Upload
microsoft-technet-france
View
762
Download
3
Embed Size (px)
DESCRIPTION
Avec une souscription Azure ou Office 365, vous bénéficiez automatiquement d'un annuaire hébergé par Microsoft WAAD. Pour gérer vos propres identités sur internet vous utilisez la fédération d'identité (ADFS). Pour vous ouvrir au grand public vous utilisez ACS (Live, Google, Facebook) Sur votre réseau local vous utilisez Kerberos. Que faut-il utiliser ? quels sont les impacts sur les solutions développées ? Les différents scénarios de fédération passive (Browsers) et active (Client lourds, Web Services), c2wts Kerberos contraint avec des démos mettant en œuvre SharePoint, Office365, CRM, ASP.Net, WCF, Windows 8 Modern UI, WP8, SSRS, SSAS, SAP, WAAD, ACS, ADFS, (Shibboleth ??) Cette session s'adresse aux architectes et développeurs d'entreprise devant intégrer des solutions Cloud dans leurs projets. Une bonne maîtrise du Framework .Net est un pré-requis Speakers : Stéphane Goudeau (Microsoft), Franck Musson (NEOS-SDI)
Citation preview
Architecture/Azure/Cloud#mstechdays
Depuis votre smartphone sur :http://notes.mstechdays.fr
De nombreux lots à gagner toute les heures !!!Claviers, souris et jeux Microsoft…
Merci de nous aider à améliorer les Techdays !
Donnez votre avis !
Architecture/Azure/Cloud
Cloud Hybride, le SSO de bout en bout
Franck MUSSON (Neos-Sdi)Stéphane GOUDEAU (Microsoft)
Email, site Web, Twitter
Architecture/Azure/Cloud#mstechdays
• Cloud hybride et gestion d’identité : concepts, standards et technologies
• Identification des applications dans le Cloud : Intégration avec Windows Azure Active Directory
• Scénario SSO pour des solutions Cloud Hybride d’Entreprise
• Evolution vers de nouveaux protocoles• Conclusion
Agenda
Architecture/Azure/Cloud#mstechdays
CLOUD HYBRIDE ET GESTION D’IDENTITÉ Concepts, standards et technologies
Architecture/Azure/Cloud#mstechdays
Cloud Hybride et gestion d’identité
ROI Réduction des coûts Agilité, évolutivité et élasticité « Emancipation » des « Business Units » Périphériques mobiles Consumérisation de l’IT
Freins et modérateurs
SI fédéré (multi-sources)
Modèles de déploiement et opérateurs
multiples
Modèles de mise en œuvre multiples
Modèles de canaux multiples
Cloud privéCloud communautaireCloud publicAuto-hébergé SaaS PaaS IaaS Centre de données
conventionnel
Direct pour le SI Revente par le biais
de fournisseur de services
Accélérateurs du
Changement
Système d’information
Contraintes liées à l’existant Respect de la vie privée Conformité aux politiques de
sécurité Charge d’administration Facilité d’utilisation, d’exploitation Gain ou perte pour l’intégration
Architecture/Azure/Cloud#mstechdays
Client
Partie de confiance
Service de jetons de sécurité (STS)
1
2
Jeton
signature
revendications nom: stephgou, rôles: … …
Cadre de confiance
Evolution résultante pour la gestion d’identité• L’identité s’applique à de
multiples entités– Personnes, organisations,
appareils, applications et services (code)
• L’identité– Devient un ensemble de
revendications (claims) consommées au sein de l’informatique fédérée pour l’authentification (unique), la délégation d’identité et le contrôle d’accès, (voir le peuplement)
– Est véhiculée sous forme d’un jeton selon un protocole
Architecture/Azure/Cloud#mstechdays
• La gestion d’identité se fonde aujourd'hui sur de multiples standards ouverts :– Formats de jeton : SAML, OpenID, SWT, JWT,…– Protocoles : Kerberos, SAML-P 2.0, WS-Federation, WS-Trust, OAuth2, OpenID,…
• Active Directory Federation Services (AD FS) 2.0– Authentifie l’utilisateur et émet les valeurs, formats et types spécifiques de revendications requises
par l’application ou le service
• Windows Identity Foundation (WIF)– Valide le jeton de sécurité émis par le STS– Extrait les revendications et les met à disposition de l’application ou du service Cloud ou à demeure
• Access Control Service (ACS) V2.0– « ADFS du Cloud » : Identité fédérée et autorisation pour tout type d’Application : Web, Desktop,
