Du kommst hier nicht rein! .NET Online Usergroup Du kommst hier nicht rein! Authentifizierung und Autorisierung im Zeichen der Cloud Robert Eichenseer robert.eichenseer@conplement.de conplement AG Südwestpark 92 90449 Nürnberg http://www.conplement.de/RobertEichenseer.html
… .NET Online Usergroup Agenda Die Herausforderung Bewährter Lösungsansatz … Die Lösung Und darüber hinaus
Die Herausforderung Aktuelle Situation; Consumer Privat Übersicht Viele unterschiedliche User Credentials Reise ID‘s Kommunikation Shopping Sparen Social Network
Die Herausforderung Aktuelle Situation; Enterprise Authentication Single Sign-on Single Sign-on muss erhalten bleiben Authentication AddOn on premise Legacy App + Authentication Infrastructure - Existierendes Active Directory - Neue prop. Infrastruktur
Bisheriger Lösungsansatz Authentication Windows Authentication Anmeldedialog vom OS (vom Browser initiiert) Benutzerdaten liegen in der AD vor Forms Authentication Anmeldedialog kann frei designed werden User Control existiert Benutzerdaten können in AD vorliegen Benutzerdaten können in SQL Server vorliegen
Bisheriger Lösungsansatz Software as a Service Software as a Service Firewall Single Sign-on muss erhalten bleiben Zugriff auf AD nicht möglich
Bisheriger Lösungsansatz Cloud Solution - Software as a Service Key Feature Single Sign-On muss erhalten bleiben -> Forms Authentication / Authorization mit lokaler DB Code für Authentication / Authorization bzw. Administration explodiert -> Software kann scheitern
Die Lösung Cloud Solution - Software as a Service 2002 .NET 1.0 2002 * IPrincipal; IIdentity .NET 1.0 ASP.NET 2006 * Security Token Claim interface IClaimsPrincipal : IPrincipal { ClaimsIdentityCollection Identities{get;} } interface IClaimsIdentity : IIdentity ClaimCollection Claims {get; } string NameClaimType {get; set;} string RoleClaimType {get; set;} 2009 * WIF (Windows Identity Foundation) 2006 WCF 2009 WIF ASP.NET / WCF
Die Lösung Authorization via Claims Rollen vs Claims WIF benützt Claims Claim: - „Bob ist ein Administrator“ - „Die E-Mail Adresse von bob ist robert.eichenseer@conplement.de - „Bob darf neue Kunden hinzufügen“ - „Sigi darf Dokumente nach ‚confidential‘ ablegen Definition Claim: „Statement about an entity made by someone else“ Authorization Provider vergeben Berechtigungen anhand von Rollenzugehörigkeit Technisch: Collection von Name / Value Pairs bezogen auf eine authentifizierte Identität
Die Lösung Kommunikationswege (1) (2) (3) Benutzer fordert Seite / Funktionalität an Custom App „redirects“ zu lokalem ADFS Authentication an lokaler AD / ADFS, Erzeugung Security Token; ADFS „redirects“ zu ursprünglicher Seite (incl. Security Token)
Die Lösung Begriffe (1) (2) (3) Secure Token Service (STS) Identity Provider Issuer Relying Party Resource Provider Security Token SAML Token
Die Lösung Demo Applikation, STS Authentifizierung
Und darüber hinaus Resource STS Authentication Authorization Active Directory wird von technischen Admins gepflegt Sichere statische Prozesse zur Pflege der AD Authentication Kaskadierung von beliebig vielen STS Authorization
Und darüber hinaus Federation Gateway Claims Converter Technisch (SAML 1.0 -> SAML 2.0, …) Logisch (Claims Transfer, …)
Und darüber hinaus Windows Azure Access Control Service Federation Gateway Innerhalb der Azure SaaS Angebote
Und darüber hinaus Demo Application; ACS – Social Identities
Das Beste zum Schluss Passive Federation UI-based“ Federation
Das Beste zum Schluss Active Federation „Service – based“ Federation
Das Beste zum Schluss Multi Tier Development „Identity Flowing“ „Password Vault“ „Web Authentication Broker“ in Window8 -> ermöglicht die Integration von „UI-Based“ Identity Broker
Zusammenfassung WIF; Single Sign-on Single Sign-on ADFS 2.0 WIF Abstraktion Claims Based Authentication zur Verfügung AD Authentication kann transparent in die Cloud übernommen werden ADFS 2.0 STS R-STS Federation Gateway Windows AppFabric ACS Cloudbasiertes Federation Gateway Unterstützung von Social Identities
Und darüber hinaus MS Partner WebCast ACS Blog Kontakt Cloud Accelerate Partner WebCast ACS http://www.microsoft.com/germany/msdn/webcasts/library.aspx?id=1032487454 Blog http://roberteichenseer.wordpress.com Kontakt http://www.conplement.de/RobertEichenseer.html robert.eichenseer@conplement.de
Ich freue mich auf Fragen Blog http://roberteichenseer.wordpress.com Kontakt http://www.conplement.de/RobertEichenseer.html robert.eichenseer@conplement.de