Präsentation herunterladen
Die Präsentation wird geladen. Bitte warten
Veröffentlicht von:Magdalene Bornhoft Geändert vor über 10 Jahren
1
Federated Identities und SSO mit Windows Azure
Tom Hofmann Cambridge Technology Partners
2
Tom Hofmann / Senior Consultant
Identity and Access Managment Identity Federation and SSO Cloud Security Public Key Infrastructure Mobile Device Management / BYOD
3
Ein Überblick Identity Federation Federation & Azure Use Cases
4
Ein Überblick
5
Wo stehen wir heute? Einmaliges anmelden SingleSignOn durch Kerberos
Authorisierung via AD Gruppen Lokales Identity and Access Management
6
Neue Anforderungen Cloud Services Mobile Devices
Wachsende Zusammenarbeit (Identity Federation) Mobilität und Vernetzung
7
und neue Herausforderungen
User und Account Management (3rd Parties in meinem AD?) Umgang mit mobilen Endgeräten Sicherheit wo liegen meine Userinformationen? welche Passwordrichtlinien gelten? Auditing? Logging? Integration der Cloud Dienste SingleSignOn, unabhängig von Gerät, Dienst und Lokation Öffnung hin zu sozialen Diensten (Facebook, Yahoo, Google, etc.)
8
benötigen neue Lösungen
Cambridge Technology Partners entwickelt eine Testplatform in der Cloud, solutions-for-clouds.ch 100% Cloud basierend (IaaS, PaaS, SaaS) Integration unterschiedlichster Cloud Dienste Unterstützung neuer form factor devices (Smartphones, Tablets)
9
solutions-for-clouds.ch Implementation einer virtualisierten Firmeninfrastruktur mit Windows Azure IaaS AD FS als Cloud Service mit Windows Azure PaaS Integration der UC Struktur via Office 365 SaaS Vollständige DNS Integration Erweiterung durch 3rd Party SaaS Angebote Mobile Device Unterstützung
10
Architekturübersicht
Microsoft Azure Azure Access Control Service IaaS Virtual Network Active Directory DS Public Key Infrastructure DirSync SharePoint 2013 Foundation Office365 SAP Salesforce.com Trust Trust PaaS AD FS Server 2012 AD FS Server 2012R2 Virtual Loadbalancer Trust
11
Azure Überblick Hands on
12
Ein Einstieg Identity Federation
13
Was ist Identity Federation
1 digitale Identität für beliebig viele Anwendungen Unabhängig davon wo bzw. durch wen die Anwendung betrieben wird. SingleSignOn Funktionalität Einbindung der Identitäten von Partnern und Kunden Einbindung sozialer Identitäten (Facebook, Google, etc.) Nutzung unterschiedlicher Protokolle (SAML, WS-*, OpenID)
14
Wie funktioniert Federation?
User App (Reliying Party) Federation Service AD 1 Access request 3 Redirect user to federation service 2 Unauthenticated user 4 Get federation login page 5 Present user forms based login 6 Send user credentials 7 Verify credentials 9 Build claim and send it to user 8 Send user information 10 Send token to relaying party 12 Grant access to user 11 Verify token
15
Ein Beispiel Authentifizierungsflow zwischen Client, Federation Service und SharePoint Ausgestelltes SAML Token mit UPN, adress und role claims
16
Features durch Identity Federation
Trennung Applikation und Authentisierung Standortunabhängig (on-premise, cloud, partner) Anwendungsspezifische Informationen (Claims) Flexibilität innerhalb der Claims (AD, SQL, Custom Store) Unabhängig vom Identity Provider (AD, Facebook, Google) Credentials werden nicht exponiert, sondern bleiben innerhalb der Firma Keine 3rd Party Software benötigt Device unabhänig (Laptops, Tablets, Mobiles)
17
Der Federation Service mit solutions-for-clouds.ch
Federation & Azure
18
Federation Service & Azure
Federation Service werden über eine URL eindeutig identifizierbar (login.sts.solutions-for-clouds.ch) CNAME der Firmendomain enthält pointer auf den Azure Cloud Service (-> solutions-sts.cloudapp.net) 2 unabhängige AD FS Server mit lokaler Datenbank (1x Server 2012, 1x Server 2012R2 Preview) Beide Server werden durch den Azure eigenen Load Balancer verwaltet
19
Die Vorteile... Eine Federation URL, ein Cloud Service, many servers
Extrem hohe Verfügbarkeit Flexibilität (einfacher Ausbau der Farm) Skalierbarkeit (Scale by metric, scale by schedule) Easy to use Pre-Production Umgebung Einbindung weiterer PaaS Dienste (SQL Server) PowerShell management (config, backup, restore) Lokale Integration mit Hybrid Cloud Szenarien
