Active Directory Federation Services
|
[email protected] |
Agenda
Estendere l’accesso alle organizzazioni
Visione
Problemi
ADFS WS-* Eredità delle specifiche
Interoperabilità multi-vendor
Active Directory Federation Services
Architettura e Componenti
Gestione degli accessi con i claim
Requirement
Configurazione
Demo
|
[email protected] |
Estendere l’accesso
Visione
Log on unico, accesso sicuro a tutto
Due filosofie di base complementari:
Basarsi su identità e servizi nel modo più ampio
possibile
Estendere agli “irraggiungibili” attraverso soluzioni di
integrazione come MIIS
|
[email protected] |
Identità e gestione degli accessi
Active Directory Federation Service
Logon a Windows
Active
Directory
Exchange
Web APPS
Autenticazione flessibile






Kerberos
X509 v3/Smartcard/PKI
VPN/802.1x/RADIUS
LDAP
Passport/Digest/Basic (Web)
SSPI/SPNEGO
File Share
Single Sign-on verso:







|
Windows Integrated
File/Print server Windows
Applications
Applicazioni Microsoft
390/AS400 (Host Integration Server)
ERP (BizTalk®, SharePoint® ESSO)
Applicazioni di terze parti
Applicazioni web via IIS
Unix/J2EE (Services for Unix, Vintela/Centrify)
[email protected] |
Identità e gestione degli accessi
Le sfide
Fornitori e
le loro applicazioni
Clienti
Dipendenti
Applicazioni
Piattaforma
Dipendenti remoti
e virtuali
|
[email protected] |
Partner e
le loro applicazioni
Soluzione: Federazione delle identità
e gestione degli accessi
Richieste
Tecnologie basate su standard
Identificazione e autorizzazione distribuita
Attraverso i confini:
sicurezza,
dipartimentali,
delle organizzazioni,
di piattaforma
Visione di ADFS
Log on unico, accesso sicuro a tutto
Basarsi su identità e servizi più estesamente possibile
|
[email protected] |
WS-Federation
Cross-organisation, interoperabilità multi-vendor
Web Services Federation Language
Definisce messaggi per consentire a realm di sicurezza di federarsi e
scambiarsi token di sicurezza
Costruito su WS-Security e WS-Trust
Ampio supporto
Autori: BEA, IBM, Microsoft, RSA, VeriSign
Interoperabilità: IBM, OpenNetwork, Oblix, Netegrity, RSA, PingID
Il modello definisce due profili
Passive (Web browser) client – HTTP/S
Active (smart/rich) client – SOAP
messaggi HTTP
messaggi SOAP
|
Ricevente
HTTP
Ricevente
SOAP
[email protected] |
ADFS v1
ADFS v2
Security
Token
Service
Passive Requestor Profile
Supportato da ADFSv1 in Windows Server 2003 R2
Unione di WS-Federation e WS-Trust per client browser
(passive)
Adesione implicita alle politiche seguendo le redirezioni
Acquisizione implicita dei token attraverso messaggi HTTP
Autenticazione richiede trasporto sicuro (HTTPS)
Non può fornire “prova di possesso” dei token
Cache dei token limitata (in base al tempo)
Token riutilizzabili
|
[email protected] |
Active Requestor Profile
Versioni future di ADFS
Unione di WS-Federation e WS-Trust per client
compatibili SOAP/XML (active)
Determinazione esplicita, dalle policy, della necessità di token
Richiesta esplicita di token con messaggi SOAP
Strong authentication per tutte le richieste
Può fornire “proof of possession” per i token
Supporta la delega
Client possono fornire token ai web service per uso in propria
vece
Consente cache “ricca” dei token lato client
Migliora le performance
|
[email protected] |
ADFS Identity Federation
Proietta le identità AD in altri Realm
Organizzazione
A
Organizzazione
B
Federation Servers
Federation
Server
Gestisce:
• Trust – chiavi
• Securezza – Claim necessari
• Privacy – Claims consentiti
• Audit – Identità, autorità
Spazio nomi
privato
|
[email protected] |
Federation
Server
Spazio nomi
privato
Architettura ADFS
