Active Directory Federation Services | [email protected] | Agenda Estendere l’accesso alle organizzazioni Visione Problemi ADFS WS-* Eredità delle specifiche Interoperabilità multi-vendor Active Directory Federation Services Architettura e Componenti Gestione degli accessi con i claim Requirement Configurazione Demo | [email protected] | Estendere l’accesso Visione Log on unico, accesso sicuro a tutto Due filosofie di base complementari: Basarsi su identità e servizi nel modo più ampio possibile Estendere agli “irraggiungibili” attraverso soluzioni di integrazione come MIIS | [email protected] | Identità e gestione degli accessi Active Directory Federation Service Logon a Windows Active Directory Exchange Web APPS Autenticazione flessibile Kerberos X509 v3/Smartcard/PKI VPN/802.1x/RADIUS LDAP Passport/Digest/Basic (Web) SSPI/SPNEGO File Share Single Sign-on verso: | Windows Integrated File/Print server Windows Applications Applicazioni Microsoft 390/AS400 (Host Integration Server) ERP (BizTalk®, SharePoint® ESSO) Applicazioni di terze parti Applicazioni web via IIS Unix/J2EE (Services for Unix, Vintela/Centrify) [email protected] | Identità e gestione degli accessi Le sfide Fornitori e le loro applicazioni Clienti Dipendenti Applicazioni Piattaforma Dipendenti remoti e virtuali | [email protected] | Partner e le loro applicazioni Soluzione: Federazione delle identità e gestione degli accessi Richieste Tecnologie basate su standard Identificazione e autorizzazione distribuita Attraverso i confini: sicurezza, dipartimentali, delle organizzazioni, di piattaforma Visione di ADFS Log on unico, accesso sicuro a tutto Basarsi su identità e servizi più estesamente possibile | [email protected] | WS-Federation Cross-organisation, interoperabilità multi-vendor Web Services Federation Language Definisce messaggi per consentire a realm di sicurezza di federarsi e scambiarsi token di sicurezza Costruito su WS-Security e WS-Trust Ampio supporto Autori: BEA, IBM, Microsoft, RSA, VeriSign Interoperabilità: IBM, OpenNetwork, Oblix, Netegrity, RSA, PingID Il modello definisce due profili Passive (Web browser) client – HTTP/S Active (smart/rich) client – SOAP messaggi HTTP messaggi SOAP | Ricevente HTTP Ricevente SOAP [email protected] | ADFS v1 ADFS v2 Security Token Service Passive Requestor Profile Supportato da ADFSv1 in Windows Server 2003 R2 Unione di WS-Federation e WS-Trust per client browser (passive) Adesione implicita alle politiche seguendo le redirezioni Acquisizione implicita dei token attraverso messaggi HTTP Autenticazione richiede trasporto sicuro (HTTPS) Non può fornire “prova di possesso” dei token Cache dei token limitata (in base al tempo) Token riutilizzabili | [email protected] | Active Requestor Profile Versioni future di ADFS Unione di WS-Federation e WS-Trust per client compatibili SOAP/XML (active) Determinazione esplicita, dalle policy, della necessità di token Richiesta esplicita di token con messaggi SOAP Strong authentication per tutte le richieste Può fornire “proof of possession” per i token Supporta la delega Client possono fornire token ai web service per uso in propria vece Consente cache “ricca” dei token lato client Migliora le performance | [email protected] | ADFS Identity Federation Proietta le identità AD in altri Realm Organizzazione A Organizzazione B Federation Servers Federation Server Gestisce: • Trust – chiavi • Securezza – Claim necessari • Privacy – Claims consentiti • Audit – Identità, autorità Spazio nomi privato | [email protected] | Federation Server Spazio nomi privato Architettura ADFS Active Directory Autentica gli utenti LPC/Web Methods Windows Authentication/L DAP Gestisce gli attributi usati per popolare i claim FS-P Federation Service (FS) STS rilascia i token di sicurezza Gestisce le politiche di fiducia della federazione FS AD or ADAM HTTPS browser SSO Agent FS Proxy (FS-P) Application Web Server Proxy per le richieste di token dei client Fornisce UI per i client browser Web Server SSO Agent Forza l’autenticazione degli utenti Crea il contesto di autorizzazione degli utenti | [email protected] | Nota: ADFS supporta foreste W2K e W2K3 FS & FS-P sono co-locati per default, possono essere separati FS, FS-P e SSO agent richiedono IISv6 W2K3 R2 In ADFSv1 (W2K03 R2) solo client browser Federation Service Servizio ospitato da ASP.NET su IISv6 – Windows Server 2003 R2 Gestione delle Federation Policy Stabilisce l’affidabilità di token di sicurezza firmati attraverso la distribuzione di chiavi basate su certificati Definisce i tipi di token/claim e spazi dei nomi condivisi per i Realm federati FS-P FS Generazione dei token di sicurezza Recupera gli attributi per la generazione dei claim da AD (o ADAM) via LDAP Se necessario trasforma i claim tra spazio dei nomi interno e federato Costruisce token di sicurezza firmati e li spedisce al FS-P Costruisce cookie “User SSO” e li spedisce al FS-P Autenticazione utente Valida ID/Password via bind LDAP per Forms-based authentication | [email protected] | browser SSO Agent Web Server Application Federation Service Proxy Servizio ospitato da ASP.NET su IISv6 – Windows Server 2003 R2 Autenticazione utenti Fornisce la UI per la Home Realm Discovery e Forms-based Logon