Active Directory Federation Services
Agenda Estendere l’accesso alle organizzazioni Visione Problemi ADFS WS-* Eredità delle specifiche Interoperabilità multi-vendor Active Directory Federation Services Architettura e Componenti Gestione degli accessi con i claim Requirement Configurazione Demo
Estendere l’accesso Visione Log on unico, accesso sicuro a tutto Due filosofie di base complementari: Basarsi su identità e servizi nel modo più ampio possibile Estendere agli “irraggiungibili” attraverso soluzioni di integrazione come MIIS
Identità e gestione degli accessi Active Directory Federation Service Exchange Active Directory Web APPS Logon a Windows File Share Autenticazione flessibile Kerberos X509 v3/Smartcard/PKI VPN/802.1x/RADIUS LDAP Passport/Digest/Basic (Web) SSPI/SPNEGO Windows Integrated Applications Single Sign-on verso: File/Print server Windows Applicazioni Microsoft 390/AS400 (Host Integration Server) ERP (BizTalk®, SharePoint® ESSO) Applicazioni di terze parti Applicazioni web via IIS Unix/J2EE (Services for Unix, Vintela/Centrify)
Identità e gestione degli accessi Le sfide Fornitori e le loro applicazioni Clienti Partner e le loro applicazioni Dipendenti Applicazioni Piattaforma Dipendenti remoti e virtuali
Soluzione: Federazione delle identità e gestione degli accessi Richieste Tecnologie basate su standard Identificazione e autorizzazione distribuita Attraverso i confini: sicurezza, dipartimentali, delle organizzazioni, di piattaforma Visione di ADFS Log on unico, accesso sicuro a tutto Basarsi su identità e servizi più estesamente possibile
WS-Federation Cross-organisation, interoperabilità multi-vendor Web Services Federation Language Definisce messaggi per consentire a realm di sicurezza di federarsi e scambiarsi token di sicurezza Costruito su WS-Security e WS-Trust Ampio supporto Autori: BEA, IBM, Microsoft, RSA, VeriSign Interoperabilità: IBM, OpenNetwork, Oblix, Netegrity, RSA, PingID Il modello definisce due profili Passive (Web browser) client – HTTP/S Active (smart/rich) client – SOAP ADFS v1 ADFS v2 messaggi HTTP Ricevente HTTP Security Token Service Ricevente SOAP messaggi SOAP
Passive Requestor Profile Supportato da ADFSv1 in Windows Server 2003 R2 Unione di WS-Federation e WS-Trust per client browser (passive) Adesione implicita alle politiche seguendo le redirezioni Acquisizione implicita dei token attraverso messaggi HTTP Autenticazione richiede trasporto sicuro (HTTPS) Non può fornire “prova di possesso” dei token Cache dei token limitata (in base al tempo) Token riutilizzabili
Active Requestor Profile Versioni future di ADFS Unione di WS-Federation e WS-Trust per client compatibili SOAP/XML (active) Determinazione esplicita, dalle policy, della necessità di token Richiesta esplicita di token con messaggi SOAP Strong authentication per tutte le richieste Può fornire “proof of possession” per i token Supporta la delega Client possono fornire token ai web service per uso in propria vece Consente cache “ricca” dei token lato client Migliora le performance
ADFS Identity Federation Proietta le identità AD in altri Realm Organizzazione A Spazio nomi privato Organizzazione B Spazio nomi privato Federation Servers Federation Server Gestisce: Trust – chiavi Securezza – Claim necessari Privacy – Claims consentiti Audit – Identità, autorità Federation Server
Windows Authentication/LDAP Architettura ADFS Active Directory Autentica gli utenti Gestisce gli attributi usati per popolare i claim Federation Service (FS) STS rilascia i token di sicurezza Gestisce le politiche di fiducia della federazione FS Proxy (FS-P) Proxy per le richieste di token dei client Fornisce UI per i client browser Web Server SSO Agent Forza l’autenticazione degli utenti Crea il contesto di autorizzazione degli utenti Windows Authentication/LDAP LPC/Web Methods HTTPS Nota: ADFS supporta foreste W2K e W2K3 FS & FS-P sono co-locati per default, possono essere separati FS, FS-P e SSO agent richiedono IISv6 W2K3 R2 In ADFSv1 (W2K03 R2) solo client browser
Federation Service Servizio ospitato da ASP.NET su IISv6 – Windows Server 2003 R2 Gestione delle Federation Policy Stabilisce l’affidabilità di token di sicurezza firmati attraverso la distribuzione di chiavi basate su certificati Definisce i tipi di token/claim e spazi dei nomi condivisi per i Realm federati Generazione dei token di sicurezza Recupera gli attributi per la generazione dei claim da AD (o ADAM) via LDAP Se necessario trasforma i claim tra spazio dei nomi interno e federato Costruisce token di sicurezza firmati e li spedisce al FS-P Costruisce cookie “User SSO” e li spedisce al FS-P Autenticazione utente Valida ID/Password via bind LDAP per Forms-based authentication
