Federated Identities und SSO mit Windows Azure

Slides:

Advertisements

Ähnliche Präsentationen

Be.as WEB Technologie

Advertisements

Was gibt´s neues im Bereich Sicherheit

Sichere Anbindung kleiner Netze ans Internet

Zusammenarbeit in Office mit den SharePoint Technologien Michael Carpi

Einführung in den Identity Provider

Erweiterung B2B Usermanagement / LDAP-Anbindung

Sicherheit und Personalisierung Internet Portal der Universität München.

Information und Technik Nordrhein-Westfalen Single Sign On mit CAS Düsseldorf, Single Sign On für Webanwendungen am Beispiel von CAS.

Virtual Private Networks

Microsoft Project 2013 & Project Server 2013

Das neue Office-Geschäftsmodell

Web Single Sign-On Nutzen eines optimalen Zusammenspiels von Authentisierung und WAF Marc Bütikofer Senior Security Engineer Kryptologie & Security.

Sichere Authentifizierung SSO, Password Management, Biometrie

Trusted SaaS im Handwerk: flexibel – integriert – kooperativ Single Sign-On in der Cloud am Beispiel des CLOUDwerker-Projektes Kloster Banz, ,

Sharepoint Workshop Markus Wehr

GRAU DataSpace 2.0 – DIE SICHERE KOMMUNIKATIONS- PLATTFORM FÜR UNTERNEHMEN UND ORGANISATIONEN YOUR DATA. YOUR CONTROL.

HOB RD VPN HOB Remote Desktop Virtual Private Network

MDM Systeme im Test Udo Bredemeier

IT_FULL SERVICE CENTER

Cloudlösungen für den Mittelstand –

Brand my SharePoint Grafische Gestaltung von SharePoint-Webseiten

Vorgehen bei der Entwicklung mobiler Lösungen

Technisches Update Veeam Backup & Replication Version 7 Cloud Edition

Developer Day Office APPs entwicklen Simon Amrein Trivadis AG Die ersten Schritte in eine neue Office-Welt.

Erste Schritte zu Office 365

| Basel Wege in die Cloud: Office 365 Dennis Hobmaier, Technical Solutions

Composite Applications 2.0 Aufbau von Software-plus-Services Architekturen in der Praxis Holger Sirtl Architect Evangelist Dariusz Parys Developer Evangelist.

© 2009 Quest Software, Inc. ALL RIGHTS RESERVED Quest Recovery Manager for SharePoint Volker Pingen Senior System Consultant

Uwe Habermann Venelina Jordanova dFPUG-CeBIT-Entwicklertreffen

Application Delivery Citrix Netscaler Vortragender Seite 1 von 18

Windows Server 2012 R2 Upgrade-Potential

Top Features kurz vorgestellt: Workplace Join

[Sprecher/Autor] [Titel] [Organisation][Kontaktinfos] Windows Azure Windows Azure SQL Databases.

Cloud nach Ihren Bedürfnissen Cloud in Ihrer Geschwindigkeit Cloud als Business Enabler.

Real World Windows Azure Die Cloud richtig nutzen.

Online Zusammenarbeit

Unterscheidungskriterien und Alleinstellungsmerkmale (U+As) Juli 2014 Partner Ready.

7.-8. März 2013, Rosenheim SharePoint Security Das Sicherheitssystem von SharePoint 2013 Fabian Moritz | MVP SharePoint Server.

Office 365 ProPlus - kurze Faktensammlung

09. – 10. Januar 2015 in Köln. Sr. Technical Solutions Professional

Swiss TechNet Events Herzlich Willkommen Microsoft Azure Advanced 2. Dezember 2014 Gerry Keune, Trivadis Stefan Geiger, Trivadis

Zentrale Authentifizierungsplattform mit Open Text Website Management bei Thieme.

Fabian Moritz | MVP SharePoint Server

Potentiale für den Channel Server-Software aktualisieren Server-Hardware erneuern Migration von Anwendungen Diese Produkte stehen vor dem Ende des Support.

Jan Rohe Education Support Centre

Swiss TechNet Events Herzlich Willkommen Windows Server 2012 & Windows 8 "better together" - Workplace Szenarien 29. Mai 2013 Martin Weber, Technical Solution.

Swiss TechNet Events Herzlich Willkommen Windows Server März 2013 Michel Lüscher, Consultant MCS Michael Faden, Technology Solution Professional.

Cloud Entwicklung: Web Services

Prozesse mobil bearbeiten

Praxiserfahrungen aus Projekten

SysAdminDay2015 Benedict Berger. Über den Sprecher Benedict Berger.

© 2015 Unisys Corporation. All rights reserved. 1 Partnerschaft mit Microsoft - Azure.

Lync and Learn mit Manfred Helber Thema heute: Überblick der Leistungserweiterungen von Windows Server 2016 Start: 9.30 Uhr 30 Minuten Vortrag & Demo 30.

