1 / 44

Droga do Genevy

Droga do Genevy. TOMASZ ONYSZKO. Konsultant | Microsoft. Imagine there’s no password And there’s single sign-on too This all works across realms And users know what to do. Problem. The Internet was built without a way to know who and what you are connecting to.

yamin
Download Presentation

Droga do Genevy

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Droga do Genevy TOMASZ ONYSZKO Konsultant | Microsoft

  2. Imagine there’s no password And there’s single sign-on too This all works across realms And users know what to do

  3. Problem ...

  4. The Internet was built without a way toknow who and whatyou are connecting to. Kim Cameron, The Laws of Identity

  5. Dodatkowe konto Cloud DB AD Dodatkowe konto App6 Extranet App5 Logowanie Logowanie App4 Intranet Intranet Extranet Logowanie Logowanie DB AD Dodatkowe konto SSO Logowanie App3 App1 App2 DB DB AD AD Dodatkowe konto Dodatkowe konto

  6. Definicja problemu • Aplikacje potrzebują dwóch elementów • Uwierzytelnienia • Dostępu do informacji o użytkowniku w celu podjęcia decyzji logicznych • Realizowane na wiele różnych sposobów • Login\hasło, X.509, Kerberos, SAML, LDAP, … • Wybór technologi zależny od scenariusza

  7. Rozwiązanie ... ... a przynajmniej pytanie – czy można inaczej ???

  8. Claims

  9. Claims based identity • Warstwa abstrakcji nad mechanizmami uwierzytelnienia i dostępu do danych o użytkownika • Logika aplikacji \ autoryzacja oparta jedynie na claims

  10. Identity Provider (Security TokenService)

  11. Relaying Party

  12. Claims based identity Identity Provider (STS) 2. Pobierz informacje (claims), Dostosuj je dla aplikacji zaufanie 1. Uwierzytelnienie 3. Wyślij claims Aplikacja 4. Przekaż claims Claims Framework Klient Relying Party

  13. „Geneva”

  14. Microsoft a spraw tożsamości Live Identity Services Microsoft Federation Gateway .Net Access Control Service Services Claims-Based Access ADFSv2 Microsoft Services Connector Windows CardSpace 2.0 Windows Identity Foundation Live Framework Software Active Directory AD LDS SQL API

  15. Oto Geneva ... ADFS 2.0 zaufanie Aplikacja Windows Identity Foundation Windows Card Space 2.0 Relying Party

  16. Geneva to ... • ADFS v 2 • Security Token Service • Windows Identity Framework • Dostęp dla claims od strony aplikacji • Windows CardSpace 2.0 • Komponent klienta, Information Cards

  17. I tylko pytanie ... Po co to wszystko ????

  18. Federacyjna współpraca Fabrikam Contoso AD FS 2.0 AD FS 2.0 trust trust Relying Party Frank Miller SharePoint 2007 5. Uwierzytelnienie 4. Przekierowanie do STS 2. Przekierowanie do STS 1. Próba dostępu 3. Skąd jesteś? Windows Identity Foundation

  19. Federacyjna współpraca Fabrikam Contoso trust trust Frank Miller Relying party SharePoint 2007 6. Pobierzclaims 8. Pobierzclaims 9. Wyślijdo aplikacji 7. Przekażclaims Windows Identity Foundation

  20. (cc) Now picnic

  21. Przed chwilą widzieliśmy ... • Dostęp do aplikacji w innej organizacji • Bez relacji zaufania • Przez sieć publiczną • Użytkownik posiadał konto tylko we własnej organizacji • Autoryzacja na podstawie stwierdzeń o użytkowniku

  22. Delegacja tożsamości AD FS 2.0 trust trust Front End Back End Frank Miller Web Application Web Service Windows Identity Foundation Windows Identity Foundation

  23. Usługi Online Fabrikam Microsoft Online Microsoft Federation Gateway AD FS 2.0 trust trust Relying party “Microsoft Federation Gateway Utility” SharePoint Online Exchange Online Frank Miller CRM Online …

  24. Pozostał jeden problem • Użytkownik nadal staje przed wyborem • Skąd przychodzę? • Kim jestem ? • Jak się uwierzytelnić? • Czy nie dałoby się prościej?

  25. (cc) Now picnic

  26. Interoperacyjność • ADFS v 1 • Zbudowany w oparciu o standardy, WS-Federation, WS-Trust (OASIS) • Współpracuje z • IBM Tivoli Federated Identity Manager • CA eTrust Siteminder 6 SP5 • Oracle Identity Federation • Ping Identity PingFederate • Novell Access Manager 3.1 • Shibboleth System 1.3 • Sun OpenSSO Enterprise

  27. Interoperacyjność – ADFS v 2 • WS-Federation • WS-Trust • Obsługuje tokeny SAML v 2.0 • Profile IdP Lite, SP Lite, eGov • Współpraca z innymi rozwiązaniami wspierającymi SAML

  28. Interoperability

  29. (cc) Now picnic

  30. Podsumowanie • Geneva to ... • Serwer (ADFS v2) • Klient (Windows Cardspace 2.0) • Framework (Windows Identity Framework) • Umożliwia budowanie aplikacji opartych na claims na platformie Windows Server i .NET

  31. Dostępna dla ... • ADFV v 2.0 • Windows 2008 i wyższe • Windows Identity Framework • .NET Framework 3.5 i wyższe • Windows CardSpace 2.0 • Windows Vista \ Windows 7 ... i wyższe ;)

  32. Źródła danych • Authentication provider • Active Directory • Rozszerzalne • Atrybuty • AD LDS \ ADAM • SQL • Rozszerzalne

  33. Tożsamość oparta na claims... • Warstwa abstrakcji nad tożsamością i jej mechanizmami • Jednolity model uprawnień oparty o poświadczenia (claims) • Uproszczona współpraca pomiędzy platformami i źródłami danych

  34. Tożsamość oparta na claims... (cc) jamesjustin

  35. Imagine there’s no password And there’s single sign-on too This all works across realms And users know what to do

  36. (cc) draconisVH

  37. Oceń moją sesję • Ankieta dostępnana stronie www.mts2009.pl • Wygraj wejściówki na następny MTS!

More Related