Upload
internet
View
113
Download
3
Embed Size (px)
Citation preview
Fédération d'identité et ADFS Fédération d'identité et ADFS de Windows Server 2003 R2de Windows Server 2003 R2Fédération d'identité et ADFS Fédération d'identité et ADFS de Windows Server 2003 R2de Windows Server 2003 R2
Philippe BeraudPhilippe BeraudConsultant PrincipalConsultant PrincipalMicrosoft FranceMicrosoft France
La stratégie sécurité de MicrosoftLa stratégie sécurité de Microsoft
Isolation et Isolation et résiliencerésilience
Excellence Excellence dede
l’engineeringl’engineering
Conseils,Conseils,Outils,Outils,
RéponseRéponse
Mise à jourMise à jouravancéeavancée
Authentification,Authentification,Autorisation,Autorisation,
AuditAudit
SommaireSommaire
Tendances en matière d’identitéTendances en matière d’identitéIdentité et gestion du cycle de vieIdentité et gestion du cycle de vie
Fédération d’identitéFédération d’identité
Active Directory Federation Services (ADFS)Active Directory Federation Services (ADFS)Architecture et composantsArchitecture et composants
Gestion des accès avec les Claims (Attributs Utilisateur)Gestion des accès avec les Claims (Attributs Utilisateur)
DémonstrationDémonstration
Modèles de déploiement et de programmationModèles de déploiement et de programmation
ADFS et ADFS et héritage des spécifications des services héritage des spécifications des services Web avancés Web avancés WS-*WS-*
Interopérabilité multi fournisseursInteropérabilité multi fournisseurs
Tendances en matière d’identitéTendances en matière d’identitéLe domaine de la gestion de l’identité numérique est en cours de Le domaine de la gestion de l’identité numérique est en cours de consolidation avec des services et produits d’intégration d’identité consolidation avec des services et produits d’intégration d’identité
Gestion du cycle de vie et intégration sur-mesureGestion du cycle de vie et intégration sur-mesure« « ProvisioningProvisioning », « », « deprovisioningdeprovisioning », synchronisation de l’identité », synchronisation de l’identité (intégration/agrégation), modification de l’identité, audit, gestion des mots de (intégration/agrégation), modification de l’identité, audit, gestion des mots de passe, etc. passe, etc.
Mais il reste encore de nombreux domaines d’amélioration possiblesMais il reste encore de nombreux domaines d’amélioration possibles
Annuaire virtuel, « Annuaire virtuel, « Single Sign-OnSingle Sign-On » d’entreprise, authentification » d’entreprise, authentification à plusieurs facteurs, etc.à plusieurs facteurs, etc.
Au coeur des zones d’innovation et d’investissement se trouve la Au coeur des zones d’innovation et d’investissement se trouve la fédération d’identitéfédération d’identité
Face à l’adoption massive des services Web, l’arrivée des Face à l’adoption massive des services Web, l’arrivée des architectures fédérées est inévitable…architectures fédérées est inévitable…
Car les services Web sont par essence des agents autonomesCar les services Web sont par essence des agents autonomesCette nature autonome des services Web met l’accent sur la gestion explicite Cette nature autonome des services Web met l’accent sur la gestion explicite des relations de confiance entre les applicationsdes relations de confiance entre les applications
Cette nature autonome des services Web nécessite que des processus ou des Cette nature autonome des services Web nécessite que des processus ou des systèmes qui étaient centralisés évoluent vers un système fédérésystèmes qui étaient centralisés évoluent vers un système fédéré
Ceci s’applique non seulement aux identités de sécurité mais aussi Ceci s’applique non seulement aux identités de sécurité mais aussi aux annuaires de services et à l’administration des systèmesaux annuaires de services et à l’administration des systèmes
Vers la construction des systèmes Vers la construction des systèmes connectésconnectés
Votre Votre EntitéEntité et etvos vos CollaborateursCollaborateurs
Vos Vos FournisseursFournisseurs
Vos Vos PartenairesPartenairesVos Vos Collaborateurs itinérantsCollaborateurs itinérants
Vos Vos ClientsClients
Fédération d’identitéFédération d’identité
Crée une meilleure efficacité opérationnelleCrée une meilleure efficacité opérationnelleProcure de nouvelles opportunités « business » pour les entreprisesProcure de nouvelles opportunités « business » pour les entreprises
Scénarios B2B émergeant de collaboration et de partage de donnéesScénarios B2B émergeant de collaboration et de partage de données
Est au cœur de la problématique de la mise en place de Est au cœur de la problématique de la mise en place de l’administration électroniquel’administration électroniqueAlimente naturellement la croissance du marché de la gestion de Alimente naturellement la croissance du marché de la gestion de l’identité numériquel’identité numérique
Services et produits de fédération interopérablesServices et produits de fédération interopérables
The agreements, standards, and technologies that make identity and entitlements portable across autonomous domains. The Burton Group
Federated Identity allows customers, partners and end-users to use Web services without having to constantly authenticate or identify themselves to the services within their federation. This applies both within the corporation and across the Internet. Michael Beach,
The Boeing Company, Catalyst 2003
Fédération d’identitéFédération d’identitéNécessite de définir les termes de la relation de confiance entre Nécessite de définir les termes de la relation de confiance entre entitésentités
Relation « business », conditions et termes contractuels, gestion des clés, Relation « business », conditions et termes contractuels, gestion des clés, assertions, partage de politique, assurances techniques, exigences assertions, partage de politique, assurances techniques, exigences d’audit, etc.d’audit, etc.