Agenda Identitäten und Authentifizierung Rollen, Rechte und Berechtigungen Heraufstufung und Impersonifizierung (Cloud) App Security mit OAuth.

© Copyright INFORM GmbH / 25 Einführung in Cloud Computing und Validierung der Provider im Kontext der Anwendung INVENT Xpert Seminarvortrag.

Application Infrastructure Technologies Extending OnPremise EAI to the Cloud Wilfried Mausz BSc. dataformers GmbH Lothar Mausz dataformers.

Das Software Defined Datacenter Rüdiger Melzer Senior Systems Engineer, Alliance Management VMware

Identity Management.  Zentrale Begriffe und Probleme  Modellbildung  Methoden zur Authentisierung über HTTP  Technische Aspekte  Compliance  Hindernisse,

Wir befinden uns inmitten einer Zeit des Wandels.

Azure Active Directory und Azure Active Directory Domain Services

Premiere Conferencing GmbH

OAuth 2.0 Ralf Hoffmann 03 / 2017

Erweiterte Azure Dienste

Microsoft Azure Optionen zur Verbindung mit OnPremises Netzwerken

Du kommst hier nicht rein!

Datenbanken online sowie offline verfügbar machen

terra cloud 2.0 Preview Überblick Entwicklung

…die richtige digitale Unterstützung für ihre Firma

OFFICE 365 FOCUS SESSION SHAREPOINT ONLINE 101:LERNE DIE BASICS 19. März 2018 Höhr-Grenzhausen.

Enterprise Search Solution

Präsentation transkript:

Federated Identities und SSO mit Windows Azure Tom Hofmann Cambridge Technology Partners

Tom Hofmann / Senior Consultant Identity and Access Managment Identity Federation and SSO Cloud Security Public Key Infrastructure Mobile Device Management / BYOD

Ein Überblick Identity Federation Federation & Azure Use Cases

Ein Überblick

Wo stehen wir heute? Einmaliges anmelden SingleSignOn durch Kerberos Authorisierung via AD Gruppen Lokales Identity and Access Management

Neue Anforderungen Cloud Services Mobile Devices Wachsende Zusammenarbeit (Identity Federation) Mobilität und Vernetzung

und neue Herausforderungen User und Account Management (3rd Parties in meinem AD?) Umgang mit mobilen Endgeräten Sicherheit wo liegen meine Userinformationen? welche Passwordrichtlinien gelten? Auditing? Logging? Integration der Cloud Dienste SingleSignOn, unabhängig von Gerät, Dienst und Lokation Öffnung hin zu sozialen Diensten (Facebook, Yahoo, Google, etc.)

benötigen neue Lösungen Cambridge Technology Partners entwickelt eine Testplatform in der Cloud, solutions-for-clouds.ch 100% Cloud basierend (IaaS, PaaS, SaaS) Integration unterschiedlichster Cloud Dienste Unterstützung neuer form factor devices (Smartphones, Tablets)

solutions-for-clouds.ch Implementation einer virtualisierten Firmeninfrastruktur mit Windows Azure IaaS AD FS als Cloud Service mit Windows Azure PaaS Integration der UC Struktur via Office 365 SaaS Vollständige DNS Integration Erweiterung durch 3rd Party SaaS Angebote Mobile Device Unterstützung

Architekturübersicht Microsoft Azure Azure Access Control Service IaaS Virtual Network Active Directory DS Public Key Infrastructure DirSync SharePoint 2013 Foundation Office365 SAP Salesforce.com Trust Trust PaaS AD FS Server 2012 AD FS Server 2012R2 Virtual Loadbalancer Trust

Azure Überblick Hands on

Ein Einstieg Identity Federation

Was ist Identity Federation 1 digitale Identität für beliebig viele Anwendungen Unabhängig davon wo bzw. durch wen die Anwendung betrieben wird. SingleSignOn Funktionalität Einbindung der Identitäten von Partnern und Kunden Einbindung sozialer Identitäten (Facebook, Google, etc.) Nutzung unterschiedlicher Protokolle (SAML, WS-*, OpenID)

Wie funktioniert Federation? User App (Reliying Party) Federation Service AD 1 Access request 3 Redirect user to federation service 2 Unauthenticated user 4 Get federation login page 5 Present user forms based login 6 Send user credentials 7 Verify credentials 9 Build claim and send it to user 8 Send user information 10 Send token to relaying party 12 Grant access to user 11 Verify token

Ein Beispiel Authentifizierungsflow zwischen Client, Federation Service und SharePoint Ausgestelltes SAML Token mit UPN, emailadress und role claims

Features durch Identity Federation Trennung Applikation und Authentisierung Standortunabhängig (on-premise, cloud, partner) Anwendungsspezifische Informationen (Claims) Flexibilität innerhalb der Claims (AD, SQL, Custom Store) Unabhängig vom Identity Provider (AD, Facebook, Google) Credentials werden nicht exponiert, sondern bleiben innerhalb der Firma Keine 3rd Party Software benötigt Device unabhänig (Laptops, Tablets, Mobiles)

