono essere firmati con chiavi di sessione Kerberos

ADFS: Token di sicurezza supportati Claim sono asserzioni fatte riguardo all’utente Capiti da entrambi i partner della federazione ADFS Usati per autorizzazione nelle applicazioni. Tipi di claim interoperabili di WS-Federation Identità User Principal Name (UPN) Indirizzo e-mail Common Name (ogni stringa) Gruppi Personalizzato Solo dati di autorizzazione in ADFS-to-ADFS

Esempio di Claim Set Identity GaryW@org.com Custom Group Doctor Administrator Purchaser Custom Office Location: Manchester Reports to: Senior Officer

La potenza dei claim I claim possono essere… Usati per fornire informazioni arbitrarie sull’utente Modificati in punti diversi via via che vengono passati Popolati da AD e ADAM Controlati in uno store centralizzato Costruiti a partire da varie sorgenti usando il custom claim transformation module Spediti da un partner compatibile con il profilo WS-Federation Passive Requestor

Mappatura dei claim ADFS Claim organisational Sito delle risorse e sito degli account Insieme globale di claim condiviso da tutte le applicazioni del sito delle risorse Mappatura dei claim lato sito degli account I claim organisational sono popolati da AD – Gruppi, … I claim organisational sono mappati su claim outgoing Mappatura dei claim lato sito delle risorse Mappatura dei claim incoming Mappa i claim incoming su claim organisational Mappatura dei client applicativi I claim organisational sono abilitati/disabilitati applicazione per applicazione

Mappatura dei claim ADFS Raccomandazioni Necessario decidere una convenzione dei nomi per i claim nelle fasi iniziali del progetto I claim organisational sono globali e condivisi da tutte le applicazioni Si devono usare nomi diversi per i claim Incoming/Outgoing rispetto a quelli Organisational? Federazione interna – nomi uguali ovunque Federazione esterna – nomi differenti

Flusso dei claim in federazioni ADFS

Prerequisiti di ADFS Certificati per la firma digitale I certificati per i Web server sono OK Piattaforma di sviluppo .NET 2.0 ASP.NET V2 .NET Framework v2.0 per FS e WSA Windows 2003 Server SP1, R2 DNS AD

Certificati SSL Certificato per Server Authentication Certificato SSL standard per Server Authentication Richiesto per proteggere il canale su cui i token sono trasmessi La gestione è effettuata attraverso IIS Admin Tool Certificato per FSP Client Consente al FS di autenticare le chiamate fatte dal FSP Configurato nella MMC FSP MMC e nella FS MMC

Federation Server Certificati per la firma dei token Salvati in Local Computer My Store Modificati attraverso la MMC di ADFS Usati per firmare i certificati generati dal Federation Server Verifiche FS deve essere in grado di verificare i certificati rilasciati da: se stesso, altri FS nella farm e partner fidati Salvati nelle politiche di trust così da essere condivisi con gli altri FS nella farm La catena dei certificati è inclusa

© 2005 Microsoft Corporation. All rights reserved © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. MICROSOFT MAKES NO WARRANTIES, EXPRESS OR IMPLIED, IN THIS SUMMARY.