Difficile à mesurer et à calibrer aujourd’huiDifficile à mesurer et à calibrer aujourd’hui
Trop ou pas assez de confiance placée dans l’autre entitéTrop ou pas assez de confiance placée dans l’autre entité
D’un point de vue technique, demande des mécanismes pour D’un point de vue technique, demande des mécanismes pour Matérialiser la relation de confiance entre entitésMatérialiser la relation de confiance entre entités
Partage de clés symétriques, confiance dans une chaîne de certificats Partage de clés symétriques, confiance dans une chaîne de certificats X509X509
Pour valider que l’identité reçue (jetons de sécurité/assertions) provient Pour valider que l’identité reçue (jetons de sécurité/assertions) provient d’un fournisseur d’identité de confiance et donc pour attester de d’un fournisseur d’identité de confiance et donc pour attester de l’authenticité de l’identité fournie l’authenticité de l’identité fournie
Nécessite de « parler » un protocole de sécurité communNécessite de « parler » un protocole de sécurité communTypiquement des protocoles de sécurité standardisés via des organismes Typiquement des protocoles de sécurité standardisés via des organismes comme IETF, OASIScomme IETF, OASIS
Active Directory Federation ServicesActive Directory Federation Services (ADFS)(ADFS)
Annoncé au TechEd’04 à Annoncé au TechEd’04 à SanDiegoSanDiego Vision en termes d’authentification et d’accèsVision en termes d’authentification et d’accèsUne ouverture de session unique et un accès sécurisé à tout (fonction de Une ouverture de session unique et un accès sécurisé à tout (fonction de
ses habilitations, accréditations et permissions)ses habilitations, accréditations et permissions)
Deux philosophies connexes complémentaires au sein de l’entrepriseDeux philosophies connexes complémentaires au sein de l’entreprise1.1. Capitaliser sur l’identité Windows (Capitaliser sur l’identité Windows (KerberosKerberos) aussi loin que ) aussi loin que
possiblepossible2.2. Étendre vers les « injoignables » avec des approches Étendre vers les « injoignables » avec des approches
d’intégration d’identité comme d’intégration d’identité comme Microsoft Identity Integration Microsoft Identity Integration ServerServer (MIIS) (MIIS)
Gestion du cycle de vie de l’identitéGestion du cycle de vie de l’identité
Version 1.0 disponible avec la version Windows Server 2003 Version 1.0 disponible avec la version Windows Server 2003 RefreshRefresh (R2) au second semestre 2005 (R2) au second semestre 2005
Actuellement en Bêta 2Actuellement en Bêta 2Support des scénarios de gestion fédérée d’identité pour l’accès Support des scénarios de gestion fédérée d’identité pour l’accès sécurisé aux applications Web du SI pour les partenaires (, sécurisé aux applications Web du SI pour les partenaires (, fournisseurs) et clients en dehors de leur royaume de sécurité (p. ex. fournisseurs) et clients en dehors de leur royaume de sécurité (p. ex. domaine/forêt)domaine/forêt)
« Étendre Active Directory au-delà de la forêt »« Étendre Active Directory au-delà de la forêt »Livre blanc « Livre blanc « Active Directory Federation Services: A Path to Federated Active Directory Federation Services: A Path to Federated Identity and Access ManagementIdentity and Access Management » »
http://download.microsoft.com/download/3/a/f/3af89d13-4ef4-42bb-ahttp://download.microsoft.com/download/3/a/f/3af89d13-4ef4-42bb-aaa3-95e06721b062/ADFS.docaa3-95e06721b062/ADFS.doc
Quelques définitions…Quelques définitions…
Jetons de sécuritéJetons de sécuritéBases pour une authentification et une autorisation distribuéesBases pour une authentification et une autorisation distribuées
Les jetons de sécurité définissent des affirmations (Les jetons de sécurité définissent des affirmations (claimsclaims) faites ) faites au sujet d’une identité, d’aptitude ou de privilègesau sujet d’une identité, d’aptitude ou de privilèges
Nom, adresse mèl, clé, groupe, rôle, etc.Nom, adresse mèl, clé, groupe, rôle, etc.