Der Federation Service mit solutions-for-clouds.ch Federation & Azure

Federation Service & Azure Federation Service werden über eine URL eindeutig identifizierbar (login.sts.solutions-for-clouds.ch) CNAME der Firmendomain enthält pointer auf den Azure Cloud Service (-> solutions-sts.cloudapp.net) 2 unabhängige AD FS Server mit lokaler Datenbank (1x Server 2012, 1x Server 2012R2 Preview) Beide Server werden durch den Azure eigenen Load Balancer verwaltet

Die Vorteile... Eine Federation URL, ein Cloud Service, many servers Extrem hohe Verfügbarkeit Flexibilität (einfacher Ausbau der Farm) Skalierbarkeit (Scale by metric, scale by schedule) Easy to use Pre-Production Umgebung Einbindung weiterer PaaS Dienste (SQL Server) PowerShell management (config, backup, restore) Lokale Integration mit Hybrid Cloud Szenarien

Federation as Cloud Service Hands on

Use Cases

Federation mit “traditionellen” Geräten FedAuth Zugriff auf eine lokale SharePoint app Initialer request Redirect an den Federation Service Verifizierung der Credentials und Erstellung des Tokens Token wird an den SharePoint internen STS übergeben Der STS erstellt das FedAuth Cookie und leitet den Browser auf die ursprünglich angeforderte Seite Active Directory Portal App SharePoint STS Verify Credentials and gather information ADFS ADFS SharePoint 2013 Foundation Virtual Loadbalancer Return SAML token Redirect for authentication Initial Request

Federation SSO mit SaaS Applikationen SingleSignOn über mehrere Anwendung und Provider hinweg Initialer request Redirect an den Federation Service, zusammen mit den MSISAuth und MSISAuthenticated Cookies zur Validierung ADFS prüft die Gültigkeit der Session und den Identifier der anfragenden Applikation (wtrealm) Anhand der Claim Rules wird das neue, anwendungsspezifische Token erstellt Der Client schickt das Token an die Applikation und erhält Zugriff Active Directory Office365 SAP Salesforce Retrieve app specific informations ADFS ADFS Session validation Virtual Loadbalancer Return SAML token Provide cookies Initial Request

Federation mit Social IdPs Redirect user to Google login page FedAuth Zugriff auf die SP Portal app wird über den lokalen ADFS gesteuert: Initialer request Redirect an den Federation Service User wählt «Social IdPs» auf der HomeRealmDiscovery Seite des ADFS Redirect auf die HomeRealmDiscovery Seite des Windows Azure Access Control Service User wählt Google als IdP Login mit Google Credentials Google erstellt ein OpenID Token, welches an Azure ACS zurückgeliefert wird Azure ACS erhält das OpenID Token, evaluiert mögliche Claim Rules und erstellt ein neues SAML Token an den ADFS Server Das ADFS Token wird an den SharePoint internen STS übergeben Der STS erstellt das FedAuth Cookie und leitet den Browser auf die ursprünglich angeforderte Seite OpenID token Portal App SharePoint STS Access Control Service SharePoint 2013 Foundation ACS SAML token ADFS Redirect user to ACS HomeRealmDiscovery ADFS SAML token Redirect for authentication Initial Request

Federation mit mobile devices FedAuth Zugriff auf Applikationen via Federation über mobile devices (WLAN, 4G, 3G, etc.) Initialer request durch Browser app Redirect an den Federation Service Verifizierung der Credentials und Erstellung des Tokens Token wird an den SharePoint internen STS übergeben Der STS erstellt das FedAuth Cookie und leitet den Browser auf die ursprünglich angeforderte Seite SSO Funktionalität ist ebenfalls gegeben Active Directory Portal App SharePoint STS Verify Credentials and gather information ADFS ADFS SharePoint 2013 Foundation Virtual Loadbalancer Return SAML token Redirect for authentication Initial Request

Federation mit mobile apps Zugriff auf Applikationen via native mobile apps. Office365 mit OWA und SkyDrivePro for iOS. App prüft beim start cached credentials Redirect an den Federation Service zur Authentifizierung Verifizierung der Credentials und Erstellung des Tokens Zustellung des Tokens an die App Überprüfen des Tokens und Zugriffsvalidierung Ablage der Zugangsinformationen im lokalen App Cache für SingleSignOn Active Directory Verify Credentials and gather information ADFS ADFS Virtual Loadbalancer Return SAML token Send token Redirect for authentication

Zusammenfassung Heutige Anforderungen und Herausforderungen durch die Cloud Ein Einblick, was ist Federation Welche Möglichkeiten bieten sich für solche Dienste in Verbindung mit Windows Azure Integration von mobilen Endgeräten Einbindung sozialer Identitäten

Q & A

Vielen Dank für Ihr Interesse

Für Fragen und weitere Informationen 3/28/2017 1:50 PM Für Fragen und weitere Informationen Thomas.Hofmann@ctp.com vCard © 2010 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.