Active Directory
Autentica gli utenti
LPC/Web
Methods
Windows
Authentication/L
DAP
Gestisce gli attributi usati per popolare i
claim
FS-P
Federation Service (FS)
STS rilascia i token di sicurezza
Gestisce le politiche di fiducia della
federazione
FS
AD or
ADAM
HTTPS
browser
SSO Agent
FS Proxy (FS-P)
Application
Web
Server
Proxy per le richieste di token dei client
Fornisce UI per i client browser
Web Server SSO Agent
Forza l’autenticazione degli utenti
Crea il contesto di autorizzazione degli
utenti
|
[email protected] |
Nota:
ADFS supporta foreste W2K e W2K3
FS & FS-P sono co-locati per default, possono essere
separati
FS, FS-P e SSO agent richiedono IISv6 W2K3 R2
In ADFSv1 (W2K03 R2) solo client browser
Federation Service
Servizio ospitato da ASP.NET su IISv6 –
Windows Server 2003 R2
Gestione delle Federation Policy
Stabilisce l’affidabilità di token di sicurezza
firmati attraverso la distribuzione di chiavi
basate su certificati
Definisce i tipi di token/claim e spazi dei
nomi condivisi per i Realm federati
FS-P
FS
Generazione dei token di sicurezza
Recupera gli attributi per la generazione dei
claim da AD (o ADAM) via LDAP
Se necessario trasforma i claim tra spazio
dei nomi interno e federato
Costruisce token di sicurezza firmati e li
spedisce al FS-P
Costruisce cookie “User SSO” e li spedisce
al FS-P
Autenticazione utente
Valida ID/Password via bind LDAP per
Forms-based authentication
|
[email protected] |
browser
SSO Agent
Web
Server
Application
Federation Service Proxy
Servizio ospitato da ASP.NET su IISv6 – Windows Server 2003 R2
Autenticazione utenti
Fornisce la UI per la Home Realm Discovery e Forms-based Logon
Autentica gli utenti per autenticazioni Windows Integrated e client SSL
Scrive i cookie “User SSO” sul browser (simile al Kerberos TGT)
Processamento dei token di sicurezza
Richiede i token di sicurezza per i client dal FS
Gire i token al web server via “POST redirect” attraverso il browser
FS-P
FS
browser
SSO Agent
|
[email protected] |
Web
Server
Application
Web Server SSO Agent
ISAPI extension per IISv6 – Windows Server
2003 R2
Autenticazione utente
Intercetta le richieste URL GET ridirige gli
utenti non autenticati a FS
Scrive cookie “Web Server SSO” sul
browser (simile a Kerberos Service Ticket)
FS-P
FS
Autorizzazione utente (App non claim-aware)
Crea token NT per l’impersonizzazione (solo
utenti AD)
Autorizzazione utente (App claim-aware)
Popola il contesto ASP.NET
GenericPrincipal con il contenuto del claim
per supportare IsInRole()
Fornisce claim “crudi” alle applicazioni
Elaborazione dei token
Valida i token degli utenti ed esegue il
parsing dei claim nei token
|
[email protected] |
browser
SSO Agent
Web
Server
Application
ADFS Trust e flusso dei messaggi
STS: Configurazione di claims e politiche di trust (out of band)
Browser: Richiesta di applicazioni e token di sicurezza (HTTPS)
Intranet
Forest
Federation
Trust
Fire
Wall
DMZ
Forest
FS-R
Internet
FS-A
Client
WS
Corporate Purchaser
FS-P
Fire
Wall
Fire
Wall
Client
Plant Inventory Clerk
Manufacturer
|
[email protected] |
Parts Supplier
ADFS: Token di sicurezza supportati
Rilasciati solo token SAML (Security Assertion
Markup Language)
Token non criptati
Tutti i messaggi sono su HTTPS
Token sono firmati
(default) Firmati con chiave RSA privata e firma
verificata con chiave pubblica ricavata da un
certificato X.509
(opzionale) Possono essere firmati con chiavi di
sessione Kerberos
|
[email protected] |
ADFS: Token di sicurezza supportati
Claim sono asserzioni fatte riguardo all’utente
Capiti da entrambi i partner della federazione ADFS
Usati per autorizzazione nelle applicazioni.
