| Basel

Federated Identities und SSO mit Windows Azure

Tom HofmannCambridge Technology Partners

Tom Hofmann / Senior Consultant

Identity and Access ManagmentIdentity Federation and SSOCloud SecurityPublic Key InfrastructureMobile Device Management / BYOD

Agenda

Ein Überblick

Identity Federation

Federation & Azure

Use Cases

| Basel

Ein Überblick

Wo stehen wir heute?

o Einmaliges anmelden

o SingleSignOn durch Kerberos

o Authorisierung via AD Gruppen

o Lokales Identity and Access Management

Neue Anforderungen

o Cloud Services

o Mobile Devices

o Wachsende Zusammenarbeit(Identity Federation)

o Mobilität und Vernetzung

und neue Herausforderungen

o User und Account Management (3rd Parties in meinem AD?)

o Umgang mit mobilen Endgeräteno Sicherheit

wo liegen meine Userinformationen? welche Passwordrichtlinien gelten? Auditing? Logging?

o Integration der Cloud Diensteo SingleSignOn, unabhängig von Gerät, Dienst und

Lokationo Öffnung hin zu sozialen Diensten (Facebook,

Yahoo, Google, etc.)

benötigen neue Lösungen

o Cambridge Technology Partners entwickelt eine Testplatform in der Cloud, solutions-for-clouds.ch

o 100% Cloud basierend (IaaS, PaaS, SaaS)o Integration unterschiedlichster Cloud Diensteo Unterstützung neuer form factor devices

(Smartphones, Tablets)

solutions-for-clouds.ch

o Implementation einer virtualisierten Firmeninfrastruktur mit Windows Azure IaaS

o AD FS als Cloud Service mit Windows Azure PaaS

o Integration der UC Struktur via Office 365 SaaSo Vollständige DNS Integrationo Erweiterung durch 3rd Party SaaS Angeboteo Mobile Device Unterstützung

Active Directory DSPublic Key Infrastructure

SharePoint 2013Foundation

AD FSServer 2012

AD FSServer 2012R2

Virtual Network

Virtual Loadbalancer

DirSync

Microsoft Azure

Office365

Architekturübersicht

Trust

Trust

Salesforce.com

SAP

Trust

Azure ÜberblickHands on

| Basel

Identity Federation

Ein Einstieg

Was ist Identity Federation

o 1 digitale Identität für beliebig viele Anwendungeno Unabhängig davon wo bzw. durch wen die Anwendung

betrieben wird.o SingleSignOn Funktionalitäto Einbindung der Identitäten von Partnern und Kundeno Einbindung sozialer Identitäten (Facebook, Google,

etc.)o Nutzung unterschiedlicher Protokolle (SAML, WS-*,

OpenID)

Wie funktioniert Federation?

User App (Reliying Party) Federation Service AD

1 Access request

2 Unauthenticated user3 Redirect user to federation service

4 Get federation login page

5 Present user forms based login

6 Send user credentials 7 Verify credentials

8 Send user information9 Build claim and send it to user

10 Send token to relaying party

11 Verify token12 Grant access to user

Ein BeispielAuthentifizierungsflow zwischenClient, Federation Service und SharePoint

Ausgestelltes SAML Tokenmit UPN, emailadress und role claims

Features durch Identity Federationo Trennung Applikation und Authentisierungo Standortunabhängig (on-premise, cloud, partner)o Anwendungsspezifische Informationen (Claims)

o Flexibilität innerhalb der Claims (AD, SQL, Custom Store)

o Unabhängig vom Identity Provider (AD, Facebook, Google)

o Credentials werden nicht exponiert, sondern bleiben innerhalb der Firma

o Keine 3rd Party Software benötigto Device unabhänig (Laptops, Tablets, Mobiles)

| Basel

Federation & Azure

Der Federation Service mit solutions-for-clouds.ch

Federation Service & Azureo Federation Service werden über

eine URL eindeutig identifizierbar (login.sts.solutions-for-clouds.ch)

o CNAME der Firmendomain enthält pointer auf den Azure Cloud Service (-> solutions-sts.cloudapp.net)

o 2 unabhängige AD FS Server mit lokaler Datenbank (1x Server 2012, 1x Server 2012R2 Preview)

o Beide Server werden durch den Azure eigenen Load Balancer verwaltet

Click icon to add pictureClick icon to add picture

Click icon to add pictureClick icon to add picture

Die Vorteile...