Mobile– Identity Providers: Facebook, Google, Yahoo, LiveID, STS WS-Federation
• Windows Azure Active Directory (WAAD)– Annuaire sur Windows Azure– Connexion et synchronisation de Windows Server Active Directory avec Windows Azure– Utilisé aujourd’hui par les souscriptions Windows Azure, Office 365, Dynamics CRM Online et
Windows Intune
Standards d’identité et technologies Microsoft
Architecture/Azure/Cloud#mstechdays
IDENTIFICATION DES APPLICATIONS DANS LE CLOUDIntégration avec Windows Azure Active Directory
Architecture/Azure/Cloud#mstechdays
Intégration avec Windows Azure Active Directory
https://login.windows.net/<tenant domain name>/<protocol>
Architecture/Azure/Cloud#mstechdays
BrowserWebAp
p
Windows Azure Active Directory WebApp Service Principal
• App ID URI• Reply URL
1. Navigate to site
2. Redirect to directory tenant to sign in (App ID URI)
3. Sign in
4. Send SAML token to Reply URL
5. Set session
Windows Identity Foundation
SAML 2.0 or WS-Federation endpoint
Authentification Web en WS-Fed avec WAAD
démo
Architecture/Azure/Cloud#mstechdays
AUTHENTIFICATION WEB AVEC WINDOWS AZURE ACTIVE DIRECTORY
Architecture/Azure/Cloud#mstechdays
Active Directory (WaaD)
yourdomain.onmicrosoft.com (managed)yourdomain.com (federated) SAML-P
Users SynchroFIM, DirSync,PowerShell
Fédération WAAD basée sur SAML 2.0
démo
Architecture/Azure/Cloud#mstechdays
AUTHENTIFICATION SUR UN STS SAML GRÂCE À WINDOWS AZURE ACTIVE DIRECTORY
Architecture/Azure/Cloud#mstechdays
SCÉNARIO SSO POUR DES SOLUTIONS CLOUD HYBRIDE D’ENTREPRISE
Architecture/Azure/Cloud#mstechdays
The Big Picture
VPN
ADFS / MFAADFS ProxyActive DirectoryRWDC
Shibboleth
LDAP Server
ADFS ProxyADFS / MFAActive Directory
AppFabricWCF/SOAP
SSAS 2012
SQLServer 2012 SharePoint 2013Farm
Web Sites
Firewall/Reverse
Web Sites
SQLServer 2008R2
Architecture/Azure/Cloud#mstechdays
Scenario OnPremise – Accès depuis l’extérieur
VPN
ADFS / MFAADFS ProxyActive DirectoryRWDC
ADFS / MFAActive Directory
AppFabricWCF/SOAP
SSAS 2012
SQLServer 2012 SharePoint 2013Farm
Web Sites
Firewall/Reverse
Web Sites
SQLServer 2008R2
démo
Architecture/Azure/Cloud#mstechdays
SCÉNARIO « ON PREMISE »
Accès depuis l’extérieur
Architecture/Azure/Cloud#mstechdays
Scenario Cloud Hybride ADFS dans Azure
VPN
ADFS / MFAADFS ProxyActive DirectoryRWDC
ADFS / MFAActive Directory
AppFabricWCF/SOAP
SSAS 2012
SQLServer 2012 SharePoint 2013Farm
Web Sites
Firewall/Reverse
Web Sites
SQLServer 2008R2
démo
Architecture/Azure/Cloud#mstechdays
SCENARIO CLOUD HYBRIDE ADFS DANS AZUREAccès depuis une Application Azure aux ressources à demeure – Authentification avec ADFS sur Azure
Architecture/Azure/Cloud#mstechdays
Scénario Cloud Hybride WAAD
VPNAppFabricWCF/SOAP
Firewall/Reverse
démo
Architecture/Azure/Cloud#mstechdays
SCÉNARIO CLOUD HYBRIDE WAADAccès depuis une Application Azure aux ressources à demeure – Authentification avec WAASD
Architecture/Azure/Cloud#mstechdays
EVOLUTION DES PROTOCOLES
Architecture/Azure/Cloud#mstechdays
Evolution des protocoles
Reposent sur une grande variété de langages / plates-formes /appareils
Navigateur
Application native
Application serveur
Reposent sur une grande variété de langages / plates-formes
Basic, SAML 2.0, WS-Fed, OpenID Connect
(WS-Trust,) OAuth 2.0
OAuth 2.0
OAuth 2.0
Des protocoles standard fondés sur HTTP pour une portée maximale
Architecture/Azure/Cloud#mstechdays
Windows Azure Active Directory
NativeApp
OAuth 2.0 authorize endpoint OAuth 2.0 token endpoint
ADAL WebAPI
Windows Identity Foundation
JWT Handler
Web API SP• App ID URI
Native App SP• Client ID• Redirect URI Impersonation
grant
Obtention d’un code d’autorisation OAuth 2
1. Request Auth Code (Client ID, Redirect URI, App ID URI)
2. Sign in
3. Return Auth Code to Redirect URI
User sees web pop up
…
* Active Directory Authentication Library: client-side helper library that handles UI prompts, protocol, caching.