Federation Service Proxy Servizio ospitato da ASP.NET su IISv6 – Windows Server 2003 R2 Autenticazione utenti Fornisce la UI per la Home Realm Discovery e Forms-based Logon Autentica gli utenti per autenticazioni Windows Integrated e client SSL Scrive i cookie “User SSO” sul browser (simile al Kerberos TGT) Processamento dei token di sicurezza Richiede i token di sicurezza per i client dal FS Gire i token al web server via “POST redirect” attraverso il browser
Web Server SSO Agent ISAPI extension per IISv6 – Windows Server 2003 R2 Autenticazione utente Intercetta le richieste URL GET ridirige gli utenti non autenticati a FS Scrive cookie “Web Server SSO” sul browser (simile a Kerberos Service Ticket) Autorizzazione utente (App non claim-aware) Crea token NT per l’impersonizzazione (solo utenti AD) Autorizzazione utente (App claim-aware) Popola il contesto ASP.NET GenericPrincipal con il contenuto del claim per supportare IsInRole() Fornisce claim “crudi” alle applicazioni Elaborazione dei token Valida i token degli utenti ed esegue il parsing dei claim nei token
ADFS Trust e flusso dei messaggi STS: Configurazione di claims e politiche di trust (out of band) Browser: Richiesta di applicazioni e token di sicurezza (HTTPS)
ADFS: Token di sicurezza supportati Rilasciati solo token SAML (Security Assertion Markup Language) Token non criptati Tutti i messaggi sono su HTTPS Token sono firmati (default) Firmati con chiave RSA privata e firma verificata con chiave pubblica ricavata da un certificato X.509 (opzionale) Possono essere firmati con chiavi di sessione Kerberos
ADFS: Token di sicurezza supportati Claim sono asserzioni fatte riguardo all’utente Capiti da entrambi i partner della federazione ADFS Usati per autorizzazione nelle applicazioni. Tipi di claim interoperabili di WS-Federation Identità User Principal Name (UPN) Indirizzo e-mail Common Name (ogni stringa) Gruppi Personalizzato Solo dati di autorizzazione in ADFS-to-ADFS
Esempio di Claim Set Identity GaryW@org.com Custom Group Doctor Administrator Purchaser Custom Office Location: Manchester Reports to: Senior Officer
La potenza dei claim I claim possono essere… Usati per fornire informazioni arbitrarie sull’utente Modificati in punti diversi via via che vengono passati Popolati da AD e ADAM Controlati in uno store centralizzato Costruiti a partire da varie sorgenti usando il custom claim transformation module Spediti da un partner compatibile con il profilo WS-Federation Passive Requestor
Mappatura dei claim ADFS Claim organisational Sito delle risorse e sito degli account Insieme globale di claim condiviso da tutte le applicazioni del sito delle risorse Mappatura dei claim lato sito degli account I claim organisational sono popolati da AD – Gruppi, … I claim organisational sono mappati su claim outgoing Mappatura dei claim lato sito delle risorse Mappatura dei claim incoming Mappa i claim incoming su claim organisational Mappatura dei client applicativi I claim organisational sono abilitati/disabilitati applicazione per applicazione
Mappatura dei claim ADFS Raccomandazioni Necessario decidere una convenzione dei nomi per i claim nelle fasi iniziali del progetto I claim organisational sono globali e condivisi da tutte le applicazioni Si devono usare nomi diversi per i claim Incoming/Outgoing rispetto a quelli Organisational? Federazione interna – nomi uguali ovunque Federazione esterna – nomi differenti
Flusso dei claim in federazioni ADFS
Prerequisiti di ADFS Certificati per la firma digitale I certificati per i Web server sono OK Piattaforma di sviluppo .NET 2.0 ASP.NET V2 .NET Framework v2.0 per FS e WSA Windows 2003 Server SP1, R2 DNS AD
Certificati SSL Certificato per Server Authentication Certificato SSL standard per Server Authentication Richiesto per proteggere il canale su cui i token sono trasmessi La gestione è effettuata attraverso IIS Admin Tool Certificato per FSP Client Consente al FS di autenticare le chiamate fatte dal FSP Configurato nella MMC FSP MMC e nella FS MMC
Federation Server Certificati per la firma dei token Salvati in Local Computer My Store Modificati attraverso la MMC di ADFS Usati per firmare i certificati generati dal Federation Server Verifiche FS deve essere in grado di verificare i certificati rilasciati da: se stesso, altri FS nella farm e partner fidati Salvati nelle politiche di trust così da essere condivisi con gli altri FS nella farm La catena dei certificati è inclusa
© 2005 Microsoft Corporation. All rights reserved © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. MICROSOFT MAKES NO WARRANTIES, EXPRESS OR IMPLIED, IN THIS SUMMARY.