Cnlab / CSI 2013 Social Business endlich produktiv! Demo. Identity Federation in der Praxis

Transkript

1 Cnlab / CSI 2013 Social Business endlich produktiv! Demo Identity Federation in der Praxis Zürich, 11. September 2013

2 Identity Federation in der Praxis - SSO mittels Kerberos (AD-Integriert) - Federation Lync to Lync - Federation Lync to Skype - Facebook Integration in Skype mittels OAuth

3 SSO mittels Kerberos (AD-Integriert)

4 SSO mittels Kerberos (AD-Integriert) Domain: cnlab.ch Client Ticket Cache Internet Explorer Firefox Chrome Passwort Key Distribution Center (KDC) Web-Server Ticket Granting Service (TGS)

5 SSO mittels Kerberos (AD-Integriert): Demo: Windows Kerberos Tray

6 SSO mittels Kerberos (AD-Integriert) Demo: keytab File auf Server

7 SSO mit Kerberos: Security-Issues SSO mit dem Windows-Client Zugang zum Client gibt automatisch auch Zugang zur Anwendung. Logout auf Anwendungsstufe ist wirkungslos. Qualität der Authentisierung ist abhängig von der Authentisierung an KDC User kann sich am Client stark authentisieren (z.b. Smart-Card), Authentisierung des Clients am KDC basiert aber immer auf einem Passwort («Shared Secret»). Gültigkeit der Kerberos-Tickets ist relativ lang (Standard-Wert: 10h).

8 Identity Federation in der Praxis - SSO mittels Kerberos (AD-Integriert) - Federation Lync to Lync - Federation Lync to Skype - Facebook Integration in Skype mittels OAuth

9 Microsoft Lync Federation Federation ist notwendig um mit Benutzern von anderen Organisationen die Funktionen von Lync gemeinsam zu nutzen. Open Federation Federation wird via Domain Name System (DNS) publiziert. Federations-Partner werden automatisch erkannt. Für die Authentisierung sind SSL-Zertifikate von öffentlichen CAs notwendig. Closed Federation Federations-Partner müssen auf jeder Lync-Installation manuell konfiguriert werden. Beliebige Zertifikate können verwendet werden. Verzeichnisse mit bekannten Lync Federation-Partnern Weist ca. 20 Einträge auf für die Schweiz

10 Federation Lync to Lync Internet DNS-Einträge SRV: _sipfederationtls._tcp.swisscom.com Host: sip.swisscom.com:5061 SRV: _sipfederationtls._tcp.cnlab.ch Host: access.cnlab.ch:5061 DNS Internet DNS Edge Server SIP Edge Server Lync Server Lync Client swisscom.com Lync Server Lync Client cnlab.ch

11 Federation Lync to Lync Namensauflösung via DNS SIP-Verbindungen verschlüsselt mit SSL Authentisierung mit SSL-Zertifikaten:

12 Federation Lync to Lync

13 Federation Lync to Lync: Security-Issues Namensauflösung der Partner erfolgt via DNS Anfällig auf DNS Spoofing Authentisierung basiert auf dem Windows-Trust-Store: Qualität der CAs ist nicht immer genügend. Automatic Root Certificate Update von Microsoft erlaubt unbemerkte Veränderung des Trust-Store. Präsenz-Information im Internet verfügbar Abhängig von globalen Einstellungen im Lync und persönlichen Einstellungen des Benutzers. File Transfer via Lync Instant Messaging Desktop-Sharing Automatische Aufzeichnung von Kommunikationen

14 Identity Federation in der Praxis - SSO mittels Kerberos (AD-Integriert) - Federation Lync to Lync - Federation Lync to Skype - Facebook Integration in Skype mittels OAuth

15 Federation Lync to Skype Mittels Federation mit Microsoft kann via Lync mit Skype-Benutzern kommuniziert werden. Verfügbarkeit Voice, IM und Präsenz seit Juni 2013 Video ab 2014 Skype Connectivity Provisioning unter Adressierung Lync Benutzer über SIP-Adresse Skype-Benutzer benötigen ein Microsoft-Konto, Adressierung über Adresse des Microsoft Kontos Microsoft-Konten welche nicht Microsoft-Adressen verwenden müssen speziell adressiert werden: z.b.

16 Federation Lync to Skype Microsoft federation.messenger.msn.com Skype Protokoll Internet SIP Skype Client Edge Server Lync Server Lync Client cnlab.ch

17 Federation Lync to Skype

18 Federation Lync to Skype: Security-Issues Authentisierung der Skype-User durch Microsoft Kein AD basierte Authentisierung Zugang zum Telefon-Verkehr durch Microsoft Gesamter Verkehr wird über Microsoft geleitet Vermischung von privaten und geschäftlichen Communities Zugang zu privaten Daten

19 Identity Federation in der Praxis - SSO mittels Kerberos (AD-Integriert) - Federation Lync to Lync - Federation Lync to Skype - Facebook Integration in Skype mittels OAuth

20 Facebook Integration in Skype Skype kann mit folgenden Credentials verwendet werden: Skype-Konto Facebook-Konto Microsoft-Konto Skype greift mittels OAuth auf folgende Daten in Facebook zu: Profil-Informationen (Name, Foto, , Geburtstag,...) Präsenz-Status Facebook-Freunde Profil-Information der Facebook-Freunde Meldungen Skype kann folgende Funktionen ausführen: Meldungen in meinem Namen posten Chat

21 Facebook Integration in Skype: Authentisierung bei Facebook

22 Facebook Integration in Skype: Berechtigungen an Skype erteilen

23 Facebook Integration in Skype: Berechtigungen in Facebook verwalten

24 Facebook Integration in Skype: Facebook Infos in Skype

25 Facebook Integration in Skype: Facebook Chat und Voice

26 Facebook Integration in Skype: Facebook Voice

27 Facebook Integration in Skype: Security Issues Skype (Microsoft) hat Zugriff auf mein Facebook-Konto Daten lesen Kontakte lesen Nachrichten verschicken Skype-Zugang ist abhängig von Facebook-Authentisierung Skype-Zugang, falls die Sicherheit von Facebook gebrochen wird Zugang zu Skype durch Zugang auf das Facebook-Passwort

28 Danke Thomas Lüthi Zürich, 11. September 2013