| Basel Federated Identities und SSO mit Windows Azure Tom Hofmann Cambridge Technology Partners.
-
Upload
magdalene-bornhoft -
Category
Documents
-
view
102 -
download
0
Transcript of | Basel Federated Identities und SSO mit Windows Azure Tom Hofmann Cambridge Technology Partners.
![Page 1: | Basel Federated Identities und SSO mit Windows Azure Tom Hofmann Cambridge Technology Partners.](https://reader036.fdocuments.in/reader036/viewer/2022070310/55204d7049795902118c2794/html5/thumbnails/1.jpg)
| Basel
Federated Identities und SSO mit Windows Azure
Tom HofmannCambridge Technology Partners
![Page 2: | Basel Federated Identities und SSO mit Windows Azure Tom Hofmann Cambridge Technology Partners.](https://reader036.fdocuments.in/reader036/viewer/2022070310/55204d7049795902118c2794/html5/thumbnails/2.jpg)
Tom Hofmann / Senior Consultant
Identity and Access ManagmentIdentity Federation and SSOCloud SecurityPublic Key InfrastructureMobile Device Management / BYOD
![Page 3: | Basel Federated Identities und SSO mit Windows Azure Tom Hofmann Cambridge Technology Partners.](https://reader036.fdocuments.in/reader036/viewer/2022070310/55204d7049795902118c2794/html5/thumbnails/3.jpg)
Agenda
Ein Überblick
Identity Federation
Federation & Azure
Use Cases
![Page 4: | Basel Federated Identities und SSO mit Windows Azure Tom Hofmann Cambridge Technology Partners.](https://reader036.fdocuments.in/reader036/viewer/2022070310/55204d7049795902118c2794/html5/thumbnails/4.jpg)
| Basel
Ein Überblick
![Page 5: | Basel Federated Identities und SSO mit Windows Azure Tom Hofmann Cambridge Technology Partners.](https://reader036.fdocuments.in/reader036/viewer/2022070310/55204d7049795902118c2794/html5/thumbnails/5.jpg)
Wo stehen wir heute?
o Einmaliges anmelden
o SingleSignOn durch Kerberos
o Authorisierung via AD Gruppen
o Lokales Identity and Access Management
![Page 6: | Basel Federated Identities und SSO mit Windows Azure Tom Hofmann Cambridge Technology Partners.](https://reader036.fdocuments.in/reader036/viewer/2022070310/55204d7049795902118c2794/html5/thumbnails/6.jpg)
Neue Anforderungen
o Cloud Services
o Mobile Devices
o Wachsende Zusammenarbeit(Identity Federation)
o Mobilität und Vernetzung
![Page 7: | Basel Federated Identities und SSO mit Windows Azure Tom Hofmann Cambridge Technology Partners.](https://reader036.fdocuments.in/reader036/viewer/2022070310/55204d7049795902118c2794/html5/thumbnails/7.jpg)
und neue Herausforderungen
o User und Account Management (3rd Parties in meinem AD?)
o Umgang mit mobilen Endgeräteno Sicherheit
wo liegen meine Userinformationen? welche Passwordrichtlinien gelten? Auditing? Logging?
o Integration der Cloud Diensteo SingleSignOn, unabhängig von Gerät, Dienst und
Lokationo Öffnung hin zu sozialen Diensten (Facebook,
Yahoo, Google, etc.)