o Eine Federation URL, ein Cloud Service, many servers

o Extrem hohe Verfügbarkeito Flexibilität (einfacher Ausbau der Farm)o Skalierbarkeit (Scale by metric, scale by schedule)o Easy to use Pre-Production Umgebungo Einbindung weiterer PaaS Dienste (SQL Server)o PowerShell management (config, backup, restore)o Lokale Integration mit Hybrid Cloud Szenarien

Federation as Cloud ServiceHands on

| Basel

Use Cases

Federation mit “traditionellen” Geräten

Active Directory

SharePoint 2013Foundation

Virtual Loadbalancer

ADFS ADFS

Portal AppSharePoint

STS

FedAuth

Return SAML token

Redirect for authentication Initial Request

Verify Credentials and gather information

Zugriff auf eine lokale SharePoint app

o Initialer requesto Redirect an den Federation Serviceo Verifizierung der Credentials und

Erstellung des Tokenso Token wird an den SharePoint internen

STS übergebeno Der STS erstellt das FedAuth Cookie und

leitet den Browser auf die ursprünglich angeforderte Seite

Federation SSO mit SaaS Applikationen

Active Directory

Virtual Loadbalancer

ADFS ADFS

Return SAML token

Provide cookies Initial Request

Session validation

SingleSignOn über mehrere Anwendung und Provider hinweg

o Initialer requesto Redirect an den Federation Service,

zusammen mit den MSISAuth und MSISAuthenticated Cookies zur Validierung

o ADFS prüft die Gültigkeit der Session und den Identifier der anfragenden Applikation (wtrealm)

o Anhand der Claim Rules wird das neue, anwendungsspezifische Token erstellt

o Der Client schickt das Token an die Applikation und erhält Zugriff

Office365Retrieve app specific informations

SAP Salesforce

Federation mit Social IdPs

SharePoint 2013Foundation

ADFS

Portal AppSharePoint

STS

FedAuth

ADFS SAML token

Redirect for authentication Initial Request

Zugriff auf die SP Portal app wird über den lokalen ADFS gesteuert:

o Initialer requesto Redirect an den Federation Serviceo User wählt «Social IdPs» auf der HomeRealmDiscovery

Seite des ADFSo Redirect auf die HomeRealmDiscovery Seite des

Windows Azure Access Control Serviceo User wählt Google als IdPo Login mit Google Credentialso Google erstellt ein OpenID Token, welches an Azure

ACS zurückgeliefert wird

o Azure ACS erhält das OpenID Token, evaluiert mögliche Claim Rules und erstellt ein neues SAML Token an den ADFS Server

o Das ADFS Token wird an den SharePoint internen STS übergeben

o Der STS erstellt das FedAuth Cookie und leitet den Browser auf die ursprünglich angeforderte Seite

Access Control Service

Redirect user to ACSHomeRealmDiscovery

Redirect user to Google login page

OpenID token

ACS SAML token

Federation mit mobile devices

Active Directory

SharePoint 2013Foundation

Virtual Loadbalancer

ADFS ADFS

Portal AppSharePoint

STS

FedAuth

Return SAML token

Redirect for authentication Initial Request

Verify Credentials and gather information

Zugriff auf Applikationen via Federation über mobile devices (WLAN, 4G, 3G, etc.)

o Initialer request durch Browser appo Redirect an den Federation Serviceo Verifizierung der Credentials und

Erstellung des Tokenso Token wird an den SharePoint internen

STS übergebeno Der STS erstellt das FedAuth Cookie und

leitet den Browser auf die ursprünglich angeforderte Seite

o SSO Funktionalität ist ebenfalls gegeben

Federation mit mobile apps

Active Directory

Virtual Loadbalancer

ADFS ADFS

Return SAML token

Redirect for authentication

Verify Credentials and gather information

Zugriff auf Applikationen via native mobile apps.Office365 mit OWA und SkyDrivePro for iOS.

o App prüft beim start cached credentialso Redirect an den Federation Service zur

Authentifizierungo Verifizierung der Credentials und

Erstellung des Tokenso Zustellung des Tokens an die Appo Überprüfen des Tokens und

Zugriffsvalidierungo Ablage der Zugangsinformationen im

lokalen App Cache für SingleSignOn

Send token

Zusammenfassung

o Heutige Anforderungen und Herausforderungen durch die

Cloud

o Ein Einblick, was ist Federation

o Welche Möglichkeiten bieten sich für solche Dienste in

Verbindung mit Windows Azure

o Integration von mobilen Endgeräten

o Einbindung sozialer Identitäten

Q & A

Vielen Dank für Ihr Interesse

Für Fragen und weitere Informationen

vCard

Thomas.Hofmann@ctp.com

© 2012 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a

commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.