Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Federated Identities und SSO mit Windows Azure

Veröffentlicht von:Magdalene Bornhoft Geändert vor über 10 Jahren

Ähnliche Präsentationen

Präsentation zum Thema: "Federated Identities und SSO mit Windows Azure"—  Präsentation transkript:

1 Federated Identities und SSO mit Windows Azure
Tom Hofmann Cambridge Technology Partners

2 Tom Hofmann / Senior Consultant
Identity and Access Managment Identity Federation and SSO Cloud Security Public Key Infrastructure Mobile Device Management / BYOD

3 Ein Überblick Identity Federation Federation & Azure Use Cases

4 Ein Überblick

5 Wo stehen wir heute? Einmaliges anmelden SingleSignOn durch Kerberos
Authorisierung via AD Gruppen Lokales Identity and Access Management

6 Neue Anforderungen Cloud Services Mobile Devices
Wachsende Zusammenarbeit (Identity Federation) Mobilität und Vernetzung

7 und neue Herausforderungen
User und Account Management (3rd Parties in meinem AD?) Umgang mit mobilen Endgeräten Sicherheit wo liegen meine Userinformationen? welche Passwordrichtlinien gelten? Auditing? Logging? Integration der Cloud Dienste SingleSignOn, unabhängig von Gerät, Dienst und Lokation Öffnung hin zu sozialen Diensten (Facebook, Yahoo, Google, etc.)

8 benötigen neue Lösungen
Cambridge Technology Partners entwickelt eine Testplatform in der Cloud, solutions-for-clouds.ch 100% Cloud basierend (IaaS, PaaS, SaaS) Integration unterschiedlichster Cloud Dienste Unterstützung neuer form factor devices (Smartphones, Tablets)

9 solutions-for-clouds.ch Implementation einer virtualisierten Firmeninfrastruktur mit Windows Azure IaaS AD FS als Cloud Service mit Windows Azure PaaS Integration der UC Struktur via Office 365 SaaS Vollständige DNS Integration Erweiterung durch 3rd Party SaaS Angebote Mobile Device Unterstützung

10 Architekturübersicht
Microsoft Azure Azure Access Control Service IaaS Virtual Network Active Directory DS Public Key Infrastructure DirSync SharePoint 2013 Foundation Office365 SAP Salesforce.com Trust Trust PaaS AD FS Server 2012 AD FS Server 2012R2 Virtual Loadbalancer Trust

11 Azure Überblick Hands on

12 Ein Einstieg Identity Federation

13 Was ist Identity Federation
1 digitale Identität für beliebig viele Anwendungen Unabhängig davon wo bzw. durch wen die Anwendung betrieben wird. SingleSignOn Funktionalität Einbindung der Identitäten von Partnern und Kunden Einbindung sozialer Identitäten (Facebook, Google, etc.) Nutzung unterschiedlicher Protokolle (SAML, WS-*, OpenID)

14 Wie funktioniert Federation?
User App (Reliying Party) Federation Service AD 1 Access request 3 Redirect user to federation service 2 Unauthenticated user 4 Get federation login page 5 Present user forms based login 6 Send user credentials 7 Verify credentials 9 Build claim and send it to user 8 Send user information 10 Send token to relaying party 12 Grant access to user 11 Verify token

15 Ein Beispiel Authentifizierungsflow zwischen Client, Federation Service und SharePoint Ausgestelltes SAML Token mit UPN, adress und role claims

16 Features durch Identity Federation
Trennung Applikation und Authentisierung Standortunabhängig (on-premise, cloud, partner) Anwendungsspezifische Informationen (Claims) Flexibilität innerhalb der Claims (AD, SQL, Custom Store) Unabhängig vom Identity Provider (AD, Facebook, Google) Credentials werden nicht exponiert, sondern bleiben innerhalb der Firma Keine 3rd Party Software benötigt Device unabhänig (Laptops, Tablets, Mobiles)