![Page 8: | Basel Federated Identities und SSO mit Windows Azure Tom Hofmann Cambridge Technology Partners.](https://reader036.fdocuments.in/reader036/viewer/2022070310/55204d7049795902118c2794/html5/thumbnails/8.jpg)
benötigen neue Lösungen
o Cambridge Technology Partners entwickelt eine Testplatform in der Cloud, solutions-for-clouds.ch
o 100% Cloud basierend (IaaS, PaaS, SaaS)o Integration unterschiedlichster Cloud Diensteo Unterstützung neuer form factor devices
(Smartphones, Tablets)
![Page 9: | Basel Federated Identities und SSO mit Windows Azure Tom Hofmann Cambridge Technology Partners.](https://reader036.fdocuments.in/reader036/viewer/2022070310/55204d7049795902118c2794/html5/thumbnails/9.jpg)
solutions-for-clouds.ch
o Implementation einer virtualisierten Firmeninfrastruktur mit Windows Azure IaaS
o AD FS als Cloud Service mit Windows Azure PaaS
o Integration der UC Struktur via Office 365 SaaSo Vollständige DNS Integrationo Erweiterung durch 3rd Party SaaS Angeboteo Mobile Device Unterstützung
![Page 10: | Basel Federated Identities und SSO mit Windows Azure Tom Hofmann Cambridge Technology Partners.](https://reader036.fdocuments.in/reader036/viewer/2022070310/55204d7049795902118c2794/html5/thumbnails/10.jpg)
Active Directory DSPublic Key Infrastructure
SharePoint 2013Foundation
AD FSServer 2012
AD FSServer 2012R2
Virtual Network
Virtual Loadbalancer
DirSync
Microsoft Azure
Office365
Architekturübersicht
Trust
Trust
Salesforce.com
SAP
Trust
![Page 11: | Basel Federated Identities und SSO mit Windows Azure Tom Hofmann Cambridge Technology Partners.](https://reader036.fdocuments.in/reader036/viewer/2022070310/55204d7049795902118c2794/html5/thumbnails/11.jpg)
Azure ÜberblickHands on
![Page 12: | Basel Federated Identities und SSO mit Windows Azure Tom Hofmann Cambridge Technology Partners.](https://reader036.fdocuments.in/reader036/viewer/2022070310/55204d7049795902118c2794/html5/thumbnails/12.jpg)
| Basel
Identity Federation
Ein Einstieg
![Page 13: | Basel Federated Identities und SSO mit Windows Azure Tom Hofmann Cambridge Technology Partners.](https://reader036.fdocuments.in/reader036/viewer/2022070310/55204d7049795902118c2794/html5/thumbnails/13.jpg)
Was ist Identity Federation
o 1 digitale Identität für beliebig viele Anwendungeno Unabhängig davon wo bzw. durch wen die Anwendung
betrieben wird.o SingleSignOn Funktionalitäto Einbindung der Identitäten von Partnern und Kundeno Einbindung sozialer Identitäten (Facebook, Google,
etc.)o Nutzung unterschiedlicher Protokolle (SAML, WS-*,
OpenID)
![Page 14: | Basel Federated Identities und SSO mit Windows Azure Tom Hofmann Cambridge Technology Partners.](https://reader036.fdocuments.in/reader036/viewer/2022070310/55204d7049795902118c2794/html5/thumbnails/14.jpg)
Wie funktioniert Federation?
User App (Reliying Party) Federation Service AD
1 Access request
2 Unauthenticated user3 Redirect user to federation service
4 Get federation login page
5 Present user forms based login
6 Send user credentials 7 Verify credentials
8 Send user information9 Build claim and send it to user
10 Send token to relaying party
11 Verify token12 Grant access to user
![Page 15: | Basel Federated Identities und SSO mit Windows Azure Tom Hofmann Cambridge Technology Partners.](https://reader036.fdocuments.in/reader036/viewer/2022070310/55204d7049795902118c2794/html5/thumbnails/15.jpg)
Ein BeispielAuthentifizierungsflow zwischenClient, Federation Service und SharePoint
Ausgestelltes SAML Tokenmit UPN, emailadress und role claims
![Page 16: | Basel Federated Identities und SSO mit Windows Azure Tom Hofmann Cambridge Technology Partners.](https://reader036.fdocuments.in/reader036/viewer/2022070310/55204d7049795902118c2794/html5/thumbnails/16.jpg)
Features durch Identity Federationo Trennung Applikation und Authentisierungo Standortunabhängig (on-premise, cloud, partner)o Anwendungsspezifische Informationen (Claims)
o Flexibilität innerhalb der Claims (AD, SQL, Custom Store)
o Unabhängig vom Identity Provider (AD, Facebook, Google)
o Credentials werden nicht exponiert, sondern bleiben innerhalb der Firma
o Keine 3rd Party Software benötigto Device unabhänig (Laptops, Tablets, Mobiles)
![Page 17: | Basel Federated Identities und SSO mit Windows Azure Tom Hofmann Cambridge Technology Partners.](https://reader036.fdocuments.in/reader036/viewer/2022070310/55204d7049795902118c2794/html5/thumbnails/17.jpg)
| Basel
Federation & Azure
Der Federation Service mit solutions-for-clouds.ch
![Page 18: | Basel Federated Identities und SSO mit Windows Azure Tom Hofmann Cambridge Technology Partners.](https://reader036.fdocuments.in/reader036/viewer/2022070310/55204d7049795902118c2794/html5/thumbnails/18.jpg)
Federation Service & Azureo Federation Service werden über
eine URL eindeutig identifizierbar (login.sts.solutions-for-clouds.ch)
o CNAME der Firmendomain enthält pointer auf den Azure Cloud Service (-> solutions-sts.cloudapp.net)
o 2 unabhängige AD FS Server mit lokaler Datenbank (1x Server 2012, 1x Server 2012R2 Preview)
o Beide Server werden durch den Azure eigenen Load Balancer verwaltet
Click icon to add pictureClick icon to add picture
Click icon to add pictureClick icon to add picture
![Page 19: | Basel Federated Identities und SSO mit Windows Azure Tom Hofmann Cambridge Technology Partners.](https://reader036.fdocuments.in/reader036/viewer/2022070310/55204d7049795902118c2794/html5/thumbnails/19.jpg)
Die Vorteile...
