Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

| Basel Federated Identities und SSO mit Windows Azure Tom Hofmann Cambridge Technology Partners.

Ähnliche Präsentationen


Präsentation zum Thema: "| Basel Federated Identities und SSO mit Windows Azure Tom Hofmann Cambridge Technology Partners."—  Präsentation transkript:

1 | Basel Federated Identities und SSO mit Windows Azure Tom Hofmann Cambridge Technology Partners

2 Tom Hofmann / Senior Consultant Identity and Access Managment Identity Federation and SSO Cloud Security Public Key Infrastructure Mobile Device Management / BYOD

3 Agenda Ein Überblick Identity Federation Federation & Azure Use Cases

4 | Basel Ein Überblick

5 Wo stehen wir heute? o Einmaliges anmelden o SingleSignOn durch Kerberos o Authorisierung via AD Gruppen o Lokales Identity and Access Management

6 Neue Anforderungen o Cloud Services o Mobile Devices o Wachsende Zusammenarbeit (Identity Federation) o Mobilität und Vernetzung

7 und neue Herausforderungen o User und Account Management (3 rd Parties in meinem AD?) o Umgang mit mobilen Endgeräten o Sicherheit wo liegen meine Userinformationen? welche Passwordrichtlinien gelten? Auditing? Logging? o Integration der Cloud Dienste o SingleSignOn, unabhängig von Gerät, Dienst und Lokation o Öffnung hin zu sozialen Diensten (Facebook, Yahoo, Google, etc.)

8 benötigen neue Lösungen o Cambridge Technology Partners entwickelt eine Testplatform in der Cloud, solutions-for-clouds.ch o 100% Cloud basierend (IaaS, PaaS, SaaS) o Integration unterschiedlichster Cloud Dienste o Unterstützung neuer form factor devices (Smartphones, Tablets)

9 solutions-for-clouds.ch o Implementation einer virtualisierten Firmeninfrastruktur mit Windows Azure IaaS o AD FS als Cloud Service mit Windows Azure PaaS o Integration der UC Struktur via Office 365 SaaS o Vollständige DNS Integration o Erweiterung durch 3 rd Party SaaS Angebote o Mobile Device Unterstützung

10 PaaS IaaS Active Directory DS Public Key Infrastructure SharePoint 2013 Foundation AD FS Server 2012 AD FS Server 2012R2 Virtual Network Virtual Loadbalancer DirSync Microsoft Azure Office365 Architekturübersicht Azure Access Control Service Trust Salesforce.com SAP Trust

11 Azure Überblick Hands on

12 | Basel Identity Federation Ein Einstieg

13 Was ist Identity Federation o 1 digitale Identität für beliebig viele Anwendungen o Unabhängig davon wo bzw. durch wen die Anwendung betrieben wird. o SingleSignOn Funktionalität o Einbindung der Identitäten von Partnern und Kunden o Einbindung sozialer Identitäten (Facebook, Google, etc.) o Nutzung unterschiedlicher Protokolle (SAML, WS-*, OpenID)

14 Wie funktioniert Federation? User App (Reliying Party) Federation Service AD 1 Access request 2 Unauthenticated user 3 Redirect user to federation service 4 Get federation login page 5 Present user forms based login 6 Send user credentials 7 Verify credentials 8 Send user information 9 Build claim and send it to user 10 Send token to relaying party 11 Verify token 12 Grant access to user

15 Ein Beispiel Authentifizierungsflow zwischen Client, Federation Service und SharePoint Ausgestelltes SAML Token mit UPN, adress und role claims

16 Features durch Identity Federation o Trennung Applikation und Authentisierung o Standortunabhängig (on-premise, cloud, partner) o Anwendungsspezifische Informationen (Claims) o Flexibilität innerhalb der Claims (AD, SQL, Custom Store) o Unabhängig vom Identity Provider (AD, Facebook, Google) o Credentials werden nicht exponiert, sondern bleiben innerhalb der Firma o Keine 3rd Party Software benötigt o Device unabhänig (Laptops, Tablets, Mobiles)

17 | Basel Federation & Azure Der Federation Service mit solutions-for-clouds.ch

18 Federation Service & Azure o Federation Service werden über eine URL eindeutig identifizierbar (login.sts.solutions-for-clouds.ch) o CNAME der Firmendomain enthält pointer auf den Azure Cloud Service (-> solutions-sts.cloudapp.net) o 2 unabhängige AD FS Server mit lokaler Datenbank (1x Server 2012, 1x Server 2012R2 Preview) o Beide Server werden durch den Azure eigenen Load Balancer verwaltet