17 Der Federation Service mit solutions-for-clouds.ch
Federation & Azure

18 Federation Service & Azure
Federation Service werden über eine URL eindeutig identifizierbar (login.sts.solutions-for-clouds.ch) CNAME der Firmendomain enthält pointer auf den Azure Cloud Service (-> solutions-sts.cloudapp.net) 2 unabhängige AD FS Server mit lokaler Datenbank (1x Server 2012, 1x Server 2012R2 Preview) Beide Server werden durch den Azure eigenen Load Balancer verwaltet

19 Die Vorteile... Eine Federation URL, ein Cloud Service, many servers
Extrem hohe Verfügbarkeit Flexibilität (einfacher Ausbau der Farm) Skalierbarkeit (Scale by metric, scale by schedule) Easy to use Pre-Production Umgebung Einbindung weiterer PaaS Dienste (SQL Server) PowerShell management (config, backup, restore) Lokale Integration mit Hybrid Cloud Szenarien

20 Federation as Cloud Service
Hands on

21 Use Cases

22 Federation mit “traditionellen” Geräten
FedAuth Zugriff auf eine lokale SharePoint app Initialer request Redirect an den Federation Service Verifizierung der Credentials und Erstellung des Tokens Token wird an den SharePoint internen STS übergeben Der STS erstellt das FedAuth Cookie und leitet den Browser auf die ursprünglich angeforderte Seite Active Directory Portal App SharePoint STS Verify Credentials and gather information ADFS ADFS SharePoint 2013 Foundation Virtual Loadbalancer Return SAML token Redirect for authentication Initial Request

23 Federation SSO mit SaaS Applikationen
SingleSignOn über mehrere Anwendung und Provider hinweg Initialer request Redirect an den Federation Service, zusammen mit den MSISAuth und MSISAuthenticated Cookies zur Validierung ADFS prüft die Gültigkeit der Session und den Identifier der anfragenden Applikation (wtrealm) Anhand der Claim Rules wird das neue, anwendungsspezifische Token erstellt Der Client schickt das Token an die Applikation und erhält Zugriff Active Directory Office365 SAP Salesforce Retrieve app specific informations ADFS ADFS Session validation Virtual Loadbalancer Return SAML token Provide cookies Initial Request

24 Federation mit Social IdPs
Redirect user to Google login page FedAuth Zugriff auf die SP Portal app wird über den lokalen ADFS gesteuert: Initialer request Redirect an den Federation Service User wählt «Social IdPs» auf der HomeRealmDiscovery Seite des ADFS Redirect auf die HomeRealmDiscovery Seite des Windows Azure Access Control Service User wählt Google als IdP Login mit Google Credentials Google erstellt ein OpenID Token, welches an Azure ACS zurückgeliefert wird Azure ACS erhält das OpenID Token, evaluiert mögliche Claim Rules und erstellt ein neues SAML Token an den ADFS Server Das ADFS Token wird an den SharePoint internen STS übergeben Der STS erstellt das FedAuth Cookie und leitet den Browser auf die ursprünglich angeforderte Seite OpenID token Portal App SharePoint STS Access Control Service SharePoint 2013 Foundation ACS SAML token ADFS Redirect user to ACS HomeRealmDiscovery ADFS SAML token Redirect for authentication Initial Request

25 Federation mit mobile devices
FedAuth Zugriff auf Applikationen via Federation über mobile devices (WLAN, 4G, 3G, etc.) Initialer request durch Browser app Redirect an den Federation Service Verifizierung der Credentials und Erstellung des Tokens Token wird an den SharePoint internen STS übergeben Der STS erstellt das FedAuth Cookie und leitet den Browser auf die ursprünglich angeforderte Seite SSO Funktionalität ist ebenfalls gegeben Active Directory Portal App SharePoint STS Verify Credentials and gather information ADFS ADFS SharePoint 2013 Foundation Virtual Loadbalancer Return SAML token Redirect for authentication Initial Request

26 Federation mit mobile apps
Zugriff auf Applikationen via native mobile apps. Office365 mit OWA und SkyDrivePro for iOS. App prüft beim start cached credentials Redirect an den Federation Service zur Authentifizierung Verifizierung der Credentials und Erstellung des Tokens Zustellung des Tokens an die App Überprüfen des Tokens und Zugriffsvalidierung Ablage der Zugangsinformationen im lokalen App Cache für SingleSignOn Active Directory Verify Credentials and gather information ADFS ADFS Virtual Loadbalancer Return SAML token Send token Redirect for authentication

