Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Identity 2.0 { Windows CardSpace }

Ähnliche Präsentationen


Präsentation zum Thema: "Identity 2.0 { Windows CardSpace }"—  Präsentation transkript:

1 Identity 2.0 { Windows CardSpace }
3/28/2017 2:54 PM Identity 2.0 { Windows CardSpace } Mathias Raacke Senior Student Partner Microsoft Deutschland GmbH © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

2 Identity 2.0: Windows CardSpace
“Identity 2.0, also called digital identity, is the anticipated revolution of identity verification on the internet using emerging user-centric technologies such as Information Cards or OpenID. Identity 2.0 stems from the Web 2.0 theory of the world wide web transition. Its emphasis is a simple and open method of identity transactions similar to those in the physical world, such as driver's license.” (Quelle: Wikipedia,

3 Zu viele Kennwörter ????? ?????

4 Berichte über Phishing-Angriffe Mai ‘05 – Mai ‘06
Im Moment werden jede Woche 1 Million Angriffe durch den Internet Explorer 7 Phishing-Filter blockiert. Quelle: Internet Explorer Blog, Quelle:

5 Beteiligte Parteien Benutzername + Kennwort
Webseite Identitäts-anbieter (offline) Benutzername + Kennwort z.B. PostIdent

6 Identitäten in der „Offlinewelt“
Microsoft Senior Student Partner Freiberuflich .NET Trainer & Entwickler Campus Consult Projektmanagement GmbH Berater .NET User Group Paderborn Gründer INETA Europe Vice President Academic Uni Paderborn Student

7 Authentifizierung: Wer bin ich?
Die Antwort hängt vom Kontext ab: Wonach wird gefragt? Name, Adresse, Kreditkartennummer, Alter,… Wer fragt? Händler, Polizei, Fahrkartenkontrolleur, Geschäftspartner, … Wer bestätigt die Angaben? Bank, Staat, Bahn, Automobilclub, ich selbst, …

8 Beteiligte Parteien „Offlinewelt“ – Beispiel Bank
Benutzer Geld-automat Bank EC Karte Personalausweis

9 Identitätsverwaltung mit Windows CardSpace™
Einfacher Einheitliche User Experience Sichere Token statt Benutzername + Kennwort Sicherer Schützt vor Phishing Token sind kryptographisch stark verschlüsselt Offene Standards Basiert auf WS-* Protokollen Auf jeder Plattform verwendbar WCS WF WCF WPF .NET 3.0

10 { CardSpace aus Endanwendersicht}
3/28/2017 2:54 PM { CardSpace aus Endanwendersicht} demo © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

11 Die CardSpace Umgebung
Läuft in einem geschützten Desktop Vom Windows Desktop isoliert Geschützt vor Hacking durch Usermode-Prozesse

12 Plattformunabhängig und Interoperabel
IE7 Windows Internet Explorer 7 CardSpace / .NET 3.0 Vista, XP, 2003 Firefox 2.0 Windows Firefox Plugin Firefox 2.0 „überall“ Firefox 2.0 Xmldap (Java) Windows, Mac, Linux Safari Safari + Plugin Mac Ab Firefox 3.0 direkt in Firefox integriert

13 { CardSpace und Firefox}
3/28/2017 2:54 PM { CardSpace und Firefox} demo © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

14 Selbstausgestellte Karten
Kartentypen Selbstausgestellte Karten Enthält vom Nutzer aufgestellte Identitäts-behauptungen Nicht überprüft Lokal gespeichert Signiert und ver-schlüsselt, geschützt vor „replay“-Angriffen Verwaltete Karten Von einem Identitäts-anbieter (Bank, Behörde, Verein, …) ausgestellt Lokal nur Metadaten gespeichert Daten werden beim Identitätsanbieter gespeichert

15 Beteiligte Parteien Windows CardSpace
Benutzer mit „Identity Selector“ „Relaying Party“ (Webseite) Identitäts-anbieter

