implémenter de l’authentification forte pour vos environnements cloud
DESCRIPTION
Lorsque les entreprises commencent à utiliser des services Cloud, l’authentification des utilisateurs de manière fiable constitue une exigence vitale. Les entreprises doivent ainsi relever des défis liés à l'authentification tels que la gestion des informations d'identification, la force de l'authentification (avec la prise en compte de plusieurs facteurs), etc. et mettre en œuvre des solutions rentables qui réduisent le risque de façon appropriée tout en limitant les coûts de gestion. Cette session sera l'occasion de présenter mais surtout de démontrer différentes approches de prise en charge de l’authentification forte dans ce contexte. Seront en particulier illustrées des solutions qui se dispensent de dispositifs matériels (carte à puce par ex.) et qui s’intègrent avec la technologie Active Directory Federation Services (AD FS ) 2.0.TRANSCRIPT
palais des congrès Paris
7, 8 et 9 février 2012
Implémenter l’authentification forte pour vos environnements Cloud
Philippe BERAUDJean-Yves GRASSETConsultant ArchitecteDirection Technique et SécuritéMicrosoft France
Code Session : SEC2211
Didier PERROTCEOin-webo Technologieshttp://in-webo.com/
Florence DUBOISDirecteur R&DLogin Peoplehttp://www.loginpeople.com/
Vers une informatique fédéréeRôle central d’AD FS 2.0 pour les clients Active DirectoryPrise en charge de l’authentification forte pour les identitésApproches en termes d’authentification forte
Login People InWebo
Objectifs et sommaire de la session
PaaS
Cloud public
…IaaS
PaaS
Cloud publicVers l’informatique fédérée
Google App Engine
amazonweb servicessalesforce
…Fournisseur d’identités /
Passerelle de fédération
PaaS
SaaS
IaaS
Cloud privé
SaaS
Cloud public
Fédération d’identité
L’économie du Cloud crée l’informatique fédérée Le Cloud est ce que les fournisseurs informatiques
vendent… …Une informatique fédérée est ce que les entreprises
mettent en place
L’identité joue un rôle central pour la mise en place de cette informatique fédérée
Vers l’informatique fédérée
Le service de fédération AD FS 2.0 Expérience d'authentification unique (SSO)
Pour les accès internes ou depuis l’extérieur Vers des applications et services Web fédérés Internes, externalisés ou dans le Cloud
Service central, disponible et transparent Idem à Active Directory (AD DS) déployé aujourd’hui dans
90% des entreprises Interopérable
Fondé sur des standards protocolaires OASIS SAML-P 2.0, WS-Federation, WS-Trust
AD FS 2.0 : Service de Fédération
Les fonctions et rôles d’un serveur de fédération(FS) AD FS 2.0
Service de jetons de Sécurité (STS) Fournisseur de revendications (Claims Provider)
Authentification Windows intégrée (WIA) par défaut Partie consommatrice (Relying Party) Passerelle protocolaire de fédération
Ex. : SAML-P 2.0<->WS-Federation Gestionnaire des relations de confiance de fédération
Automatise et facilite la gestion des relations de confiance basée sur l’échange de métadonnées standardisées
AD FS 2.0 : Serveur de Fédération
Besoin : accès distant au SI fédéré depuis la maison, l’aéroport, un internet café...Solution par Extension du périmètre réseau
Connexion réseau directe via VPN, DirectAccess et RDS (Remote Desktop Services)
Mais exigences significatives en termes d’infrastructure et accès complet aux ressources (open-bar)
Solution Reverse-proxy Reverse-proxy classique
TMG (Microsoft Forefront Threat Management Gateway) ou UAG (Microsoft Forefront Unified Access Gateway) SP1
Proxy de fédération (FS-P) AD FS 2.0 Bénéfice d’un contrôle d’accès en bordure Intérêt du renforcement de l’authentification pour sécuriser les accès
entrants
Quid des utilisateurs distants ?
