| basel federated identities und sso mit windows azure tom hofmann cambridge technology partners
TRANSCRIPT
| Basel
Federated Identities und SSO mit Windows Azure
Tom HofmannCambridge Technology Partners
Tom Hofmann / Senior Consultant
Identity and Access ManagmentIdentity Federation and SSOCloud SecurityPublic Key InfrastructureMobile Device Management / BYOD
Agenda
Ein Überblick
Identity Federation
Federation & Azure
Use Cases
| Basel
Ein Überblick
Wo stehen wir heute?
o Einmaliges anmelden
o SingleSignOn durch Kerberos
o Authorisierung via AD Gruppen
o Lokales Identity and Access Management
Neue Anforderungen
o Cloud Services
o Mobile Devices
o Wachsende Zusammenarbeit(Identity Federation)
o Mobilität und Vernetzung
und neue Herausforderungen
o User und Account Management (3rd Parties in meinem AD?)
o Umgang mit mobilen Endgeräteno Sicherheit
wo liegen meine Userinformationen? welche Passwordrichtlinien gelten? Auditing? Logging?
o Integration der Cloud Diensteo SingleSignOn, unabhängig von Gerät, Dienst und
Lokationo Öffnung hin zu sozialen Diensten (Facebook,
Yahoo, Google, etc.)
benötigen neue Lösungen
o Cambridge Technology Partners entwickelt eine Testplatform in der Cloud, solutions-for-clouds.ch
o 100% Cloud basierend (IaaS, PaaS, SaaS)o Integration unterschiedlichster Cloud Diensteo Unterstützung neuer form factor devices
(Smartphones, Tablets)
solutions-for-clouds.ch
o Implementation einer virtualisierten Firmeninfrastruktur mit Windows Azure IaaS
o AD FS als Cloud Service mit Windows Azure PaaS
o Integration der UC Struktur via Office 365 SaaSo Vollständige DNS Integrationo Erweiterung durch 3rd Party SaaS Angeboteo Mobile Device Unterstützung
Active Directory DSPublic Key Infrastructure
SharePoint 2013Foundation
AD FSServer 2012
AD FSServer 2012R2
Virtual Network
Virtual Loadbalancer
DirSync
Microsoft Azure
Office365
Architekturübersicht
Trust
Trust
Salesforce.com
SAP
Trust
Azure ÜberblickHands on
| Basel
Identity Federation
Ein Einstieg
Was ist Identity Federation
o 1 digitale Identität für beliebig viele Anwendungeno Unabhängig davon wo bzw. durch wen die Anwendung
betrieben wird.o SingleSignOn Funktionalitäto Einbindung der Identitäten von Partnern und Kundeno Einbindung sozialer Identitäten (Facebook, Google,
etc.)o Nutzung unterschiedlicher Protokolle (SAML, WS-*,
OpenID)
Wie funktioniert Federation?
User App (Reliying Party) Federation Service AD
1 Access request
2 Unauthenticated user3 Redirect user to federation service
4 Get federation login page
5 Present user forms based login
6 Send user credentials 7 Verify credentials
8 Send user information9 Build claim and send it to user
10 Send token to relaying party
11 Verify token12 Grant access to user
Ein BeispielAuthentifizierungsflow zwischenClient, Federation Service und SharePoint
Ausgestelltes SAML Tokenmit UPN, emailadress und role claims
Features durch Identity Federationo Trennung Applikation und Authentisierungo Standortunabhängig (on-premise, cloud, partner)o Anwendungsspezifische Informationen (Claims)
o Flexibilität innerhalb der Claims (AD, SQL, Custom Store)
o Unabhängig vom Identity Provider (AD, Facebook, Google)
o Credentials werden nicht exponiert, sondern bleiben innerhalb der Firma
o Keine 3rd Party Software benötigto Device unabhänig (Laptops, Tablets, Mobiles)
| Basel
Federation & Azure
Der Federation Service mit solutions-for-clouds.ch
Federation Service & Azureo Federation Service werden über
eine URL eindeutig identifizierbar (login.sts.solutions-for-clouds.ch)
o CNAME der Firmendomain enthält pointer auf den Azure Cloud Service (-> solutions-sts.cloudapp.net)
o 2 unabhängige AD FS Server mit lokaler Datenbank (1x Server 2012, 1x Server 2012R2 Preview)
o Beide Server werden durch den Azure eigenen Load Balancer verwaltet
Click icon to add pictureClick icon to add picture
Click icon to add pictureClick icon to add picture
Die Vorteile...