16 Scenario 1: Anmeldung mit selbstausgestellter Karte („Visitenkarte“)
Benutzer „Relaying Party“ (Webseite) Identitäts-anbieter Benutzer ruft Webseite auf Server sendet HTML Seite mit CardSpace <object> Tag Benutzer wählt selbsterstellte Karte Verschlüsseltes Token mit Benutzerdaten wird an Server übermittelt

17 Scenario 2: Anmeldung mit verwalteter Karte („Ausweis“)
Benutzer „Relaying Party“ (Webseite) Identitäts-anbieter Benutzer ruft Webseite auf Server sendet HTML Seite mit CardSpace <object> Tag Benutzer wählt verwaltete Karte CardSpace fordert Sicherheitstoken von Identitätsanbieter an Identitätsanbieter antwortet mit signiertem und verschlüsseltem Token CardSpace sendet Token an den Server

18 Authentifizierung beim Identitätsanbieter
Benutzer „Relaying Party“ (Webseite) Identitäts-anbieter Authentifizierung beim Identitätsanbieter mit Benutzername + Kennwort Selbstausgestellter Karte X.509 Kerberos

19 CardSpace in eigene Webseiten integrieren
Anmeldeseite Anmeldung mit CardSpace Benutzerregistrierung Registrierung mit CardSpace Datenbank Zusätzliche Datenbankspalten einfügen Assoziierungsseite Zuordnung von vorhandenen Accounts zu CardSpace-Karten

20 CardSpace in eigenen Webseiten verwenden
SSL konfigurieren (ab 3.5 optional) Formular mit CardSpace Object-Tag Token entschlüsseln XML Encryption Zugriff auf den private Key des SSL Zertifikats Signatur des Tokens überprüfen XML Signturen Canonical XML Gültigkeit des Tokens überprüfen SAML Claims aus dem Token auslesen

21 Das kann man alles selbst machen…
…muss man aber nicht  ASP.NET Token Klasse aus den CardSpace Samples von Microsoft Viele fertige Steuerelemente Bibliotheken für PHP Kim Cameron Rob Richards Auch für Java und andere Plattformen gibt es CardSpace Bibliotheken

22 { CardSpace in Webseiten integrieren}
3/28/2017 2:54 PM { CardSpace in Webseiten integrieren} demo © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

23 Login und Registrierungsseiten
<asp:Button ID="AnmeldeButton" runat="server" Text="Anmeldung mit Windows CardSpace" /> <object type="application/x-informationcard" name="xmlToken"> <param name="tokenType" value="urn:oasis:names:tc:SAML:1.0:assertion"/> <param name="issuer" value="http://.../identity/issuer/self"/> <param name="requiredClaims" value="http://.../claims/givenname </object>

24 CardSpace Claims für selbstausgestellte Karten
Vorname Nachname Straße Ort Bundesland Postleitzahl Land Telefon (privat) Telefon (weitere Nr.) Telefon (mobil) Geburtsdatum Geschlecht Eindeutige ID (PPID) Aussteller URI:

25 Der Private Personal Identifier
Eindeutiger Wert berechnet aus Karte und Relying Party Jede Kombination hat unterschiedliche PPID Wird berechnet aus Relying Party SSL Zertifikat falls vorhanden, ansonsten DNS Hostname / IP Wert aus der Karte „Ersetzt“ das Kennwort, es geht aber noch sicherer: UniqueID (= PPID + Public Key) Siehe Token.cs Beispiel auf netfx3.com

26 demo { Claims auslesen} 3/28/2017 2:54 PM
© 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

27 Das Security-Token auslesen
protected void Page_Load(object sender, EventArgs e) { string xmlToken = Convert.ToString(Request["XmlToken"]); Token token = new Token(xmlToken); // Benutzername mit dieser InfoCard finden string username = MembershipHelper.GetUser(token.UniqueID); // Diesen Benutzer anmelden Token-Klasse Entschlüsselt das Token Ermöglicht Zugriff auf Claims Code auf netfx3.com MembershipHelper-Klasse Kapselt Datenbankzugriff Sucht Benutzer aus der Datenbank mit ID aus Token