19 Die Vorteile... o Eine Federation URL, ein Cloud Service, many servers o Extrem hohe Verfügbarkeit o Flexibilität (einfacher Ausbau der Farm) o Skalierbarkeit (Scale by metric, scale by schedule) o Easy to use Pre-Production Umgebung o Einbindung weiterer PaaS Dienste (SQL Server) o PowerShell management (config, backup, restore) o Lokale Integration mit Hybrid Cloud Szenarien

20 Federation as Cloud Service Hands on

21 | Basel Use Cases

22 Federation mit traditionellen Geräten Active Directory SharePoint 2013 Foundation Virtual Loadbalancer ADFS Portal App SharePoint STS FedAuth Return SAML token Redirect for authentication Initial Request Verify Credentials and gather information Zugriff auf eine lokale SharePoint app o Initialer request o Redirect an den Federation Service o Verifizierung der Credentials und Erstellung des Tokens o Token wird an den SharePoint internen STS übergeben o Der STS erstellt das FedAuth Cookie und leitet den Browser auf die ursprünglich angeforderte Seite

23 Federation SSO mit SaaS Applikationen Active Directory Virtual Loadbalancer ADFS Return SAML token Provide cookies Initial Request Session validation SingleSignOn über mehrere Anwendung und Provider hinweg o Initialer request o Redirect an den Federation Service, zusammen mit den MSISAuth und MSISAuthenticated Cookies zur Validierung o ADFS prüft die Gültigkeit der Session und den Identifier der anfragenden Applikation (wtrealm) o Anhand der Claim Rules wird das neue, anwendungsspezifische Token erstellt o Der Client schickt das Token an die Applikation und erhält Zugriff Office365 Retrieve app specific informations SAP Salesforc e

24 Federation mit Social IdPs SharePoint 2013 Foundation ADFS Portal App SharePoint STS FedAuth ADFS SAML token Redirect for authentication Initial Request Zugriff auf die SP Portal app wird über den lokalen ADFS gesteuert: o Initialer request o Redirect an den Federation Service o User wählt «Social IdPs» auf der HomeRealmDiscovery Seite des ADFS o Redirect auf die HomeRealmDiscovery Seite des Windows Azure Access Control Service o User wählt Google als IdP o Login mit Google Credentials o Google erstellt ein OpenID Token, welches an Azure ACS zurückgeliefert wird o Azure ACS erhält das OpenID Token, evaluiert mögliche Claim Rules und erstellt ein neues SAML Token an den ADFS Server o Das ADFS Token wird an den SharePoint internen STS übergeben o Der STS erstellt das FedAuth Cookie und leitet den Browser auf die ursprünglich angeforderte Seite Access Control Service Redirect user to ACS HomeRealmDiscover y Redirect user to Google login page OpenID token ACS SAML token

25 Federation mit mobile devices Active Directory SharePoint 2013 Foundation Virtual Loadbalancer ADFS Portal App SharePoint STS FedAuth Return SAML token Redirect for authentication Initial Request Verify Credentials and gather information Zugriff auf Applikationen via Federation über mobile devices (WLAN, 4G, 3G, etc.) o Initialer request durch Browser app o Redirect an den Federation Service o Verifizierung der Credentials und Erstellung des Tokens o Token wird an den SharePoint internen STS übergeben o Der STS erstellt das FedAuth Cookie und leitet den Browser auf die ursprünglich angeforderte Seite o SSO Funktionalität ist ebenfalls gegeben

26 Federation mit mobile apps Active Directory Virtual Loadbalancer ADFS Return SAML token Redirect for authentication Verify Credentials and gather information Zugriff auf Applikationen via native mobile apps. Office365 mit OWA und SkyDrivePro for iOS. o App prüft beim start cached credentials o Redirect an den Federation Service zur Authentifizierung o Verifizierung der Credentials und Erstellung des Tokens o Zustellung des Tokens an die App o Überprüfen des Tokens und Zugriffsvalidierung o Ablage der Zugangsinformationen im lokalen App Cache für SingleSignOn Send token

27 Zusammenfassung o Heutige Anforderungen und Herausforderungen durch die Cloud o Ein Einblick, was ist Federation o Welche Möglichkeiten bieten sich für solche Dienste in Verbindung mit Windows Azure o Integration von mobilen Endgeräten o Einbindung sozialer Identitäten

28 Q & A

29 Vielen Dank für Ihr Interesse

30 Für Fragen und weitere Informationen vCard

31


Herunterladen ppt "| Basel Federated Identities und SSO mit Windows Azure Tom Hofmann Cambridge Technology Partners."

Ähnliche Präsentationen


Google-Anzeigen