o Eine Federation URL, ein Cloud Service, many servers
o Extrem hohe Verfügbarkeito Flexibilität (einfacher Ausbau der Farm)o Skalierbarkeit (Scale by metric, scale by schedule)o Easy to use Pre-Production Umgebungo Einbindung weiterer PaaS Dienste (SQL Server)o PowerShell management (config, backup, restore)o Lokale Integration mit Hybrid Cloud Szenarien
Federation as Cloud ServiceHands on
| Basel
Use Cases
Federation mit “traditionellen” Geräten
Active Directory
SharePoint 2013Foundation
Virtual Loadbalancer
ADFS ADFS
Portal AppSharePoint
STS
FedAuth
Return SAML token
Redirect for authentication Initial Request
Verify Credentials and gather information
Zugriff auf eine lokale SharePoint app
o Initialer requesto Redirect an den Federation Serviceo Verifizierung der Credentials und
Erstellung des Tokenso Token wird an den SharePoint internen
STS übergebeno Der STS erstellt das FedAuth Cookie und
leitet den Browser auf die ursprünglich angeforderte Seite
Federation SSO mit SaaS Applikationen
Active Directory
Virtual Loadbalancer
ADFS ADFS
Return SAML token
Provide cookies Initial Request
Session validation
SingleSignOn über mehrere Anwendung und Provider hinweg
o Initialer requesto Redirect an den Federation Service,
zusammen mit den MSISAuth und MSISAuthenticated Cookies zur Validierung
o ADFS prüft die Gültigkeit der Session und den Identifier der anfragenden Applikation (wtrealm)
o Anhand der Claim Rules wird das neue, anwendungsspezifische Token erstellt
o Der Client schickt das Token an die Applikation und erhält Zugriff
Office365Retrieve app specific informations
SAP Salesforce
Federation mit Social IdPs
SharePoint 2013Foundation
ADFS
Portal AppSharePoint
STS
FedAuth
ADFS SAML token
Redirect for authentication Initial Request
Zugriff auf die SP Portal app wird über den lokalen ADFS gesteuert:
o Initialer requesto Redirect an den Federation Serviceo User wählt «Social IdPs» auf der HomeRealmDiscovery
Seite des ADFSo Redirect auf die HomeRealmDiscovery Seite des
Windows Azure Access Control Serviceo User wählt Google als IdPo Login mit Google Credentialso Google erstellt ein OpenID Token, welches an Azure
ACS zurückgeliefert wird
o Azure ACS erhält das OpenID Token, evaluiert mögliche Claim Rules und erstellt ein neues SAML Token an den ADFS Server
o Das ADFS Token wird an den SharePoint internen STS übergeben
o Der STS erstellt das FedAuth Cookie und leitet den Browser auf die ursprünglich angeforderte Seite
Access Control Service
Redirect user to ACSHomeRealmDiscovery
Redirect user to Google login page
OpenID token
ACS SAML token
Federation mit mobile devices
Active Directory
SharePoint 2013Foundation
Virtual Loadbalancer
ADFS ADFS
Portal AppSharePoint
STS
FedAuth
Return SAML token
Redirect for authentication Initial Request
Verify Credentials and gather information
Zugriff auf Applikationen via Federation über mobile devices (WLAN, 4G, 3G, etc.)
o Initialer request durch Browser appo Redirect an den Federation Serviceo Verifizierung der Credentials und
Erstellung des Tokenso Token wird an den SharePoint internen
STS übergebeno Der STS erstellt das FedAuth Cookie und
leitet den Browser auf die ursprünglich angeforderte Seite
o SSO Funktionalität ist ebenfalls gegeben
Federation mit mobile apps
Active Directory
Virtual Loadbalancer
ADFS ADFS
Return SAML token
Redirect for authentication
Verify Credentials and gather information
Zugriff auf Applikationen via native mobile apps.Office365 mit OWA und SkyDrivePro for iOS.
o App prüft beim start cached credentialso Redirect an den Federation Service zur
Authentifizierungo Verifizierung der Credentials und
Erstellung des Tokenso Zustellung des Tokens an die Appo Überprüfen des Tokens und
Zugriffsvalidierungo Ablage der Zugangsinformationen im
lokalen App Cache für SingleSignOn
Send token
Zusammenfassung
o Heutige Anforderungen und Herausforderungen durch die
Cloud
o Ein Einblick, was ist Federation
o Welche Möglichkeiten bieten sich für solche Dienste in
Verbindung mit Windows Azure
o Integration von mobilen Endgeräten
o Einbindung sozialer Identitäten
Q & A
Vielen Dank für Ihr Interesse
© 2012 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a
commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.