Active Directory Federation Services 2

Slides:

Advertisements

Presentazioni simili

Trieste, 26 novembre © 2005 – Renato Lukač Using OSS in Slovenian High Schools doc. dr. Renato Lukač LinuxDay Trieste.

Advertisements

IBM System i Il Sistema Enterprise per la PMI

© 2010 Colt Telecom Group Limited. All rights reserved. Cloud Computing Lapproccio Colt Dionigi Faccedna.

Recovery e Troubleshooting di Active Directory Renato Francesco Giorgini

Sviluppare workflow per il nuovo 2007 Microsoft Office system e Windows SharePoint Services 3.0 Paolo Pialorsi

Services For Unix 3.5 Lintegrazione di piattaforme e applicazioni UNIX con Windows Server 2003 Lintegrazione di piattaforme e applicazioni UNIX con Windows.

Midrange Modernization Conference 1 Scenari evolutivi per le soluzioni basate su AS/400 Walter Poloni Direttore Developer & Platform Evangelism Microsoft.

1 Windows SharePoint 2003 Products & Technologies – Overview funzionale Marco Bellinaso Senior trainer & consultant Code Architects S.r.l. Web:

1 Teaching Cloud Computing and Windows Azure in Academia Domenico Talia UNIVERSITA DELLA CALABRIA & ICAR-CNR Italy Faculty Days 2010.

Luca Bianchi Windows Development Day Bologna 28 gennaio 2005 SQL Server Desktop Engine (MSDE) & SQL Server 2005 Express.

Active Directory Federation Services

La piattaforma Microsoft per lo sviluppo di applicazioni

ASP.NET – Web Forms Davide Vernole.NET MVP. Di cosa parleremo Introduzione ad ASP.NET ASP.NET, dietro le quinte Componenti principali di una applicazione.

Vincenzo Campanale PM Security & Management System Center, DSI e la Roadmap.

Modalità di ricerca semantica nelle Biblioteche digitali Maria Teresa Biagetti DIPARTIMENTO DI SCIENZE DOCUMENTARIE LINGUISTICO-FILOLOGICHE E GEOGRAFICHE.

Roberto Viola Vicepresidente, European Radio Spectrum Policy Group (RSPG) Roma 24 marzo Organizzazione Key4biz FORUM 2011.

OWASP-Day e progetti OWASP-Italy

EJB Enterprise Java Beans B. Pernici. Approccio Java.

Model – View - Controller

Directory services Directory offline –Elenchi telefonici –Guide TV –Cataloghi acquisti Directory online –Application specific (lotus notes, MS Exchange.

Biometry to enhance smart card security (MOC using TOC protocol)

Citrix Metaframe. Metaframe è la soluzione client-server prodotta dalla Citrix in grado di rendere disponibili applicazioni e desktop a qualsiasi dispositivo.

Fanno ormai parte della nostra vita di tutti i giorni….

FONDAMENTI DI INFORMATICA III WfMC-1. FONDAMENTI DI INFORMATICA III WfMC-2 WFMC Cose WfMC Workflow Management Coalition (WfMC), Brussels, è unorganizzazione.

Vision Caratteristica generica– disponibile a livello generale Possibilità di personalizzazione Facile da usare (What you see is what you get)

1 Attivita di ricerca Carlo Batini. 2 Aree Come costruire ed esprimere il contenuto informativo integrato di sistemi informativi complessi basati.

Palermo, may 2010 F.Doumaz, S.Vinci (INGV-CNT- Gruppo di telerilevamento)

1 © 2013 Cobra Italia SpA All rights reserved Cobra group website Gennaio 2013.

Forum PA – Privacy e Sicurezza 1 Privacy e Sicurezza dalla compliance alla data loss prevention Antonio Forzieri – CISSP, CISA, CISM TSO Practice Manager,

© 2008 WS (WebScience srl) – All rights reserved WS Tech workshop Software Construction.

Sito IntergruppoParma.it Nuovo Intergruppo Parma.

Mobile e Social per portare traffico nei negozi H&m Isabella Federico.

Microsoft Dynamics CRM 4.0

© Copyright 2012 Elitecore Technologies Pvt. Ltd. All Rights Reserved. Securing You Autenticazione Hotspot tramite UTM Cyberoam Unified.

Gruppo 4: Gelmi Martina, Morelato Francesca, Parisi Elisa La mia scuola ha un sito Web: modelli per la qualità dei siti (Ingegneria del Web)

Internet Explorer 8.0: Gestione centralizzata tramite Group Policy

ITA through CASA Microsoft Italy Education – Partners in Learning.

Project Review byNight byNight December 6th, 2011.

WPF per il client Desktop

Microsoft Windows Server licensing in ambienti virtualizzati

Fabio Cozzolino Vito Arconzo

Attribution-NonCommercial-ShareAlike Le novità

Attribution-NonCommercial-ShareAlike Le novità

Renato Francesco Giorgini Evangelist IT Pro

Scoprirete che su Office non si può solo contare ma anche sviluppare.

