Federointi kertakirjautumisen mahdollistajana Mika Seitsonen ja Ahti Haukilehto, senior-konsultit Soveltosta
Sisältö 2 Federoinnin ja claim-pohjaisen identiteetin arkkitehtuuri Pilvipalveluiden tuki federoinnille Hyödyntämiskohteet
Active Directoryn iso kuva 3 White Paper:istä Active Directory from on-premises to the cloud : 88% of Fortune 1000 and 95% of enterprises use AD Windows Azure Active AD FS 1.0 AD FS 1.1 AD FS 2.0 AD FS 2.1 Active Directory Active Directory Domain Services 2000 2003 2005 2008 2012 2013
Todennuksen ja valtuutuksen haasteita 4 Etäkäyttö miten toteutetaan pääsy yrityksen sisäverkossa tai Extranetissa oleviin palveluihin silloin, kun todennukseen käytettävä Identity Store (IS) on verkollisesti hankalasti sijoitettu? palomuuriavaukset erilliset identiteetit eri Identity Storeissa (aiheuttaa tarpeen synkronoinnille) Partnerit/asiakkaat miten tarjota partnerin tai asiakkaan käyttäjille pääsy palveluita tarjoavan yrityksen resursseihin niin, että todennustietojen kontrolli on partner- tai asiakasorganisaatiolla? halutaan välttyä tilanteelta, jossa partner-organisaation käyttäjille luodaan tuplatunnukset Windows-luottosuhteet eivät ole ratkaisu verkkoteknisten syiden eivätkä päätelaitteiden kirjon kasvamisen takia Pilvipalvelut miten voidaan toteuttaa Single Sign-On (SSO) yrityksen omilla AD-tunnuksilla pilvipalveluihin?
Miten claim-based identity sopii tähän kuvaan? Ongelmat nykyisissä todennusratkaisuissa yhteensopimattomuus (LM, NTLM) verkkotekniset seikat (Kerberos) sovellusten vaatimukset AD FS:n käyttötapauksessa todennus tehdään erikseen Identity Storea vasten AD FS:n tapauksessa Identity Store on AD, ellei ketjutettu Kun käyttäjä on todennettu, hänen tietojensa pohjalta voidaan muodostaa claim:eja (Claim), jotka kuvaavat käyttäjän ominaisuuksia (nimi, käyttäjätunnus, ryhmäjäsenyydet jne.) ADFS-palvelin muodostaa claimin/claimeja käyttäen eri datalähteistä saatavaa attribuuttidataa Sovellus, johon käyttäjä kirjautuu, ei tee todennusta, vaan valtuuttaa käyttäjän claim:in tietojen pohjalta sovellusten pitää ymmärtää ja todentaa claim:in sisältö claim:in tulee sisältää tiedot, jotka sovellus tarvitsee päätöksiä tehdessään Federoidussa järjestelmässä relying party myöntää pääsyn resursseihin claims provider:in myöntämien claim:ien sisällön perusteella. Relying party luottaa claims provider:iin näiden välinen suhde kuvataan luottamussuhteena
Analogia claim-pohjaisesta todennuksesta ja valtuutuksesta Tilaisuus: vähän vielä TechDays:iä suurempi konferenssi Tilaisuuteen osallistuvalla henkilöllä Simo on kolme roolia: Tilaisuuden sponsorin edustaja Esiintyjä/luennoitsija Osallistuja muiden esityksissä Rekisteröityminen: Simo esittää rekisteröintitiskin luottaman tahon (Security Token Service) myöntämän kuvallisen henkilöllisyystodistuksen (Security Token) Sisältää väittämiä (claim) henkilöstä: valokuva, nimi, syntymäaika jne. Aitouden voi varmistaa eri tekijöiden perusteella (esim. hologrammi) Rekisteröitymisen yhteydessä Simo saa konferenssipassin, jossa nimi sekä eri värisiä tunnisteita Ko. passi on voimassa konferenssialueella Valtuutus eri tilojen ovilla seisovan henkilön toimesta (Relying Party) Materiaalinjakopisteessä Simo saa yhden värisen tunnisteen perusteella osallistujamateriaalin Simo pääsee näyttelyalueelle toisen passin tunnistevärin perusteella (sponsorin edustaja), vaikka alue ei olekaan vielä avattu osallistujille Simo pääsee puhujien tilaan passin kolmannen tunnistevärin perusteella 6