PaaS
…IaaS
PaaS
Authentification avec un FS-P AD FS 2.0
Fournisseur de service
/Passerelle de
fédérationPaaS
SaaS
IaaS
SaaS
DMZIntranet
FS AD FS 2.0
FS-P AD FS 2.0AD
DS
Accès à une application Web (client passif) Hébergée en interne et publiée sur l’extranet ou internet
Ex. ASP.NET avec le Framework WIF (Windows Identity Foundation) Hébergée en réseau périmétrique (DMZ) sur l’extranet ou internet Hébergée dans le Cloud
Ex. PaaS : application Web dans Windows Azure Ex. SaaS : SharePoint Online ou Outlook Web App (OWA) 2010 dans
Office 365 Hébergée dans une organisation partenaire
Clients Word 2010, Excel 2010, PowerPoint 2010 accédant à des ressources SharePoint fédérée
Boîte de dialogue avec la prise en charge des protocoles Web de fédération fondés sur les redirections (WS-Fed, SAML-P)
Pas de prise en charge directe des clients actifs (ex. Outlook, Lync)
Scénarios d’authentification FS-P AD FS 2.0
Collecte et traitement des crédentités 2FA(*) Fonction de la solution d’authentification à double facteur 4 approches de configuration/mise en œuvre des FS-P AD FS
2.0
1ère approche : Authentification forte native Authentification par carte à puces/authentifieur USB
Authentification TLS avec certificat client En « grosse maille », mêmes contraintes et possibilités que le
Smart Card Logon Prise en charge native par le FS-P
Emission d’une revendication (claim) « Strong Authentication» Possibilité d’une autorisation fondée sur la force de
l’authentification au niveau des ressources accédées
Authentification forte avec un FS-P AD FS 2.0
(*) 2FA = two-factor authentication
2ième approche : Interception du trafic FS-P par un module HTTP Module compatible avec la version d’IIS 7.x de Windows Server 2008 ou
Windows Server 2008 R2 Doit être installé sur chaque FS-P Ex. Prise en charge des authentifieurs RSA SecureID
AD FS 2.0 Step-by-Step Guide: Integration with RSA SecurID in the Extranet
RSA Authentication Agent 7.0 for Web IIS 7 Cinématique :
Avant de laisser passer le trafic intercepté, redirection vers le service 2FA Fourniture des crédentités 2FA qui sont validées par le service 2FA Après authentification réussie auprès du service 2FA, redirection vers le FS-P,
traitement du trafic par le FS-P et authentification au niveau du FS-P Fourniture des crédentités AD au niveau de la page de connexion du FS-P
Redirection multiples et au moins deux demandes de saisie pour les crédentités (2FA puis AD)
Pas de revendication (claim) « Strong Authentication» possible
Authentification forte avec un FS-P AD FS 2.0
3ième approche :Personnalisation de la page d’authentification AD FS 2.0
Nécessité au niveau du service 2FA d’une interface invocable par code pour authentifier les crédentités 2FA
Idéalement via WS-Trust Optimal en termes d’expérience utilisateur
1 seule page personnalisée pour les crédentités 2FA et AD Emission possible d’une revendication « Strong
Authentication » selon implémentation Implémentation : Voir SDK AD FS 2.0
Illustration avec la solution Login People tout de suite après…
Authentification forte avec un FS-P AD FS 2.0
4ième approche : Fournisseur de jetons 2FA Redirection via la déclaration d’un fournisseur de jetons
(Claim Provider) au niveau AD FS 2.0 Le service 2FA prend en charge WS-Fed ou SAML-P
Redirection protocolaire au sens de la fédération d’identité Consommation du jeton émis par le service 2FA par AD FS
2.0 Présence d’une revendication (claim) « Authentification forte »
en fonction des possibilités du service 2FA
Illustration avec la solution In-Webo tout de suite après…
Authentification forte avec AD FS 2.0
Startup française basée à Sophia AntipolisL’ADN du Numérique® : technologie brevetéePoints clés du Digital DNA Server, serveur d’authentification forte
