Post on 27-Jun-2015
description
Drive your life.
Active Directory Federation Services
Matthias Gessenay Matthias.gessenay@corporatesoftware.ch
Agenda n Das Problem n ADFS: Die Lösung n Technischer Aufbau n Demo n Anwendungsbereiche
2
DAS PROBLEM
3
No Trust n Trusts sind relativ ungranular n Trusts sind Server- und nicht Servicebasiert n Trusts brauchen Poooorts n Trusts und Webservices sind nicht so smart
4
ACTIVE DIRECTORY FEDERATION SERVICES 2.0
Geneva Framework
5
ADFS n Gibt es seit Server 2003 n Hat mit dem Update auf 2.0 (2.1 in Server 2012) ein grosses Update
erfahren n Modelliert im Prinzip eine beliebige Datenbasis als Authentication
Provider n Stellt dies als Webservice bereit n Wir kennen es alle:
o Windows Live ID o Facebook o Usw.
6
ADFS – für den User die Claims-Based Identity n Analogie: Fliegen (mit Flugzeug)
o Check-In ist die Authentifizierung n Credentials werden gezeigt (Pass) n Und validiert
o Wir erhalten eine Bordkarte (Signed Claim) n Sitz usw. n Kodiert
7
n 2 Begriffe o Identität
n Attributset, das einen User beschreibt o Claim
n Eine Authorität die sagt, sie kennt das Attribut und den Wert n Beispiel: Alter
o Facebook sagt ich bin 25 o Das zentrale Melderegister sagt, ich bin 35
n Trust heisst, wem ich glaube n Daher ist eine Identität ein Set von Claims
8
Mehr als Federation n Früher war die Federation zwischen zwei Organisationen der Treiber n Heute hat sich gezeigt: Es ist viel nützlicher n Live ID, Facebook-ID J n Bring your own Identity
9
STS – Security Token Service n Ist ein Webservice, der Security Tokens ausstellt, die die Claims
befördern (die die Identität beschreiben)
10
RP-STS: Relying Party n Ist eine Applikation, die Claims braucht
o “Claims aware application”
11
Sign in, so läuft es
12
Externe Domäne n Mapping läuft auf Gruppen n Ich habe keine Kontrolle mehr über die Nutzer n Wichtiger: Ich kann die Userbase nicht mehr durchsuchen n Ich kann die RPs gut kontrollieren n Div. Verbindungen sind möglich
13
Frisch von der TechEd: Kerberos Changes in Windows Server 2012 n There are a number of other changes to Kerberos to enhance day to day
operations o Increase to the maximum Kerberos SSPI context buffer size o PAC (Privilege account certificate) group compression o Warning events for large token sizes o Increased logging
n Hot topics for me are claims support and delegation
Adding Claims to the Kerberos Token
PAC
User’s group memberships added to PAC Authorization based on group membership
User Groups
Claims
Device Groups
Claims
Compound ID
PAC contains a user’s group and claims
information +
Device information
Authorization based on group membership, user and device claims
TECHNISCHER HINTERGRUND
16
SAML n Security Assertion Markup Language (2.0) n Kann semantisch uneingeschränkte Angaben über einen Benutzer
enthalten n Microsoft hat es standardkonform implementiert
17
Der Identity Transformer n ADFS sind auch ein Identity Transformer n Claims prinzipiell “übersetzbar” in X.509 und Kerberos n 1. Frage: Stammt Claim aus vertrauenswürdiger Source n 2. Frage: Passt das Format n 3. Frage: Übersetzung in das Anwendungsformat
n Output wäre als Kerberos, aber auch als X.509 denkbar. n Mit Regeln kann ich Übersetzungen bauen
o Manager sind bei mir Supervisor
18
BUSINESS VALUE
19
Das ist die Zukunft! n Man kann die Bedeutung von ADFS kaum überschätzen n Wenn ich nur den Claim Farbe brauche, fordere ich auch nur den an:
Attribut-Diät n Servicegedanke statt Servergedanke n Heute gibt es viele Identitäten, Konvertierbarkeit ist wichtig n ADFS ist das ADDS von morgen n Standardkonform
20
DEMO
21
FRAGEN?
22