440 likes | 538 Views
Droga do Genevy. TOMASZ ONYSZKO. Konsultant | Microsoft. Imagine there’s no password And there’s single sign-on too This all works across realms And users know what to do. Problem. The Internet was built without a way to know who and what you are connecting to.
E N D
Droga do Genevy TOMASZ ONYSZKO Konsultant | Microsoft
Imagine there’s no password And there’s single sign-on too This all works across realms And users know what to do
The Internet was built without a way toknow who and whatyou are connecting to. Kim Cameron, The Laws of Identity
Dodatkowe konto Cloud DB AD Dodatkowe konto App6 Extranet App5 Logowanie Logowanie App4 Intranet Intranet Extranet Logowanie Logowanie DB AD Dodatkowe konto SSO Logowanie App3 App1 App2 DB DB AD AD Dodatkowe konto Dodatkowe konto
Definicja problemu • Aplikacje potrzebują dwóch elementów • Uwierzytelnienia • Dostępu do informacji o użytkowniku w celu podjęcia decyzji logicznych • Realizowane na wiele różnych sposobów • Login\hasło, X.509, Kerberos, SAML, LDAP, … • Wybór technologi zależny od scenariusza
Rozwiązanie ... ... a przynajmniej pytanie – czy można inaczej ???
Claims based identity • Warstwa abstrakcji nad mechanizmami uwierzytelnienia i dostępu do danych o użytkownika • Logika aplikacji \ autoryzacja oparta jedynie na claims
Identity Provider (Security TokenService)
Claims based identity Identity Provider (STS) 2. Pobierz informacje (claims), Dostosuj je dla aplikacji zaufanie 1. Uwierzytelnienie 3. Wyślij claims Aplikacja 4. Przekaż claims Claims Framework Klient Relying Party
Microsoft a spraw tożsamości Live Identity Services Microsoft Federation Gateway .Net Access Control Service Services Claims-Based Access ADFSv2 Microsoft Services Connector Windows CardSpace 2.0 Windows Identity Foundation Live Framework Software Active Directory AD LDS SQL API
Oto Geneva ... ADFS 2.0 zaufanie Aplikacja Windows Identity Foundation Windows Card Space 2.0 Relying Party
Geneva to ... • ADFS v 2 • Security Token Service • Windows Identity Framework • Dostęp dla claims od strony aplikacji • Windows CardSpace 2.0 • Komponent klienta, Information Cards
I tylko pytanie ... Po co to wszystko ????
Federacyjna współpraca Fabrikam Contoso AD FS 2.0 AD FS 2.0 trust trust Relying Party Frank Miller SharePoint 2007 5. Uwierzytelnienie 4. Przekierowanie do STS 2. Przekierowanie do STS 1. Próba dostępu 3. Skąd jesteś? Windows Identity Foundation
Federacyjna współpraca Fabrikam Contoso trust trust Frank Miller Relying party SharePoint 2007 6. Pobierzclaims 8. Pobierzclaims 9. Wyślijdo aplikacji 7. Przekażclaims Windows Identity Foundation
Przed chwilą widzieliśmy ... • Dostęp do aplikacji w innej organizacji • Bez relacji zaufania • Przez sieć publiczną • Użytkownik posiadał konto tylko we własnej organizacji • Autoryzacja na podstawie stwierdzeń o użytkowniku
Delegacja tożsamości AD FS 2.0 trust trust Front End Back End Frank Miller Web Application Web Service Windows Identity Foundation Windows Identity Foundation
Usługi Online Fabrikam Microsoft Online Microsoft Federation Gateway AD FS 2.0 trust trust Relying party “Microsoft Federation Gateway Utility” SharePoint Online Exchange Online Frank Miller CRM Online …
Pozostał jeden problem • Użytkownik nadal staje przed wyborem • Skąd przychodzę? • Kim jestem ? • Jak się uwierzytelnić? • Czy nie dałoby się prościej?
Interoperacyjność • ADFS v 1 • Zbudowany w oparciu o standardy, WS-Federation, WS-Trust (OASIS) • Współpracuje z • IBM Tivoli Federated Identity Manager • CA eTrust Siteminder 6 SP5 • Oracle Identity Federation • Ping Identity PingFederate • Novell Access Manager 3.1 • Shibboleth System 1.3 • Sun OpenSSO Enterprise
Interoperacyjność – ADFS v 2 • WS-Federation • WS-Trust • Obsługuje tokeny SAML v 2.0 • Profile IdP Lite, SP Lite, eGov • Współpraca z innymi rozwiązaniami wspierającymi SAML
Podsumowanie • Geneva to ... • Serwer (ADFS v2) • Klient (Windows Cardspace 2.0) • Framework (Windows Identity Framework) • Umożliwia budowanie aplikacji opartych na claims na platformie Windows Server i .NET
Dostępna dla ... • ADFV v 2.0 • Windows 2008 i wyższe • Windows Identity Framework • .NET Framework 3.5 i wyższe • Windows CardSpace 2.0 • Windows Vista \ Windows 7 ... i wyższe ;)
Źródła danych • Authentication provider • Active Directory • Rozszerzalne • Atrybuty • AD LDS \ ADAM • SQL • Rozszerzalne
Tożsamość oparta na claims... • Warstwa abstrakcji nad tożsamością i jej mechanizmami • Jednolity model uprawnień oparty o poświadczenia (claims) • Uproszczona współpraca pomiędzy platformami i źródłami danych
Tożsamość oparta na claims... (cc) jamesjustin
Imagine there’s no password And there’s single sign-on too This all works across realms And users know what to do
Oceń moją sesję • Ankieta dostępnana stronie www.mts2009.pl • Wygraj wejściówki na następny MTS!