Zéro-Déploiement - vous possédez déjà les équipements d’authentification (PC, clé USB, téléphone mobile, …)
Simplicité - facilité d’utilisation, facile à administrer Multi-Supports - clients Web et clients riches Multi-Facteurs - 2FA et plus : combinaison sans limite Intégration dans le SI avec les annuaires d’entreprise Compatibilité avec de nombreux produits (accès VPN...) via RADIUS
Login People : « L’Authentification forte pour tous »
Réduction significative du TCO
Digital DNA Server, serveur d’authentification Fournit un STS (Service de jetons de sécurité) WS-Trust [Claims Provider] Synchronisation des utilisateurs depuis un Active Directory
Page de Login Spécifique, déployée sur AD FS 2.0 Approche 3 décrite précédemment Embarque la logique d’authentification ADN du Numérique Fait le lien entre AD FS et le STS du Digital DNA Server
AD FS 2.0 Transforme le jeton SAML générique fourni par le STS en jeton spécifique
pour les applications cibles
Active Directory Source authentique des profils utilisateurs Source principale d’information pour AD FS et pour le DDNA Server
Solution Login People : STS
DMZ
Intranet
Authentification avec un FS-P AD FS 2.0
… Application Cible
FS AD FS 2.0
FS-P AD FS 2.0AD
DS
Accès à l’application cible et redirection vers page d’authentification AD FS 2.0
Demande d’un challengeAuthentification : nom + mot de passe +
réponse au challenge basé sur l’ADNDigital DNA Server : Génération d’un
jeton SAML (#1) par le Digital DNA Server
AD FS 2.0: Traitement du jeton #1 et émission d’un jeton SAML #2 à destination de l’application ciblée
Accès à l’application cibleDigital DNA Server
v
Prérequis :• Synchronisation depuis
AD DS• Enrôlement des ADN
w
x
y
u
z
Authentification forte avec AD FS 2.0
AD FS 2.0 et l’ADN du Numérique®
Démonstration
Solutions sécurisées de connexion et d’accès, depuis 2008, acteur Français, pure-player, pour les Entreprises et les Fournisseurs de ServicesAuthentification multi-facteurs dématérialisée, multi-terminaux
OTP-Generator : application mobile locale (tous téléphones et smartphones du marché)
Connexion sécurisée depuis les navigateurs (IE, FF, Chrome, Safari) Connexion sécurisée depuis les applications (tablettes, smartphones,
ordinateurs, etc.)
API et « connecteurs » de sécurité Radius : contrôle d’accès périmétrique (par ex. VPN, reverse-proxy) Services Web : contrôle d’accès sur pages web (par ex. FS-P pour approches 2 et
3) SAML-P 2.0 (par ex. pour approche 4) Compatibilité complète Moyens d’authentification <-> Connecteurs
Outils de provisioning et d’administration, mise en œuvre immédiate
InWebo Technologies (http://inwebo.com)
Authentification forte avec AD FS 2.0
… Application Cible
DMZIntranet
FS AD FS 2.0
FS-P AD FS 2.0AD
DS
Identity ProviderInWebo (SAML)
1- Demande de connexion
2- Demande de jeton(redirection du
navigateur)
3- Demande de jeton(redirection du
navigateur)
4- Authentification
5- Connexion(redirection du
navigateur)
Fédération des applications avec l’AD FS 2.0Déclaration de l’IDP InWebo dans l’AD FS 2.0
Import du fichier de méta-data fourni dans la console InWebo
Configuration d’une règle dans l’AD FS 2.0 Mode d’invocation de l’IDP InWebo : systématique,
uniquement si utilisateur distant, etc. (exemples de règles fournis)
Création des crédentités dans l’IDP InWebo Palette d’outils fournis par InWebo : API de provisioning, outil
de synchronisation AD, console de gestion Pluralité de moyens d’authentification multi-facteurs
Mise en œuvre en « 4 clics »
Solution InWebo
Authentification forte avec AD FS 2.0
