La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

Active Directory Federation Services

PubblicatoSimona Orlandi Modificato 10 anni fa

Presentazioni simili

Presentazione sul tema: "Active Directory Federation Services"— Transcript della presentazione:

1 Active Directory Federation Services

2 Agenda Estendere l’accesso alle organizzazioni
Visione Problemi ADFS WS-* Eredità delle specifiche Interoperabilità multi-vendor Active Directory Federation Services Architettura e Componenti Gestione degli accessi con i claim Requirement Configurazione Demo

3 Estendere l’accesso Visione
Log on unico, accesso sicuro a tutto Due filosofie di base complementari: Basarsi su identità e servizi nel modo più ampio possibile Estendere agli “irraggiungibili” attraverso soluzioni di integrazione come MIIS

4 Identità e gestione degli accessi Active Directory Federation Service
Exchange Active Directory Web APPS Logon a Windows File Share Autenticazione flessibile Kerberos X509 v3/Smartcard/PKI VPN/802.1x/RADIUS LDAP Passport/Digest/Basic (Web) SSPI/SPNEGO Windows Integrated Applications Single Sign-on verso: File/Print server Windows Applicazioni Microsoft 390/AS400 (Host Integration Server) ERP (BizTalk®, SharePoint® ESSO) Applicazioni di terze parti Applicazioni web via IIS Unix/J2EE (Services for Unix, Vintela/Centrify)

5 Identità e gestione degli accessi Le sfide
Fornitori e le loro applicazioni Clienti Partner e le loro applicazioni Dipendenti Applicazioni Piattaforma Dipendenti remoti e virtuali

6 Soluzione: Federazione delle identità e gestione degli accessi
Richieste Tecnologie basate su standard Identificazione e autorizzazione distribuita Attraverso i confini: sicurezza, dipartimentali, delle organizzazioni, di piattaforma Visione di ADFS Log on unico, accesso sicuro a tutto Basarsi su identità e servizi più estesamente possibile

7 WS-Federation Cross-organisation, interoperabilità multi-vendor
Web Services Federation Language Definisce messaggi per consentire a realm di sicurezza di federarsi e scambiarsi token di sicurezza Costruito su WS-Security e WS-Trust Ampio supporto Autori: BEA, IBM, Microsoft, RSA, VeriSign Interoperabilità: IBM, OpenNetwork, Oblix, Netegrity, RSA, PingID Il modello definisce due profili Passive (Web browser) client – HTTP/S Active (smart/rich) client – SOAP ADFS v1 ADFS v2 messaggi HTTP Ricevente HTTP Security Token Service Ricevente SOAP messaggi SOAP

8 Passive Requestor Profile Supportato da ADFSv1 in Windows Server 2003 R2
Unione di WS-Federation e WS-Trust per client browser (passive) Adesione implicita alle politiche seguendo le redirezioni Acquisizione implicita dei token attraverso messaggi HTTP Autenticazione richiede trasporto sicuro (HTTPS) Non può fornire “prova di possesso” dei token Cache dei token limitata (in base al tempo) Token riutilizzabili

9 Active Requestor Profile Versioni future di ADFS
Unione di WS-Federation e WS-Trust per client compatibili SOAP/XML (active) Determinazione esplicita, dalle policy, della necessità di token Richiesta esplicita di token con messaggi SOAP Strong authentication per tutte le richieste Può fornire “proof of possession” per i token Supporta la delega Client possono fornire token ai web service per uso in propria vece Consente cache “ricca” dei token lato client Migliora le performance

10 ADFS Identity Federation Proietta le identità AD in altri Realm
Organizzazione A Spazio nomi privato Organizzazione B Spazio nomi privato Federation Servers Federation Server Gestisce: Trust – chiavi Securezza – Claim necessari Privacy – Claims consentiti Audit – Identità, autorità Federation Server

11 Windows Authentication/LDAP
Architettura ADFS Active Directory Autentica gli utenti Gestisce gli attributi usati per popolare i claim Federation Service (FS) STS rilascia i token di sicurezza Gestisce le politiche di fiducia della federazione FS Proxy (FS-P) Proxy per le richieste di token dei client Fornisce UI per i client browser Web Server SSO Agent Forza l’autenticazione degli utenti Crea il contesto di autorizzazione degli utenti Windows Authentication/LDAP LPC/Web Methods HTTPS Nota: ADFS supporta foreste W2K e W2K3 FS & FS-P sono co-locati per default, possono essere separati FS, FS-P e SSO agent richiedono IISv6 W2K3 R2 In ADFSv1 (W2K03 R2) solo client browser