o Eine Federation URL, ein Cloud Service, many servers
o Extrem hohe Verfügbarkeito Flexibilität (einfacher Ausbau der Farm)o Skalierbarkeit (Scale by metric, scale by schedule)o Easy to use Pre-Production Umgebungo Einbindung weiterer PaaS Dienste (SQL Server)o PowerShell management (config, backup, restore)o Lokale Integration mit Hybrid Cloud Szenarien
![Page 20: | Basel Federated Identities und SSO mit Windows Azure Tom Hofmann Cambridge Technology Partners.](https://reader036.fdocuments.in/reader036/viewer/2022070310/55204d7049795902118c2794/html5/thumbnails/20.jpg)
Federation as Cloud ServiceHands on
![Page 21: | Basel Federated Identities und SSO mit Windows Azure Tom Hofmann Cambridge Technology Partners.](https://reader036.fdocuments.in/reader036/viewer/2022070310/55204d7049795902118c2794/html5/thumbnails/21.jpg)
| Basel
Use Cases
![Page 22: | Basel Federated Identities und SSO mit Windows Azure Tom Hofmann Cambridge Technology Partners.](https://reader036.fdocuments.in/reader036/viewer/2022070310/55204d7049795902118c2794/html5/thumbnails/22.jpg)
Federation mit “traditionellen” Geräten
Active Directory
SharePoint 2013Foundation
Virtual Loadbalancer
ADFS ADFS
Portal AppSharePoint
STS
FedAuth
Return SAML token
Redirect for authentication Initial Request
Verify Credentials and gather information
Zugriff auf eine lokale SharePoint app
o Initialer requesto Redirect an den Federation Serviceo Verifizierung der Credentials und
Erstellung des Tokenso Token wird an den SharePoint internen
STS übergebeno Der STS erstellt das FedAuth Cookie und
leitet den Browser auf die ursprünglich angeforderte Seite
![Page 23: | Basel Federated Identities und SSO mit Windows Azure Tom Hofmann Cambridge Technology Partners.](https://reader036.fdocuments.in/reader036/viewer/2022070310/55204d7049795902118c2794/html5/thumbnails/23.jpg)
Federation SSO mit SaaS Applikationen
Active Directory
Virtual Loadbalancer
ADFS ADFS
Return SAML token
Provide cookies Initial Request
Session validation
SingleSignOn über mehrere Anwendung und Provider hinweg
o Initialer requesto Redirect an den Federation Service,
zusammen mit den MSISAuth und MSISAuthenticated Cookies zur Validierung
o ADFS prüft die Gültigkeit der Session und den Identifier der anfragenden Applikation (wtrealm)
o Anhand der Claim Rules wird das neue, anwendungsspezifische Token erstellt
o Der Client schickt das Token an die Applikation und erhält Zugriff
Office365Retrieve app specific informations
SAP Salesforce
![Page 24: | Basel Federated Identities und SSO mit Windows Azure Tom Hofmann Cambridge Technology Partners.](https://reader036.fdocuments.in/reader036/viewer/2022070310/55204d7049795902118c2794/html5/thumbnails/24.jpg)
Federation mit Social IdPs
SharePoint 2013Foundation
ADFS
Portal AppSharePoint
STS
FedAuth
ADFS SAML token
Redirect for authentication Initial Request
Zugriff auf die SP Portal app wird über den lokalen ADFS gesteuert:
o Initialer requesto Redirect an den Federation Serviceo User wählt «Social IdPs» auf der HomeRealmDiscovery
Seite des ADFSo Redirect auf die HomeRealmDiscovery Seite des
Windows Azure Access Control Serviceo User wählt Google als IdPo Login mit Google Credentialso Google erstellt ein OpenID Token, welches an Azure
ACS zurückgeliefert wird
