Active Directory Federation Services 2.0Evoluzione del Single-Sign-On e Federation

Mario FontanaSenior Software Architect - SecurityDeveloper & Platform Group - Microsofthttp://blogs.msdn.com/mariofontana

International Association of Software Architects IASA Chapter Italy : Founder & CEO

Agenda

Il Problema dell’autenticazione nelle architetture

Il modello di sicurezza Claims-Based ADFS 2.0 Overview Un esempio completo con Sharepoint, Office e

ADFS Interoperabilità

Il problema dell’autenticazione

Ogni applicazione deve gestire due funzioni: Autenticare l’utente Ottenere informazioni sull’utente per le funzioni di autorizzazione e

customizzazione della UX Esistono molte tecnologie differenti :

Name/password, X.509, Kerberos, SAML, LDAP, … Le applicazioni oggi si fanno carico di tutti gli aspetti di autenticazione Se l’esercizio vuole cambiare policy di autenticazione è necessario mettere mano

alle singole applicazioni. Soluzione : claims-based Security/Identity

Una architettura che ci permetta di nascondere alle applicazioni tutti I dettagli dell’autenticazione degli utenti

Uso di protocolli standard non legati alle infrastrutture sistemistiche Invio di informazioni sull’utente alle applicazioni in relazione alle attività che sta

esenguedo. Cambiamento delle tecniche di autenticazione dopo il deployment senza

modifiche al codice.

IDP - Identity Provider

Applicazione/Servizio

Client

3) I claims vengono estratti ed utilizzati

IDP(Identity Provider)

1) Ottiene il token

Token

2) Invia il token

Token

STS

Cosa intendiamo per Digital Identity

IdentitàInformazioni

Tokens (Security Tokens)

Claims

Claim 1

Claim 2

Claim …

Claim n

Token Esempio di claim

nome

Email

Gruppo

Ruolo

Queste informazioni vengono usate dalle applicazioni per:• Autorizzazione.• Personalizzazione.

Claims

Un claim è una asserzione (es. nome,key, group, privilege, capability, ....) rilasciata da un’entità per un’altra entità.

Claims sono un sovra insieme dei Ruoli. Claims possono essere molto flessibili

“Il nome del soggetto è Mario Fontana” “L’indirizzo del soggetto è mario.fontana@microsoft.com” “Il soggetto è nel ruolo di Manager” “Il soggetto appartiene al dipartimento di Ingegneria” “Il soggetto ha il permesso di accedere all’applicazione X” “Il soggetto può usare la risorsa Y fino alle 5pm di Giovedì”

Claims-Based Identity

trust

Autenticazio

ne (RST

)

Ritorn

a un To

ken (R

STR)

Invio del token all’applicazione

Recupero claims, Trasformazione per

l’applicazione

Identity Provider

Relaying party (RP)

ADFS 2.0

WIF

App

trust

Relying PartyClient

Active DirectoryFederation Services 2.0

Active DirectorySQL

AttributeStore

Protocolli

Per trasportare i Security Token esistono 2 classi di specifiche standard di riferimento WS-*

WS-Security, WS-Trust, WS-Federation (WSFED) Sviluppata originariamente da : BEA Systems, BMC Software,

CA, Inc., IBM, Layer 7 Technologies, Microsoft, Novell, Ping Identity, e VeriSign.

Standard OASIS

SAML 2.0 Protocol Convergenza tra SAML 1.1 Protocol, Liberty ID-FF1.2 e

Shibboleth Standard OASIS

La famiglia «Geneva»

Active Directory Federation Services (ADFS) 2.0 Evoluzione di ADFS presente in Windows Server

2003 R2 e successivi. Cardspace 2.0 Windows Identity Foundation (WIF) Queste 3 tecnologie erano conosciute con il

code-name “Geneva”

ADFS 2.0

Security Token Service per AD Identity & Federation Provider

Federation Trust Manager Automatizza il trust management via metadata

Basato su standard WS-* e SAML 2.0 Protocol Token SAML 1.1 e Token SAML 2.0

Provider per Information Cards Per CardSpace e altri Identity Selectors

ADFS 2.0 Architecture

ADFS 2.0

Trust and Policy

ManagementServices

WMI ProviderConfiguration

Information Card Issuance

Service

Protocol Hosting(WS-*, SAML 2.0)

Token/Claim Issuance Engine

AD DS/AD LDSUser Attribute

Store

SQLPolicy and

configuration Store

Identity Store Interface Policy Store Interface

SharePoint 2007 – Identity Flow

Authentication methods

SharePoint Web Application

Windows integrated

Membership & Role Providers

Web SSO

Access control

Roles protected

Anonymous access Windows Identity

SharePoint Service Applications

Content Database

Trusted sub-systems

Client

Claims protected

ADFS 2.0

Auth App logic

Windows Identity

Services Application Framework

Windows ASP.Net (FBA)

Claims Based Identity

SAML Web SSO

WIF WIF

Scenario

Contoso.com

Sharepointcontososrv02

Configurare SP per

accettare tokens da

ADFS

Configurare ADFS per rilasciare

tokens a SP

Dare accessi alle

applicazioni SP

basandosi sui Claims

Domain ControllerADFS 2.0

Contososrv01https://sts1.contoso.com

Cosa è la Federazione?

Un insieme di domini cha stabiliscono da un punto di vista organizzativo un livello di Trust.

Utenti di un dominio possono accedere a risorse (es: applicazioni) in altri domini senza duplicare gli account tra i sistemi!

I sistemi federati possono utilizzare tecnologie diverse all’interno della propria realtà MA possono interoperare a livello cross-domain tramite protocolli standard!

Scenario Federato

trust

Relying PartyClient

Active DirectoryFederation Services 2.0

ADFS/altro…

Azienda 1/Dipartimento 1

Azienda 2/Dipartimento 2

trust

17

Scenario

Contoso.com Fabrikam.com

Sharepointcontososrv02

Clientfabrikamclt01

Stabilire la federazione:

accettare tokens da fabrikam

Stabilire la federazione:

rilasciare tokens per contoso

Experience!!

Domain ControllerADFS 2.0

Contososrv01https://sts1.contoso.com

Domain ControllerADFS 2.0fabrikamsrv01https://sts2.fabrikam.com

Interoperabilità

Sun OpenSSO Novell Access Manager CA SiteMinder e CA Federation Manager Shibboleth 2.0 ICAR

Approfondimenti

Sito Ufficiale Microsoft per l’Identity Management Geneva Server in due parole ADFS 2.0 (Beta 2) e Sharepoint 2007 Microsoft e il protocollo SAML 2.0 Tematiche di Interoperabilità:

Gruppo di discussione IASA: http

://www.linkedin.com/groups?home=&gid=2567658&trk=anet_ug_hm

Whitepapers di interoperabilità: http://blogs.msdn.com/italy/archive/2009/05/15/teched-na-disponibil

i-i-whitepaper-per-interoperabilit-con-novell-access-manager-e-sun-opensso-enterprise.aspx

http://download.microsoft.com/download/C/F/D/CFD1D9C8-EBA4-4780-B34B-DBEB5A4792BF/CA-ADFS%20Interop.pdf

© 2008 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.

The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after

the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.