Attributs/propriétés de sécuritéAttributs/propriétés de sécurité
Quelques exemplesQuelques exemples
SignéSigné
Certificat X.509, ticket Certificat X.509, ticket KerberosKerberos, assertion SAML, licence , assertion SAML, licence XrMLXrML, etc., etc.
Exigence ou non d’une preuve de possessionExigence ou non d’une preuve de possession
Clé secrète, mot de passeClé secrète, mot de passe
Quelques définitions…Quelques définitions…
Service de jetons de sécuritéService de jetons de sécurité Un service de jetons émet des jetons de sécuritéUn service de jetons émet des jetons de sécurité
Un service de jeton peut « échanger » des jetons lorsque la Un service de jeton peut « échanger » des jetons lorsque la requête traverse les frontières de royaumes de sécuritérequête traverse les frontières de royaumes de sécurité
Ticket Kerberos Ticket Kerberos contenantcontenant des des claimsclaimsSID= S-1-5-21-3485267726-SID= [email protected]
JetonJeton SAML SAML contenant descontenant des assertions Company=assertions Company=A.DatumA.DatumRole=Purchasing AgentRole=Purchasing Agent
Centre de Centre de distribution des distribution des clésclés
Service de Service de jetons de jetons de sécuritésécurité
Fédération d’identité en actionFédération d’identité en action
1.1. L’utilisateur L’utilisateur A. DatumA. Datum accède le portail accède le portail A. DatumA. Datum pour accéder à l’application pour accéder à l’application OrderingOrdering de de Trey ResearchTrey Research
Trey Research Inc.Trey Research Inc.
2.2. L’utilisateur L’utilisateur A. Datum A. Datum est redirigé versest redirigé vers le STS A. Datum le STS A. Datum• Authentification transparente avec Active Directory et l’authentification intégrée Authentification transparente avec Active Directory et l’authentification intégrée
Windows (ticketWindows (ticket Kerberos) Kerberos)3.3. L’utilisateur L’utilisateur A. Datum A. Datum obtient du obtient du STS STS A. DatumA. Datum une une assertion SAML assertion SAML pour le STS pour le STS Trey Trey
ResearchResearch • ClaimsClaims de fédération relatifs au cadre de confiance entrede fédération relatifs au cadre de confiance entre A. Datum et Trey Research A. Datum et Trey Research4.4. L’utilisateur L’utilisateur A. Datum A. Datum obtient du obtient du STS Trey Research STS Trey Research uneune assertion SAML pour assertion SAML pour l’applicationl’application• ClaimsClaims spécifiques à l’applicationspécifiques à l’application Ordering de Trey Research Ordering de Trey Research
5.5. L’utilisateur L’utilisateur A. Datum A. Datum accède à l’applicationaccède à l’application Ordering de Trey Research Ordering de Trey Research
Serveur de Serveur de fédérationfédération
SIDsSIDs/Attributs/AttributsClaims Claims de fédérationde fédération ClaimsClaims applicatifsapplicatifs
ServeurServeur Web Web
PortailPortail
A. A. DatumDatum CorpCorpA. A. DatumDatum CorpCorp
EricEricEricEric
Active Active DirectorDirector
yy
Serveur de Serveur de fédérationfédération
ComposantesComposantes ADFS v1.0ADFS v1.0
ComposantesComposantes ADFS v1.0 ADFS v1.0
Active Directory ou Active Directory Application Mode (AD/AM)Active Directory ou Active Directory Application Mode (AD/AM)Fournisseur d’identitésFournisseur d’identités
Authentification des utilisateursAuthentification des utilisateursGestion des attributs utilisés pour constituer les Gestion des attributs utilisés pour constituer les claimsclaims
Support des forêts Windows 2000 et 2003Support des forêts Windows 2000 et 2003
Federation ServiceFederation Service (FS) (FS)Service de jetons de sécuritéService de jetons de sécuritéGestion des politiques de confiance de fédérationGestion des politiques de confiance de fédération
Federation Service ProxyFederation Service Proxy (FS-P) (FS-P) Proxy client pour les demandes de jetonsProxy client pour les demandes de jetons