Forefront Client Security Emanuele Bianchi Security Technology Specialist.

IIS7 Media Services Piergiorgio Malusardi IT Pro Evangelist

Visual Studio Tools for Office: Developer Solutions Platform Fulvio Giaccari MCSD.NET / MCT Responsabile Usergroup ShareOffice Blog:

SQL Server 2005 Sicurezza Davide Mauri Factory Software

Project Review Novembrer 17th, Project Review Agenda: Project goals User stories – use cases – scenarios Project plan summary Status as of November.

Project Review byNight byNight December 21th, 2011.

Project Review byNight byNight December 6th, 2011.

Project Review Novembrer 17th, Project Review Agenda: Project goals User stories – use cases – scenarios Project plan summary Status as of November.

Project Review byNight byNight December 5th, 2011.

Giovedì 17 Aprile 2008 Heroes {Community} Launch Giovedì 17 Aprile 2008.

Architettura software La scelta architetturale: MVA (Model – View – Adapter/Control) The view is completely decoupled from the model such that view and.

Corso di Web Services A A Domenico Rosaci Patterns di E-Business D. RosaciPatterns per l'e-Business.

Analysis and Development of Functions in REST Logic: Application to the «DataView» Web App UNIVERSITA’ DEGLI STUDI DI MODENA E REGGIO EMILIA DIPARTIMENTO.

Negli ultimi anni, la richiesta di poter controllare in remoto la strumentazione e cresciuta rapidamente I miglioramenti nell’hardware e nel software insieme.

© 2013 KNC All right reserved Kangaroo Net Company Group 1.

Collection & Generics in Java

Azure: Mobile Services e Notification Hub ANDREA GIUNTA.

JDBC Java DataBase Connectivity SISTEMI ITIS B. CASTELLI Anno Scolastico

Microsoft Confidential Gabriele Castellani Developer & Platform Evangelism Microsoft.

Extension pack per IIS7 Piergiorgio Malusardi IT Pro Evangelist

Ricerca degli errori in IIS7 Piergiorgio Malusardi IT Pro Evangelist

Panoramica generale di "Questo è NAV" Benvenuti Controllo Margine Crescita Introduzione Customer Evidence Dimostrazione Introduzione Customer Evidence.

App-to-Cloud Security

“Costi di salvataggio e parametri di valutazione” Guglielmo Camera

Build /13/2019 ASP.NET Core Web API all’opera Problemi veri nello sviluppo di un backend vero Marco Minerva Microsoft MVP Windows Development

Transcript della presentazione:

Active Directory Federation Services 2 Active Directory Federation Services 2.0 Evoluzione del Single-Sign-On e Federation Mario Fontana Senior Software Architect - Security Developer & Platform Group - Microsoft http://blogs.msdn.com/mariofontana International Association of Software Architects IASA Chapter Italy : Founder & CEO

Agenda Il Problema dell’autenticazione nelle architetture Il modello di sicurezza Claims-Based ADFS 2.0 Overview Un esempio completo con Sharepoint, Office e ADFS Interoperabilità

Il problema dell’autenticazione Ogni applicazione deve gestire due funzioni: Autenticare l’utente Ottenere informazioni sull’utente per le funzioni di autorizzazione e customizzazione della UX Esistono molte tecnologie differenti : Name/password, X.509, Kerberos, SAML, LDAP, … Le applicazioni oggi si fanno carico di tutti gli aspetti di autenticazione Se l’esercizio vuole cambiare policy di autenticazione è necessario mettere mano alle singole applicazioni. Soluzione : claims-based Security/Identity Una architettura che ci permetta di nascondere alle applicazioni tutti I dettagli dell’autenticazione degli utenti Uso di protocolli standard non legati alle infrastrutture sistemistiche Invio di informazioni sull’utente alle applicazioni in relazione alle attività che sta esenguedo. Cambiamento delle tecniche di autenticazione dopo il deployment senza modifiche al codice.

IDP - Identity Provider STS 1) Ottiene il token Token 3) I claims vengono estratti ed utilizzati Client Applicazione/ Servizio 2) Invia il token Token

Cosa intendiamo per Digital Identity Claim 1 Claim 2 Claim … Claim n Token Esempio di claim nome Email Gruppo Ruolo Identità Informazioni Tokens (Security Tokens) Claims Queste informazioni vengono usate dalle applicazioni per: Autorizzazione. Personalizzazione.