Claim-pohjaisen todennuksen ja valtuutuksen toimintaperiaate Claims Provider (CP) Security Token Service (STS) Authentication Provider Attribute Store User / Subject /Principal Security Token sisältää claim:ejä käyttäjästä Esimerkiksi: Nimi Ryhmäjäsenyys(ksiä) User Principal Name (UPN) Sähköpostiosoite Puhelinnumero Muita attribuuttien arvoja Myöntäjän digit. allekirjoitus Authentication request ST Active Directory Issues Security Token Security Token todentaa/valtuuttaa käyttäjän sovellukseen Relying party / Resource provider Luottaa myöntäjän myöntämään security token:iin
Termistö ja yhteensopivuus Konsepti Identiteettejä ylläpitävän federointiosapuolen käyttäjää kuvaava XMLdokumentti, jonka taho lähettää sovellusta hallitsevalle osapuolelle käyttöpyynnön aikana Federointiosapuoli, joka luo käyttäjille Security Token:eita Federointiosapuoli, joka hyödyntää Security Token:eita sovelluksen valtuutuksessa Käyttäjää kuvaavaa dataa, joka lähetetään Security Microsofttermi Security Token Claims Provider Relying Party Claim SAML 2.0 termi Assertion Identity Provider Service Provider Assertion statement Loistodokumentti Using AD FS 2.0 for interoperable SAML 2.0-based federated Web Single Sign-On http://download.microsoft.com/documents/ France/Interop/2010/Using_ADFS2_0_For_In teroperable_saml_2_0- Based_Federated_SSO.docx Sisältää myös 11 Gotchas AD FS 2.0 Content Map: http://social.technet.microsoft.com/wiki/con tents/articles/2735.aspx
Passiivinen profiili kahden organisaation tapauksessa Toisen organisaation käyttäjä Claim-tietoinen sovelluksesi AD FS -palvelusi Toisen organisaation ADFS STS & IP Toisen organisaation Active Directory Browse app Not authenticated Redirect to your STS Home realm discovery ST ST Send Token Return page and cookie Redirected to partner STS requesting ST for partner user Return ST for consumption by your STS Redirected to your STS Return new ST ST Process token ST Authenticate
Active Directory Federation Services (AD FS) -versiot 1.0 - Windows Server 2003 R2:lle ladattava laajennus Federation Service Federation Service Proxy Web Agent Rajoituksia Tukee vain WS-Federation passive requestor -profiilia > vain selain-pohjaiset web-sovellukset tuettuja Ei tue SAML-protokollaa Paljon manuaalisia (URL) määrityksiä 1.1 Windows Server 2008/R2 Feature Claim-pohjaisten sovellusten integroitu määritys Token-pohjaisten sovellusten manuaalinen määritys 2.0 - toukokuu 2010 Erikseen ladattava paketti Tukee SAML 2.0 - IdP Lite, SP Lite ja egov - profiileja Aktiivisia asiakassovelluksia (SOAPpohjaiset, WCF) Sovelluskehitysympäristöä (Windows Identity Framework 1.0) Joustava sääntöjen määrityskieli claim:ien välitykseen ja muunnoksiin 2.1 Windows Server 2012 Feature 10
Microsoftin claim:eja hyödyntävät palvelut Sharepoint 2007: claim-pohjainen todennus mahdollista 2010: claim-pohjainen todennus suoraan integroituna 2013: claim-pohjainen todennus oletuksena Dynamics CRM 2010: Internet Facing Domain: vain claim-pohjainen (AD FS) todennus mahdollista Active Directory Rights Management Service (RMS) Active Directory / Kerberos Dynamic Access Control; tästä lisää esim. Karjalaisen Joonaksen eilisessä esityksessä Windows 2012 - Dynamic Access Control