12 Federation Service Servizio ospitato da ASP.NET su IISv6 – Windows Server 2003 R2 Gestione delle Federation Policy Stabilisce l’affidabilità di token di sicurezza firmati attraverso la distribuzione di chiavi basate su certificati Definisce i tipi di token/claim e spazi dei nomi condivisi per i Realm federati Generazione dei token di sicurezza Recupera gli attributi per la generazione dei claim da AD (o ADAM) via LDAP Se necessario trasforma i claim tra spazio dei nomi interno e federato Costruisce token di sicurezza firmati e li spedisce al FS-P Costruisce cookie “User SSO” e li spedisce al FS-P Autenticazione utente Valida ID/Password via bind LDAP per Forms-based authentication

13 Federation Service Proxy
Servizio ospitato da ASP.NET su IISv6 – Windows Server 2003 R2 Autenticazione utenti Fornisce la UI per la Home Realm Discovery e Forms-based Logon Autentica gli utenti per autenticazioni Windows Integrated e client SSL Scrive i cookie “User SSO” sul browser (simile al Kerberos TGT) Processamento dei token di sicurezza Richiede i token di sicurezza per i client dal FS Gire i token al web server via “POST redirect” attraverso il browser

14 Web Server SSO Agent ISAPI extension per IISv6 – Windows Server 2003 R2 Autenticazione utente Intercetta le richieste URL GET ridirige gli utenti non autenticati a FS Scrive cookie “Web Server SSO” sul browser (simile a Kerberos Service Ticket) Autorizzazione utente (App non claim-aware) Crea token NT per l’impersonizzazione (solo utenti AD) Autorizzazione utente (App claim-aware) Popola il contesto ASP.NET GenericPrincipal con il contenuto del claim per supportare IsInRole() Fornisce claim “crudi” alle applicazioni Elaborazione dei token Valida i token degli utenti ed esegue il parsing dei claim nei token

15 ADFS Trust e flusso dei messaggi
STS: Configurazione di claims e politiche di trust (out of band) Browser: Richiesta di applicazioni e token di sicurezza (HTTPS)

16 ADFS: Token di sicurezza supportati
Rilasciati solo token SAML (Security Assertion Markup Language) Token non criptati Tutti i messaggi sono su HTTPS Token sono firmati (default) Firmati con chiave RSA privata e firma verificata con chiave pubblica ricavata da un certificato X.509 (opzionale) Possono essere firmati con chiavi di sessione Kerberos

17 ADFS: Token di sicurezza supportati
Claim sono asserzioni fatte riguardo all’utente Capiti da entrambi i partner della federazione ADFS Usati per autorizzazione nelle applicazioni. Tipi di claim interoperabili di WS-Federation Identità User Principal Name (UPN) Indirizzo Common Name (ogni stringa) Gruppi Personalizzato Solo dati di autorizzazione in ADFS-to-ADFS

18 Esempio di Claim Set Identity GaryW@org.com Custom Group
Doctor Administrator Purchaser Custom Office Location: Manchester Reports to: Senior Officer

19 La potenza dei claim I claim possono essere…
Usati per fornire informazioni arbitrarie sull’utente Modificati in punti diversi via via che vengono passati Popolati da AD e ADAM Controlati in uno store centralizzato Costruiti a partire da varie sorgenti usando il custom claim transformation module Spediti da un partner compatibile con il profilo WS-Federation Passive Requestor

20 Mappatura dei claim ADFS
Claim organisational Sito delle risorse e sito degli account Insieme globale di claim condiviso da tutte le applicazioni del sito delle risorse Mappatura dei claim lato sito degli account I claim organisational sono popolati da AD – Gruppi, … I claim organisational sono mappati su claim outgoing Mappatura dei claim lato sito delle risorse Mappatura dei claim incoming Mappa i claim incoming su claim organisational Mappatura dei client applicativi I claim organisational sono abilitati/disabilitati applicazione per applicazione

21 Mappatura dei claim ADFS Raccomandazioni
Necessario decidere una convenzione dei nomi per i claim nelle fasi iniziali del progetto I claim organisational sono globali e condivisi da tutte le applicazioni Si devono usare nomi diversi per i claim Incoming/Outgoing rispetto a quelli Organisational? Federazione interna – nomi uguali ovunque Federazione esterna – nomi differenti