20
Federation as Cloud Service
Hands on
21
Use Cases
22
Federation mit “traditionellen” Geräten
FedAuth Zugriff auf eine lokale SharePoint app Initialer request Redirect an den Federation Service Verifizierung der Credentials und Erstellung des Tokens Token wird an den SharePoint internen STS übergeben Der STS erstellt das FedAuth Cookie und leitet den Browser auf die ursprünglich angeforderte Seite Active Directory Portal App SharePoint STS Verify Credentials and gather information ADFS ADFS SharePoint 2013 Foundation Virtual Loadbalancer Return SAML token Redirect for authentication Initial Request
23
Federation SSO mit SaaS Applikationen
SingleSignOn über mehrere Anwendung und Provider hinweg Initialer request Redirect an den Federation Service, zusammen mit den MSISAuth und MSISAuthenticated Cookies zur Validierung ADFS prüft die Gültigkeit der Session und den Identifier der anfragenden Applikation (wtrealm) Anhand der Claim Rules wird das neue, anwendungsspezifische Token erstellt Der Client schickt das Token an die Applikation und erhält Zugriff Active Directory Office365 SAP Salesforce Retrieve app specific informations ADFS ADFS Session validation Virtual Loadbalancer Return SAML token Provide cookies Initial Request
24
Federation mit Social IdPs
Redirect user to Google login page FedAuth Zugriff auf die SP Portal app wird über den lokalen ADFS gesteuert: Initialer request Redirect an den Federation Service User wählt «Social IdPs» auf der HomeRealmDiscovery Seite des ADFS Redirect auf die HomeRealmDiscovery Seite des Windows Azure Access Control Service User wählt Google als IdP Login mit Google Credentials Google erstellt ein OpenID Token, welches an Azure ACS zurückgeliefert wird Azure ACS erhält das OpenID Token, evaluiert mögliche Claim Rules und erstellt ein neues SAML Token an den ADFS Server Das ADFS Token wird an den SharePoint internen STS übergeben Der STS erstellt das FedAuth Cookie und leitet den Browser auf die ursprünglich angeforderte Seite OpenID token Portal App SharePoint STS Access Control Service SharePoint 2013 Foundation ACS SAML token ADFS Redirect user to ACS HomeRealmDiscovery ADFS SAML token Redirect for authentication Initial Request
25
Federation mit mobile devices
FedAuth Zugriff auf Applikationen via Federation über mobile devices (WLAN, 4G, 3G, etc.) Initialer request durch Browser app Redirect an den Federation Service Verifizierung der Credentials und Erstellung des Tokens Token wird an den SharePoint internen STS übergeben Der STS erstellt das FedAuth Cookie und leitet den Browser auf die ursprünglich angeforderte Seite SSO Funktionalität ist ebenfalls gegeben Active Directory Portal App SharePoint STS Verify Credentials and gather information ADFS ADFS SharePoint 2013 Foundation Virtual Loadbalancer Return SAML token Redirect for authentication Initial Request
26
Federation mit mobile apps
Zugriff auf Applikationen via native mobile apps. Office365 mit OWA und SkyDrivePro for iOS. App prüft beim start cached credentials Redirect an den Federation Service zur Authentifizierung Verifizierung der Credentials und Erstellung des Tokens Zustellung des Tokens an die App Überprüfen des Tokens und Zugriffsvalidierung Ablage der Zugangsinformationen im lokalen App Cache für SingleSignOn Active Directory Verify Credentials and gather information ADFS ADFS Virtual Loadbalancer Return SAML token Send token Redirect for authentication
27
Zusammenfassung Heutige Anforderungen und Herausforderungen durch die Cloud Ein Einblick, was ist Federation Welche Möglichkeiten bieten sich für solche Dienste in Verbindung mit Windows Azure Integration von mobilen Endgeräten Einbindung sozialer Identitäten
28
Q & A
29
Vielen Dank für Ihr Interesse
30
Für Fragen und weitere Informationen
3/28/2017 1:50 PM Für Fragen und weitere Informationen vCard © 2010 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
Ähnliche Präsentationen
© 2024 SlidePlayer.org Inc.
All rights reserved.