La fédération d’identité joue un rôle central dans l’informatique fédéréeAD FS 2.0 tire parti des investissements de l’entreprise dans AD DS pour mettre à disposition une solution interopérable de fournisseur d’identité/passerelle (protocolaire) de fédération(/fournisseur de service) Des solutions existent pour apporter une solution d’authentification forte souple pour la fédération d’identité et AD FS 2.0
En guise de conclusion
AD FS 2.0 http://www.microsoft.com/adfs AD FS 2.0 RTW
http://www.microsoft.com/download/en/details.aspx?id=10909
AD FS 2.0 Update Rollup 1 http://support.microsoft.com/kb/2607496
SDK AD FS 2.0 http://msdn.microsoft.com/en-us/library/ee895355.aspx
Carte du contenu AD FS 2.0 http://social.technet.microsoft.com/wiki/contents/articles/27
35.aspx
Pour aller au-delà
Sessions Microsoft TechDays 2011 http://www.microsoft.com/france/mstechdays/showcase/default.aspx Session ARC203 "Architecture des applications et des services fondés
sur la fédération d'identité et les revendications : une introduction" Session SEC2306 "Utiliser Active Directory Federation Services 2.0
pour une authentification unique interopérable entre organisations et dans le Cloud"
Identity Developer Training http://bit.ly/cWyWZ2
A Guide to Claims-based Identity And Access Control 2nd Edition
http://bit.ly/uHsywx
Pour aller au-delà
Spécifications OASIS OASIS SAML 2.0
http://www.oasis-open.org/standards#samlv2.0 OASIS WS-Trust 1.4
http://www.oasis-open.org/standards#wstrustv1.4 OASIS WS-Federation 1.2
http://www.oasis-open.org/standards#wsfedv1.2
Plus d’informations
Portail Microsoft France Interopérabilité http://www.microsoft.com/france/interop/ Portail US
http://www.microsoft.com/interop/
Portail Microsoft Spécifications Ouvertes http://www.microsoft.com/openspecifications
Portail Port 25 http://port25.technet.com/
Portail "Interop Vendor Alliance" http://interopvendoralliance.com/
Portail "Interoperability Bridges and Labs Center" http://www.interoperabilitybridges.com/
Weblog Interoperability@Microsoft http://blogs.msdn.com/b/interoperability/
Plus d’informations
Groupe "Forum des architectures applicatives Microsoft"
http://bit.ly/archiappms
Plus d’informations
Ce forum regroupe des architectes en informatique qui ont des choix de technologies à faire dans les projets pour lesquels ils travaillent. L’architecte applicatif, en situation de projet, travaille typiquement aux côtés de la direction de projet pour choisir et assumer des choix techniques en fonction des contraintes du projet (fonctionnalités, délais, ressources). Pour effectuer ces choix à bon escient, il doit connaître ce que le marché offre en termes de technologies. Cela peut prend typiquement deux formes : veille technologique continue, recherches dans le cadre du projet.
L’architecte applicatif a aussi pour rôle de faire le lien entre les équipes de développement et les équipes d’infrastructure et d’exploitation de la future application. Il doit également veiller à ce que ses choix soient bien mis en œuvre pendant le développement. Ce forum, à l’initiative de Microsoft France, a pour but d’aider les architectes applicatifs • A faciliter la connaissance de l’offre de Microsoft pour les projets en entreprise (envoi de liens vers des
présentations, documents, webcasts, conférences, etc.), mais également • A échanger sur des problématique d’architecture ayant un rapport, même partiel, avec la plateforme Microsoft
(est-ce que AD FS 2.0 fonctionne dans un environnement SAML-P 2.0, comment se passe la réversibilité d’une application développée pour le Cloud, quelles sont les implications d’un déploiement sur une ferme Web, etc.).
Cet espace est le vôtre, faites le vivre, nous sommes aussi et surtout là pour vous lire.
Microsoft France39, quai du président Roosevelt
92130 Issy-Les-Moulineaux
www.microsoft.com/france