Autentica gli utenti per autenticazioni Windows Integrated e client SSL Scrive i cookie “User SSO” sul browser (simile al Kerberos TGT) Processamento dei token di sicurezza Richiede i token di sicurezza per i client dal FS Gire i token al web server via “POST redirect” attraverso il browser FS-P FS browser SSO Agent | [email protected] | Web Server Application Web Server SSO Agent ISAPI extension per IISv6 – Windows Server 2003 R2 Autenticazione utente Intercetta le richieste URL GET ridirige gli utenti non autenticati a FS Scrive cookie “Web Server SSO” sul browser (simile a Kerberos Service Ticket) FS-P FS Autorizzazione utente (App non claim-aware) Crea token NT per l’impersonizzazione (solo utenti AD) Autorizzazione utente (App claim-aware) Popola il contesto ASP.NET GenericPrincipal con il contenuto del claim per supportare IsInRole() Fornisce claim “crudi” alle applicazioni Elaborazione dei token Valida i token degli utenti ed esegue il parsing dei claim nei token | [email protected] | browser SSO Agent Web Server Application ADFS Trust e flusso dei messaggi STS: Configurazione di claims e politiche di trust (out of band) Browser: Richiesta di applicazioni e token di sicurezza (HTTPS) Intranet Forest Federation Trust Fire Wall DMZ Forest FS-R Internet FS-A Client WS Corporate Purchaser FS-P Fire Wall Fire Wall Client Plant Inventory Clerk Manufacturer | [email protected] | Parts Supplier ADFS: Token di sicurezza supportati Rilasciati solo token SAML (Security Assertion Markup Language) Token non criptati Tutti i messaggi sono su HTTPS Token sono firmati (default) Firmati con chiave RSA privata e firma verificata con chiave pubblica ricavata da un certificato X.509 (opzionale) Possono essere firmati con chiavi di sessione Kerberos | [email protected] | ADFS: Token di sicurezza supportati Claim sono asserzioni fatte riguardo all’utente Capiti da entrambi i partner della federazione ADFS Usati per autorizzazione nelle applicazioni. Tipi di claim interoperabili di WS-Federation Identità User Principal Name (UPN) Indirizzo e-mail Common Name (ogni stringa) Gruppi Personalizzato Solo dati di autorizzazione in ADFS-to-ADFS | [email protected] | Esempio di Claim Set Identity [email protected] Custom Group Doctor Administrator Purchaser | [email protected] | Office Location: Manchester Reports to: Senior Officer La potenza dei claim I claim possono essere… Usati per fornire informazioni arbitrarie sull’utente Modificati in punti diversi via via che vengono passati Popolati da AD e ADAM Controlati in uno store centralizzato Costruiti a partire da varie sorgenti usando il custom claim transformation module Spediti da un partner compatibile con il profilo WSFederation Passive Requestor | [email protected] | Mappatura dei claim ADFS Claim organisational Sito delle risorse e sito degli account Insieme globale di claim condiviso da tutte le applicazioni del sito delle risorse Mappatura dei claim lato sito degli account I claim organisational sono popolati da AD – Gruppi, … I claim organisational sono mappati su claim outgoing Mappatura dei claim lato sito delle risorse Mappatura dei claim incoming Mappa i claim incoming su claim organisational Mappatura dei client applicativi I claim organisational sono abilitati/disabilitati applicazione per applicazione | [email protected] | Mappatura dei claim ADFS Raccomandazioni Necessario decidere una convenzione dei nomi per i claim nelle fasi iniziali del progetto I claim organisational sono globali e condivisi da tutte le applicazioni Si devono usare nomi diversi per i claim Incoming/Outgoing rispetto a quelli Organisational? Federazione interna – nomi uguali ovunque Federazione esterna – nomi differenti | [email protected] | Flusso dei claim in federazioni ADFS Account Partner Populates Transformation Outgoing Claims Claims Transmitted AD Store Account Organizational Claims Transformation Resource Organizational Claims Resource Application Incoming Claims | [email protected] | Selected Resource Application Prerequisiti di ADFS Certificati per la firma digitale I certificati per i Web server sono OK Piattaforma di sviluppo .NET 2.0 ASP.NET V2 .NET Framework v2.0 per FS e WSA Windows 2003 Server SP1, R2 DNS AD | [email protected] | Certificati SSL Certificato per Server Authentication Certificato SSL standard per Server Authentication Richiesto per proteggere il canale su cui i token sono trasmessi La gestione è effettuata attraverso IIS Admin Tool Certificato per FSP Client Certificato SSL standard per Server Authentication Consente al FS di autenticare le chiamate fatte dal FSP Configurato nella MMC FSP MMC e nella FS MMC | [email protected] | Federation Server Certificati per la firma dei token Salvati in Local Computer My Store Modificati attraverso la MMC di ADFS Usati per firmare i certificati generati dal Federation Server Verifiche FS deve essere in grado di verificare i certificati rilasciati da: se stesso, altri FS nella farm e partner fidati Salvati nelle politiche di trust così da essere condivisi con gli altri FS nella farm La catena dei certificati è inclusa | [email protected] | © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. MICROSOFT MAKES NO WARRANTIES, EXPRESS OR IMPLIED, IN THIS SUMMARY.