27 Zusammenfassung Heutige Anforderungen und Herausforderungen durch die Cloud Ein Einblick, was ist Federation Welche Möglichkeiten bieten sich für solche Dienste in Verbindung mit Windows Azure Integration von mobilen Endgeräten Einbindung sozialer Identitäten

28 Q & A

29 Vielen Dank für Ihr Interesse

30 Für Fragen und weitere Informationen
3/28/2017 1:50 PM Für Fragen und weitere Informationen vCard © 2010 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

31

Herunterladen ppt "Federated Identities und SSO mit Windows Azure"

Ähnliche Präsentationen

Be.as WEB Technologie 25.03.2017.

Be.as WEB Technologie
Was gibt´s neues im Bereich Sicherheit

Was gibt´s neues im Bereich Sicherheit
Sichere Anbindung kleiner Netze ans Internet

Sichere Anbindung kleiner Netze ans Internet
Zusammenarbeit in Office mit den SharePoint Technologien Michael Carpi

Zusammenarbeit in Office mit den SharePoint Technologien Michael Carpi
Einführung in den Identity Provider

Einführung in den Identity Provider
Erweiterung B2B Usermanagement / LDAP-Anbindung

Erweiterung B2B Usermanagement / LDAP-Anbindung
Sicherheit und Personalisierung Internet Portal der Universität München.

Sicherheit und Personalisierung Internet Portal der Universität München.
Information und Technik Nordrhein-Westfalen Single Sign On mit CAS Düsseldorf, 30.10.2009 1 Single Sign On für Webanwendungen am Beispiel von CAS.

Information und Technik Nordrhein-Westfalen Single Sign On mit CAS Düsseldorf, Single Sign On für Webanwendungen am Beispiel von CAS.
Virtual Private Networks

Virtual Private Networks
Microsoft Project 2013 & Project Server 2013

Microsoft Project 2013 & Project Server 2013
Das neue Office-Geschäftsmodell

Das neue Office-Geschäftsmodell
Web Single Sign-On Nutzen eines optimalen Zusammenspiels von Authentisierung und WAF Marc Bütikofer Senior Security Engineer Kryptologie & Security.

Web Single Sign-On Nutzen eines optimalen Zusammenspiels von Authentisierung und WAF Marc Bütikofer Senior Security Engineer Kryptologie & Security.
Sichere Authentifizierung SSO, Password Management, Biometrie

Sichere Authentifizierung SSO, Password Management, Biometrie
Trusted SaaS im Handwerk: flexibel – integriert – kooperativ Single Sign-On in der Cloud am Beispiel des CLOUDwerker-Projektes Kloster Banz, 09.09.2013,

Trusted SaaS im Handwerk: flexibel – integriert – kooperativ Single Sign-On in der Cloud am Beispiel des CLOUDwerker-Projektes Kloster Banz, ,
Sharepoint Workshop Markus Wehr

Sharepoint Workshop Markus Wehr
GRAU DataSpace 2.0 – DIE SICHERE KOMMUNIKATIONS- PLATTFORM FÜR UNTERNEHMEN UND ORGANISATIONEN YOUR DATA. YOUR CONTROL.

GRAU DataSpace 2.0 – DIE SICHERE KOMMUNIKATIONS- PLATTFORM FÜR UNTERNEHMEN UND ORGANISATIONEN YOUR DATA. YOUR CONTROL.
HOB RD VPN HOB Remote Desktop Virtual Private Network

HOB RD VPN HOB Remote Desktop Virtual Private Network
MDM Systeme im Test Udo Bredemeier

MDM Systeme im Test Udo Bredemeier
IT_FULL SERVICE CENTER

IT_FULL SERVICE CENTER
Cloudlösungen für den Mittelstand –

Cloudlösungen für den Mittelstand –

Ähnliche Präsentationen

Google-Anzeigen