28 Anpassen der Datenbank
CREATE PROCEDURE aspnet_CardSpace_lookup nvarchar(50) ) AS SELECT UserName FROM aspnet_Users WHERE UniqueHash CREATE PROCEDURE aspnet_CardSpace_associate nvarchar(50) ) AS UPDATE aspnet_Users SET UniqueHash WHERE UserName

29 Testzertifikat erstellen
Windows CardSpace unter .NET 3.0 funktioniert nur mit gültigem SSL-Zertifikat, ab 3.5 optional Selfssl.exe aus Internet Information Services (IIS) 6.0 Resource Kit Tools Findprivatekey.exe aus „Introduction … with IE7“ Sample IIS Account benötigt Leserechte auf die Keydatei selfssl.exe /N:CN=www.adventureworks-cinema.de /T /V:365 findprivatekey.exe My Localmachine -n CN=www.adventureworks-cinema.de

30 Verwaltete Karten erstellen
Beispiele auf cardspace.netfx3.com Demo

31 CardSpace und OpenID OpenID ist anfällig für Phishing
CardSpace als Login beim OpenID Identity Provider löst dieses Problem Beispiel: myOpenID.com Jede OpenID Seite unterstützt (indirekt) auch CardSpace!

32 { CardSpace und OpenID}
3/28/2017 2:54 PM { CardSpace und OpenID} demo © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

33 CardSpace in der Praxis
Otto Store LiveID (Beta) myOpenID.com fun communications GmbH: WebCard Loaylty Virtuelle Kundenkarte Vorstellung auf der CeBit, Halle 6, Stand E12

34 { CardSpace in der Praxis }
3/28/2017 2:54 PM { CardSpace in der Praxis } partner Christian Arnold ATE Software © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

35 CardSpace – neues in .NET 3.5
Kein SSL Zertifikat mehr erforderlich Verbesserte Benutzeroberfläche Funktioniert auch auf FAT Partitionen Identity Provider können eigene Fehlermeldungen anzeigen Unterstützung für aktuelle OASIS Web Service Security Exchange Standards (WS-SX)

36 { CardSpace für WCF Clients}
3/28/2017 2:54 PM { CardSpace für WCF Clients} demo © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

37 Offene Probleme Portabilität von InfoCards Bekanntheit
CardSpace v2? Novell und andere Anbieter Bekanntheit SSL - nicht für „billige“ Shared Hosting Angebote geeignet  .NET 3.5

38 Zusammenfassung Vereinheitlicht Authentifizierung
Besserer Schutz vor Phishing Geringer Implementierungsaufwand Basiert auf offenen Standards Daten nicht zentral gespeichert Nicht nur für Web-Anwendungen!

39 Fragen? i-maraac@microsoft.com mathias@raacke.info
(Kim Cameron) (Christian Arnold) (Dominik Baier) (Michael Willers) (CardSpace Team)

40 Visual Studio 2008 weitere Angebote
3/28/2017 2:54 PM Visual Studio 2008 weitere Angebote Visual Studio Team System Information Day Regelmäßige ganztägige Informationsveranstaltung von Microsoft Praxisnahe Demos & viel Raum für Diskussionen Details & Anmeldung: TeamConf 2008 – Die Visual Studio Team System Konferenz VSTS in der Praxis April 2008 in München Anwenderberichte (Siemens, ABB, Commerzbank, Datev, Münchener Rück,..) Fach- und Technologievorträge Vortragsprogramm und Anmeldung: Visual Studio Launch Promotion Tauschen Sie Ihre Visual Studio Standard in eine höherwertige Visual Studio Edition Ihrer Wahl Anrechnung in Höhe von 299 € beim Kauf eines anderen VS Produktes vom 19. Februar bis zum 30. April 2008 Nur bei den Partnern: PC Ware, SoftExpress, SOS und Zoschke (befinden sich alle in der Ausstellerhalle) © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

41 Ask the Experts Wir freuen uns auf Ihre Fragen: Technische Experten stehen Ihnen während der gesamten Veranstaltung in der Haupthalle zur Verfügung.

42 3/28/2017 2:54 PM © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION. © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.


Herunterladen ppt "Identity 2.0 { Windows CardSpace }"

Ähnliche Präsentationen


Google-Anzeigen