o Azure ACS erhält das OpenID Token, evaluiert mögliche Claim Rules und erstellt ein neues SAML Token an den ADFS Server
o Das ADFS Token wird an den SharePoint internen STS übergeben
o Der STS erstellt das FedAuth Cookie und leitet den Browser auf die ursprünglich angeforderte Seite
Access Control Service
Redirect user to ACSHomeRealmDiscovery
Redirect user to Google login page
OpenID token
ACS SAML token
![Page 25: | Basel Federated Identities und SSO mit Windows Azure Tom Hofmann Cambridge Technology Partners.](https://reader036.fdocuments.in/reader036/viewer/2022070310/55204d7049795902118c2794/html5/thumbnails/25.jpg)
Federation mit mobile devices
Active Directory
SharePoint 2013Foundation
Virtual Loadbalancer
ADFS ADFS
Portal AppSharePoint
STS
FedAuth
Return SAML token
Redirect for authentication Initial Request
Verify Credentials and gather information
Zugriff auf Applikationen via Federation über mobile devices (WLAN, 4G, 3G, etc.)
o Initialer request durch Browser appo Redirect an den Federation Serviceo Verifizierung der Credentials und
Erstellung des Tokenso Token wird an den SharePoint internen
STS übergebeno Der STS erstellt das FedAuth Cookie und
leitet den Browser auf die ursprünglich angeforderte Seite
o SSO Funktionalität ist ebenfalls gegeben
![Page 26: | Basel Federated Identities und SSO mit Windows Azure Tom Hofmann Cambridge Technology Partners.](https://reader036.fdocuments.in/reader036/viewer/2022070310/55204d7049795902118c2794/html5/thumbnails/26.jpg)
Federation mit mobile apps
Active Directory
Virtual Loadbalancer
ADFS ADFS
Return SAML token
Redirect for authentication
Verify Credentials and gather information
Zugriff auf Applikationen via native mobile apps.Office365 mit OWA und SkyDrivePro for iOS.
o App prüft beim start cached credentialso Redirect an den Federation Service zur
Authentifizierungo Verifizierung der Credentials und
Erstellung des Tokenso Zustellung des Tokens an die Appo Überprüfen des Tokens und
Zugriffsvalidierungo Ablage der Zugangsinformationen im
lokalen App Cache für SingleSignOn
Send token
![Page 27: | Basel Federated Identities und SSO mit Windows Azure Tom Hofmann Cambridge Technology Partners.](https://reader036.fdocuments.in/reader036/viewer/2022070310/55204d7049795902118c2794/html5/thumbnails/27.jpg)
Zusammenfassung
o Heutige Anforderungen und Herausforderungen durch die
Cloud
o Ein Einblick, was ist Federation
o Welche Möglichkeiten bieten sich für solche Dienste in
Verbindung mit Windows Azure
o Integration von mobilen Endgeräten
o Einbindung sozialer Identitäten
![Page 28: | Basel Federated Identities und SSO mit Windows Azure Tom Hofmann Cambridge Technology Partners.](https://reader036.fdocuments.in/reader036/viewer/2022070310/55204d7049795902118c2794/html5/thumbnails/28.jpg)
Q & A
![Page 29: | Basel Federated Identities und SSO mit Windows Azure Tom Hofmann Cambridge Technology Partners.](https://reader036.fdocuments.in/reader036/viewer/2022070310/55204d7049795902118c2794/html5/thumbnails/29.jpg)
Vielen Dank für Ihr Interesse
![Page 31: | Basel Federated Identities und SSO mit Windows Azure Tom Hofmann Cambridge Technology Partners.](https://reader036.fdocuments.in/reader036/viewer/2022070310/55204d7049795902118c2794/html5/thumbnails/31.jpg)
© 2012 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a
commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.