Tipi di claim interoperabili di WS-Federation
Identità
User Principal Name (UPN)
Indirizzo e-mail
Common Name (ogni stringa)
Gruppi
Personalizzato
Solo dati di autorizzazione in ADFS-to-ADFS
|
[email protected] |
Esempio di Claim Set
Identity
[email protected]
Custom
Group
Doctor
Administrator
Purchaser
|
[email protected] |
Office Location:
Manchester
Reports to:
Senior Officer
La potenza dei claim
I claim possono essere…
Usati per fornire informazioni arbitrarie sull’utente
Modificati in punti diversi via via che vengono passati
Popolati da AD e ADAM
Controlati in uno store centralizzato
Costruiti a partire da varie sorgenti usando il custom
claim transformation module
Spediti da un partner compatibile con il profilo WSFederation Passive Requestor
|
[email protected] |
Mappatura dei claim ADFS
Claim organisational
Sito delle risorse e sito degli account
Insieme globale di claim condiviso da tutte le applicazioni del
sito delle risorse
Mappatura dei claim lato sito degli account
I claim organisational sono popolati da AD – Gruppi, …
I claim organisational sono mappati su claim outgoing
Mappatura dei claim lato sito delle risorse
Mappatura dei claim incoming
Mappa i claim incoming su claim organisational
Mappatura dei client applicativi
I claim organisational sono abilitati/disabilitati applicazione per
applicazione
|
[email protected] |
Mappatura dei claim ADFS
Raccomandazioni
Necessario decidere una convenzione dei nomi per i
claim nelle fasi iniziali del progetto
I claim organisational sono globali e condivisi da tutte le
applicazioni
Si devono usare nomi diversi per i claim
Incoming/Outgoing rispetto a quelli Organisational?
Federazione interna – nomi uguali ovunque
Federazione esterna – nomi differenti
|
[email protected] |
Flusso dei claim in federazioni ADFS
Account
Partner
Populates
Transformation
Outgoing
Claims
Claims Transmitted
AD Store
Account
Organizational
Claims
Transformation
Resource
Organizational
Claims
Resource
Application
Incoming
Claims
|
[email protected] |
Selected
Resource
Application
Prerequisiti di ADFS
Certificati per la firma digitale
I certificati per i Web server sono OK
Piattaforma di sviluppo
.NET 2.0
ASP.NET V2
.NET Framework v2.0 per FS e WSA
Windows 2003 Server SP1, R2
DNS
AD
|
[email protected] |
Certificati SSL
Certificato per Server Authentication
Certificato SSL standard per Server Authentication
Richiesto per proteggere il canale su cui i token sono
trasmessi
La gestione è effettuata attraverso IIS Admin Tool
Certificato per FSP Client
Certificato SSL standard per Server Authentication
Consente al FS di autenticare le chiamate fatte dal
FSP
Configurato nella MMC FSP MMC e nella
FS MMC
|
[email protected] |
Federation Server
Certificati per la firma dei token
Salvati in Local Computer My Store
Modificati attraverso la MMC di ADFS
Usati per firmare i certificati generati dal Federation
Server
Verifiche
FS deve essere in grado di verificare i certificati rilasciati da:
se stesso,
altri FS nella farm e
partner fidati
Salvati nelle politiche di trust così da essere condivisi con gli
altri FS nella farm
La catena dei certificati è inclusa
|
[email protected] |
© 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only.
MICROSOFT MAKES NO WARRANTIES, EXPRESS OR IMPLIED, IN THIS SUMMARY.
Scarica

Active Directory Federation Services