Claims Un claim è una asserzione (es. nome,key, group, privilege, capability, ....) rilasciata da un’entità per un’altra entità. Claims sono un sovra insieme dei Ruoli. Claims possono essere molto flessibili “Il nome del soggetto è Mario Fontana” “L’indirizzo del soggetto è mario.fontana@microsoft.com” “Il soggetto è nel ruolo di Manager” “Il soggetto appartiene al dipartimento di Ingegneria” “Il soggetto ha il permesso di accedere all’applicazione X” “Il soggetto può usare la risorsa Y fino alle 5pm di Giovedì”

Claims-Based Identity Identity Provider Recupero claims, Trasformazione per l’applicazione trust Autenticazione (RST) Ritorna un Token (RSTR) Invio del token all’applicazione Relaying party (RP)

ADFS 2.0 SQL Attribute Active Directory Store App WIF Client trust Active Directory Active Directory Federation Services 2.0 App WIF Client Relying Party

Protocolli Per trasportare i Security Token esistono 2 classi di specifiche standard di riferimento WS-* WS-Security, WS-Trust, WS-Federation (WSFED) Sviluppata originariamente da : BEA Systems, BMC Software, CA, Inc., IBM, Layer 7 Technologies, Microsoft, Novell, Ping Identity, e VeriSign. Standard OASIS SAML 2.0 Protocol Convergenza tra SAML 1.1 Protocol, Liberty ID-FF1.2 e Shibboleth

La famiglia «Geneva» Active Directory Federation Services (ADFS) 2.0 Evoluzione di ADFS presente in Windows Server 2003 R2 e successivi. Cardspace 2.0 Windows Identity Foundation (WIF) Queste 3 tecnologie erano conosciute con il code-name “Geneva”

ADFS 2.0 Security Token Service per AD Federation Trust Manager Identity & Federation Provider Federation Trust Manager Automatizza il trust management via metadata Basato su standard WS-* e SAML 2.0 Protocol Token SAML 1.1 e Token SAML 2.0 Provider per Information Cards Per CardSpace e altri Identity Selectors

ADFS 2.0 Architecture ADFS 2.0 AD DS/AD LDS SQL Protocol Hosting (WS-*, SAML 2.0) Information Card Issuance Service Trust and Policy Management Services WMI Provider Configuration Token/Claim Issuance Engine Identity Store Interface Policy Store Interface AD DS/AD LDS User Attribute Store SQL Policy and configuration Store

SharePoint 2007 – Identity Flow 3/29/2017 2:25 AM SharePoint 2007 – Identity Flow Windows ASP.Net (FBA) SAML Web SSO Windows integrated Roles protected Membership & Role Providers Anonymous access Windows Identity Claims Based Identity Claims protected Trusted sub-systems Web SSO WIF WIF ADFS 2.0 Authentication methods Access control Services Application Framework Auth App logic SharePoint Web Application SharePoint Service Applications Client Content Database Windows Identity © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

Scenario Configurare ADFS per rilasciare tokens a SP Configurare SP per accettare tokens da ADFS Domain Controller ADFS 2.0 Contososrv01 https://sts1.contoso.com Sharepoint contososrv02 Dare accessi alle applicazioni SP basandosi sui Claims Contoso.com

Cosa è la Federazione? Un insieme di domini cha stabiliscono da un punto di vista organizzativo un livello di Trust. Utenti di un dominio possono accedere a risorse (es: applicazioni) in altri domini senza duplicare gli account tra i sistemi! I sistemi federati possono utilizzare tecnologie diverse all’interno della propria realtà MA possono interoperare a livello cross-domain tramite protocolli standard!

Scenario Federato Client Relying Party Azienda 2/ Dipartimento 2 trust Active Directory Federation Services 2.0 trust ADFS/ altro… Client Relying Party

Scenario Stabilire la federazione: accettare tokens da fabrikam Stabilire la federazione: rilasciare tokens per contoso Domain Controller ADFS 2.0 Contososrv01 https://sts1.contoso.com Domain Controller ADFS 2.0 fabrikamsrv01 https://sts2.fabrikam.com Sharepoint contososrv02 Experience!! Client fabrikamclt01 Contoso.com Fabrikam.com

Interoperabilità Sun OpenSSO Novell Access Manager CA SiteMinder e CA Federation Manager Shibboleth 2.0 ICAR

Approfondimenti Sito Ufficiale Microsoft per l’Identity Management Geneva Server in due parole ADFS 2.0 (Beta 2) e Sharepoint 2007 Microsoft e il protocollo SAML 2.0 Tematiche di Interoperabilità: Gruppo di discussione IASA: http://www.linkedin.com/groups?home=&gid=2567658&trk=anet_ug_hm Whitepapers di interoperabilità: http://blogs.msdn.com/italy/archive/2009/05/15/teched-na-disponibili-i-whitepaper-per-interoperabilit-con-novell-access-manager-e-sun-opensso-enterprise.aspx http://download.microsoft.com/download/C/F/D/CFD1D9C8-EBA4-4780-B34B-DBEB5A4792BF/CA-ADFS%20Interop.pdf

3/29/2017 2:25 AM © 2008 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION. © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.