Office 365 kertakirjautuminen 12 Edellyttää yrityksen sisäistä AD FS -palvelua, jotta todennus voidaan tehdä yrityksen Active Directory:ssä olevilla käyttäjätunnuksilla Haluttaessa käyttää Active Directory - tunnuksia valtuutuksessa (ja esim. postituslistojen ryhmäjäsenyyksiä) tarvitaan DirSync-palvelin Forefront Identity Manager:in suppea versio Active Directory IDMGT Customer Premises Active Directory Federation Services (AD FS) 2.0 Federation Service Microsoft Online Directory Synchronization Tool Trust Provisioning Platform Microsoft Online Services Identity Platform Sign-in Service Directory Store Microsoft Office 365 Desktop Setup Microsoft Online Portal (MOP)
Google Apps -kertakirjautuminen SAML v 2.0 -pohjainen Google ACS (Assertion Consumer Service) Uloskirjautumis-URL määritys AD FS - Relying Party Trust Endpoints-välilehti Endpoint Type = SAML Logout Binding = POST URL =https://sso.yritys.fi/adfs/ls /?wa=wsignout1.0 Varmenteen domain suffix oltava sama kuin STS URL domain suffix ADFS-palvelun asennuksessa syntynyt itseallekirjoitettu varmenne ei kelpaa IIS 8 Manager:illa luotu ei puolestaan kelpaa AD FS -palvelulle Esim. IIS 6 Resource Kit:in selfssl.exe toimii 13
AD FS -topologiat ja käytettävyys I 14 Stand-Alone Federation Server Using WID Federation Server Farm Using WID
AD FS -topologiat ja käytettävyys II 15 Federation Server Farm Using WID and Proxies Federation Server Farm Using SQL Server and Proxies
Windows Azure Access Control Service (ACS) 16 Palvelu, joka Osaa hoitaa claimien (esim. ADFS) konsolidoinnin Osaa hoitaa SoMe identiteetit Ei ole pakko käyttää, nämä ominaisuudet on kohtuullisen helppo tehdä WIF:llä sovellukseen, mutta Helpottaa etenkin pilvessä olevan sovelluksen claimien käsittelyä STS:n hallinta eriytetty sovelluksesta : ) Helppo tapa tehdä SaaS järjestelmän autentikointi
Windows Identity Foundation 18 Tulee.NET 4.5 mukana API ja työkalut claimien käsittelyyn sovelluksessa (client ja STS) Hyvin, hyvin samanlaista kuin perinteisen identiteetin käsittely Jokainen ASP.NET koodaaja osaa ASP.NET Web.Config:n editointityökalut Local STS testaamiseen
Mietteitä federoidusta identiteetistä 20 Autentikointi (todentaminen) ja identiteettin siirtäminen onnistuu helposti claimien avulla Auktorisointi (valtuuttaminen) onkin sitten oleellisesti hankalampaa Identiteettien hallitsijan (usein HR-osasto) on vaikea tietää SaaS-sovellusten käyttöoikeustarpeita SaaS järjestelmän pääkäyttäjä on yleensä vastuussa valtuutusmäärityksistä, muttei identiteeteistä Usein auktorisointi hajautuu Identiteetin hallitsija antaa karkean jaottelun (vakituinen työntekijä, määräaikainen, alihankkija jne.) Sovellus ja sen pääkäyttäjä antaa tarkemman roolin Käyttäjän profiili on lähes aina sovelluksen vastuulla.
Windows Azure Active Directory (WAAD) 21 AD palveluna Internet-skaalautuva AD Multitenant identiteettipalvelu Rest API (Graph) AD voidaan synkronoida tänne Iltapäivällä on aiheesta oma luento
Lisäinformaatiota 22 Aihealueen kurssit Soveltossa 50412 Implementing Active Directory Federation Services (ADFS) v2, 3 pv, 15.5. alkaen Dokumentaatio A Guide to Claims-Based Identity and Access Control, Second Edition http://www.microsoft.com/download/en/details.aspx?id=28362 Microsoft Office 365 Single Sign-On (SSO) with AD FS 2.0 http://www.microsoft.com/en-us/download/details.aspx?id=28971 Developing Multi-tenant Applications for the Cloud, 3rd Edition - Book Download http://www.microsoft.com/en-us/download/details.aspx?id=29263 Active Directory from on-premises to the cloud http://www.microsoft.com/en-us/download/details.aspx?id=36391
Q&A t
Thank you for coming! Feedback can be given via mobile or laptop through techdays.fi seminar schedule. 2013 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentations. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION. #td2013fi