22 Flusso dei claim in federazioni ADFS

23 Prerequisiti di ADFS Certificati per la firma digitale
I certificati per i Web server sono OK Piattaforma di sviluppo .NET 2.0 ASP.NET V2 .NET Framework v2.0 per FS e WSA Windows 2003 Server SP1, R2 DNS AD

24 Certificati SSL Certificato per Server Authentication
Certificato SSL standard per Server Authentication Richiesto per proteggere il canale su cui i token sono trasmessi La gestione è effettuata attraverso IIS Admin Tool Certificato per FSP Client Consente al FS di autenticare le chiamate fatte dal FSP Configurato nella MMC FSP MMC e nella FS MMC

25 Federation Server Certificati per la firma dei token
Salvati in Local Computer My Store Modificati attraverso la MMC di ADFS Usati per firmare i certificati generati dal Federation Server Verifiche FS deve essere in grado di verificare i certificati rilasciati da: se stesso, altri FS nella farm e partner fidati Salvati nelle politiche di trust così da essere condivisi con gli altri FS nella farm La catena dei certificati è inclusa

26 © 2005 Microsoft Corporation. All rights reserved
© 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. MICROSOFT MAKES NO WARRANTIES, EXPRESS OR IMPLIED, IN THIS SUMMARY.

Scaricare ppt "Active Directory Federation Services"

Presentazioni simili

3/25/2017 3:51 AM TechNet Security Workshop per la PMI Come rendere sicura l'infrastruttura IT di una Piccola e Media Impresa Marco Agnoli Responsabile.

3/25/2017 3:51 AM TechNet Security Workshop per la PMI Come rendere sicura l'infrastruttura IT di una Piccola e Media Impresa Marco Agnoli Responsabile.
Introduzione a Windows Communication Foundation

Introduzione a Windows Communication Foundation
Gli ipertesti del World Wide Web Funzionamento e tecniche di realizzazione a cura di Loris Tissìno (www.tissino.it)

Gli ipertesti del World Wide Web Funzionamento e tecniche di realizzazione a cura di Loris Tissìno (
EGEE-II INFSO-RI-031688 Enabling Grids for E-sciencE www.eu-egee.org EGEE and gLite are registered trademarks Sicurezza in EGEE Vincenzo Ciaschini Roma.

EGEE-II INFSO-RI Enabling Grids for E-sciencE EGEE and gLite are registered trademarks Sicurezza in EGEE Vincenzo Ciaschini Roma.
Windows Server 2003 Active Directory Diagnostica, Troubleshooting e Ripristino PierGiorgio Malusardi IT Pro – Evangelist Microsoft.

Windows Server 2003 Active Directory Diagnostica, Troubleshooting e Ripristino PierGiorgio Malusardi IT Pro – Evangelist Microsoft.
Servizi integrati e completi per la piccola impresa Andrea Candian.

Servizi integrati e completi per la piccola impresa Andrea Candian.
Certification Authority

Certification Authority
ISA Server 2004 Enterprise Edition Preview. ISA Server 2004.

ISA Server 2004 Enterprise Edition Preview. ISA Server 2004.
ISA Server 2004 Configurazione di Accessi via VPN

ISA Server 2004 Configurazione di Accessi via VPN
ASP .NET & Web Service: Introduzione

ASP .NET & Web Service: Introduzione
Giorgio Quaranta ISV Account Manager

Giorgio Quaranta ISV Account Manager
Visual Studio Tools For Office 2005 Fabio Santini. NET Senior Developer Evangelist Microsoft Italy.

Visual Studio Tools For Office 2005 Fabio Santini. NET Senior Developer Evangelist Microsoft Italy.
Windows Server 2003 SP1 Security Configuration Wizard PierGiorgio Malusardi IT Pro Evangelist Microsoft.

Windows Server 2003 SP1 Security Configuration Wizard PierGiorgio Malusardi IT Pro Evangelist Microsoft.
Introduzione ad Active Directory

Introduzione ad Active Directory
Liberiamo(ci) (dal)le applicazioni con Softgrid

Liberiamo(ci) (dal)le applicazioni con Softgrid
Microsoft Visual Basic MVP

Microsoft Visual Basic MVP
Consumare Web Service Andrea Saltarello

Consumare Web Service Andrea Saltarello
Certification Authority

Certification Authority
Fatti e misfatti dei protocolli di autenticazione LM, NTLM e Kerberos

Fatti e misfatti dei protocolli di autenticazione LM, NTLM e Kerberos
Configuring Network Access

Configuring Network Access

Presentazioni simili

Annunci Google