Architecture/Azure/Cloud#mstechdays
Windows Azure Active Directory
4. Redeem Auth Code (Auth Code, Client ID, Redirect URI, App ID URI)
NativeApp
OAuth 2.0 authorize endpoint OAuth 2.0 token endpoint
ADAL
5. Return Access Token (JWT*), Refresh Token (JWT*)
6. Send Access Token on AuthZ Header
*JWT = JSON Web Token, a JSON-encoded security token bearing claims.
WebAPI
Windows Identity Foundation
JWT Handler
Web API SP• App ID URI
Native App SP• Client ID• Redirect URI Impersonation
grant
Obtention d’un jeton d’accès JWT
démo
Architecture/Azure/Cloud#mstechdays
APPLICATION WINDOWS 8 AUTHENTIFIÉE PAR WAAD POUR UN APPEL SUR WEBAPI
Architecture/Azure/Cloud#mstechdays
CONCLUSION
Architecture/Azure/Cloud#mstechdays
Des services et technologies pour la mise en place de solutions SSO pour le Cloud Hybride
Fournisseurs d'identitésgrand publicPC et appareils
Windows Server Active Directory
Applis Microsoft
Clouds/hébergement tiers
Applis ISV/CSVApplis métier personnalisées
Architecture/Azure/Cloud#mstechdays
Ressources Techniques• Scénarios de gestion d’identité dans Azure
– Adding Sign-On to Your Web Application Using Windows Azure AD Web application that uses Windows Azure AD for single sign-on.
– Access Control Service 2.0 Use ACS to authenticate users from Windows Azure AD and other identity providers to your applications and services.
– Developing Multi-Tenant Web Applications with Windows Azure AD Web application that can be used by organizations that have Windows Azure Active Directory.
– Securing a Windows Store Application and REST Web Service Using Windows Azure AD (Preview) Windows Store application that uses a REST web service secured by Windows Azure AD and the Windows Azure Authentication Library.
• Whitepapers Windows Azure Active Directory.– http://www.microsoft.com/en-us/download/
details.aspx?id=36391
• Windows Azure Active Directory Tenant Administration - Learn how to administer your Windows Azure AD directory tenant, such as configuring on-premises integration, creating and managing accounts, and resolving issues with your service.Integrating Applications in Windows Azure Active Directory - Learn how to register and integrate an application with Windows Azure AD.
• Windows Azure Active Directory Authentication Protocols - Learn about the different authentication protocols that you can use to authenticate to Windows Azure AD, including WS-Federation, SAML 2.0, and OAuth 2.0.
• Windows Azure Active Directory Authentication Libraries - Learn about the code libraries you can use to easily authenticate to Windows Azure AD, including the Windows Azure Active Directory Authentication Library (ADAL).
• Authorization with Windows Azure Active Directory - Learn how to use user and group information in Windows Azure Active Directory to manage access to secured resources in your applications and services.
Architecture/Azure/Cloud#mstechdays
SharePoint 2013 hybrid environments
http://technet.microsoft.com/en-us/library/dn197168.aspx
© 2014 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
Digital is business