Digicomp Microsoft Evolution Day ADFS Oliver Ryf. Partner:

Transkript

1 1 ADFS Oliver Ryf Partner:

2 2 Agenda Begrüssung Vorstellung Referent Active Directory Federation Services (ADFS) F&A Weiterführende Kurse

3 3 Vorstellung Referent Seit 1991 IT-Trainer 1995 MCSE und MCT Seit 2000 diverse Projekte im Bereich Windows/Office Migrationen, Active Directory, Infratruktur, Hyper-V und Azure Cloud Seit 2006 Trainer bei Digicomp Seit 2014 Principal Consultant und Cloud Archiect bei UP-Great AG Fehraltorf

4 4 Application Authentication Innerhalb Ihrer Umgebung bietet Ihnen die Windows Authentication ein Single Sign-On für alle Applikationen Windows Authentication liefert die erforderlichen Informationen über den Benutzer und seine Gruppenzugehörigkeiten

5 5 Zugriff vom Internet Kerberos, NTLM, Basic, Digest, Forms? Ohne VPN, DirectAccess oder eine Authentication Proxy Lösung Kerberos funktioniert nicht mehr Entwickler brauchen ein anderes Authentisierungs-Modell

6 6 Application in der Cloud Wie gehen wir mir Authentisierung um, ab dem Zeitpunkt ab dem wir unsere Applikationen in die Cloud transferieren? Ganz Neu - Azure AD Domain Services!

7 7 Zugang für Geschäftspartner SIE verwalten für jeden Benutzer Ihres Partners, der auf Ihre Geschäftsapplikation zugreifen will, einen Account inkl. Profil SIE müssen den Account pflegen Werden Sie bei Änderungen von Ihrem Partner informiert? Noch ein Login und noch ein Passwort für die Benutzer

8 8 Die Antwort Erstellen Sie ein Identity (inklusive Authentication) Framework, das von allen Ihren Applikation verwendet warden kann, unabhängig davon, wo sich diese befinden Erlauben Sie den sogenannten Identity Token mehr Informationen zu übermitteln als lediglich der Benutzer und seine Gruppenzugehörigkeiten Vertrauen Sie Ihren Partnern, dass sie deren Benutzer authentisieren Verwenden Sie eine Lösung, die auf Industrie Standards setzt Stellen Sie diese für Browser und Web Services bereit

9 9 Die Lösung Verschieden Anbieter auf dem Markt Microsoft Active Directory Federation Services The latest release AD FS v 2.0 Federation of Identity

10 Key Concepts Issuer Identity Provider (IP) Security Token Service (STS) 10 User / Subject /Principal The Security Token enthält claims über den User Zum Beispiel: Name Group membership User Principal Name (UPN) address of user address of manager Phone number Other attribute values Signed by issuer Authentication request ST Trusts the Security Token from the issuer Active Directory Issues Security Token Security Token Authenticates user to the application Relying party / Resource provider

11 11 Claims-Aware Application Die Applikation autorisiert basierend auf den Claims, welche im Security Token enhalten sind Keine Notwendigkeit mehr eine Authentisierung zu Machen Der gleiche Authentisierungs-Mechanismus für Applikationen Unabhängig ob On-Premise im Intranet oder in der Cloud Claims können von der eigenen Organization genauso akzeptiert werden, wie solchen von Bernutzern von vertrauten Partnern

12 12 Building Claims-Aware Applications Window Identity Foundation (WIF) bietet das gemeinsame Programming Modell für Claims SharePoint Services unterstützt seit der Version 2007 claims-based Identities

13 13 Standards and Protocols ADFS v 2.0 unterstützt sowohl aktive wie passive Clients Active Klients interagieren mit Web Services Passive Klients interagieren mit Browser Requests Support für Industry Standard Protokolle erlauben das Zusammenspiel mit Third-party Lösungen WS-Federation SharePoint braucht WS-Federation v 2 SAML 2.0

14 14 Was ist ein Passive Client User Claims-aware app ADFS STS Active Directory Browse app App trusts STS Not authenticated Redirected to STS Return Security Token Send Token ST ST Authenticate Query for user attributes Return page and cookie

15 15 X.509 Certificates Relying party Issuer Root for B A Communication B Root for A Public key of C Signing ST C D Encyption ST Public key of D Trust is managed through certificates Certificates for HTTPS Communications Security token signing and encryption Require PKI for A & B certificates, C & D can be self-signed by ADFS server

16 16 Federation Metadata Beim Aufbau des Issuer / Relying Party Trust, müssen beide Beteiligten in ihrer Konfiguration die folgenden Punkte berücksichtigen End-points für die Kommunikation Claims offered by Issuer (dort wo die Accounts liegen) Claims accepted by replying party (dort wo die Ressource ist) Public keys for signing and encryption Diese Informationen können entweder Manuell oder automatisch via Austausch der Federation Metadaten konfiguriert werden Federation Metadaten können automatisch aktualisiert werden

17 17 DEMO

18 18 Configuration Claims-aware application ADFS Active Directory APP1 Define STS1 as claims provider STS1 Define AD as claims provider Define APP1 as Relying party

19 19 Claims Pipeline Specify the users that are permitted to access the relying party Claims provider Issuance Authorization Rules input Acceptance Transform Rules input Permits/denies rule processing and claims issuance ST output Issuance Transform Rules input Specify incoming claims that will be accepted from the claims provider and the outgoing claims that will be sent to the relying party trust Specifies claims that will be sent to the relying party Resulting claims added to security token

20 20 Frage - Wo wird ADFS überall eingesetzt? Federation Trusts Workplace Join Workfolders Webapplication Proxy

21 21 Was kommt als Nächstes Azure AD B2B Azure AD B2C

22 22 F&A

23 23 Weiterführende Kurse Configuring Advanced Windows Server 2012 R2 Services («L32») Implementing an Advanced Server Infrastructure («L34»)