Web Server SSO Agent (Web Server SSO Agent (Agent SSOAgent SSO))Agent d’authentificationAgent d’authentification
S’assure de l’authentification utilisateurS’assure de l’authentification utilisateurConstitue le contexte utilisateur d’autorisationConstitue le contexte utilisateur d’autorisation
Composantes ADFSComposantes ADFS
NotesNotesLes composantes FS et FS-P sont co-logés par défaut et peuvent Les composantes FS et FS-P sont co-logés par défaut et peuvent être dissociésêtre dissociésLes composantes FS, FS-P et SSO Agent requièrent la version IIS Les composantes FS, FS-P et SSO Agent requièrent la version IIS 6.0 de Windows 2003 R26.0 de Windows 2003 R2
WSWS
FSFS-P
HTTPSHTTPS
Active Active DirectorDirector
y ou y ou AD/AMAD/AM
ApplicationApplication
LPC/Méthodes LPC/Méthodes WebWeb
Authentification Authentification Kerberos/LDAPKerberos/LDAP
Agent SSO
ADFS Federation ServiceADFS Federation Service (FS) (FS)
Service hébergé par ASP.NET sous IIS 6.0 – Windows 2003 Service hébergé par ASP.NET sous IIS 6.0 – Windows 2003 Server R2Server R2
Gestion de la politique de fédérationGestion de la politique de fédérationÉtablissement de la confiance pour les jetons de sécurité signés via Établissement de la confiance pour les jetons de sécurité signés via la distribution de clés basés sur les certificatsla distribution de clés basés sur les certificats
Définition des types de jeton/Définition des types de jeton/claimclaim et de l’espace de noms partagés et de l’espace de noms partagés pour les royaumes de sécurité fédéréspour les royaumes de sécurité fédérés
Génération des jetons de sécuritéGénération des jetons de sécuritéObtention des attributs utilisateur pour la générationObtention des attributs utilisateur pour la génération des des claimsclaims depuisdepuis AD ( AD (ouou ADAM) via LDAP ADAM) via LDAP
Transformation des Transformation des claimsclaims ( (si requissi requis) ) entre les espaces de noms entre les espaces de noms interne et de fédérationinterne et de fédération
Construction d’un jeton de sécuritéConstruction d’un jeton de sécurité SAML SAML signé et envoi ausigné et envoi au FS-P FS-P
Construction du contenu du cookie d’authentification SSO générique Construction du contenu du cookie d’authentification SSO générique (« (« Authentication cookieAuthentication cookie ») et envoi au FS-P ») et envoi au FS-P
Authentification utilisateurAuthentification utilisateur
ADFS Federation Service ProxyADFS Federation Service Proxy (FS-P) (FS-P)
Service hébergé par ASP.NET sous IIS 6.0 – Windows 2003 Service hébergé par ASP.NET sous IIS 6.0 – Windows 2003 Server R2Server R2
Authentification utilisateurAuthentification utilisateurInterface graphique pour la Découverte du Royaume Interface graphique pour la Découverte du Royaume d’Appartenance et l’ouverture de sessiond’Appartenance et l’ouverture de session
Authentification des utilisateurs (Authentification des utilisateurs (FormsForms, Windows intégrée, , Windows intégrée, SSL SSL Client)Client)
Écriture du cookie de royaume (« Écriture du cookie de royaume (« Account PartnerAccount Partner cookie ») pour cookie ») pour le Browserle BrowserÉcriture du cookie d’authentification SSO générique Écriture du cookie d’authentification SSO générique (« (« Authentication cookieAuthentication cookie ») pour le Browser (similaire au ») pour le Browser (similaire au TGT TGT Kerberos)Kerberos)
Traitement des jetons de sécuritéTraitement des jetons de sécuritéDemande d’un jeton de sécurité pour le compte d’un client auDemande d’un jeton de sécurité pour le compte d’un client au FS FSRoutage du jeton vers le serveur Web via une « redirectionRoutage du jeton vers le serveur Web via une « redirection POST POST » » au travers duau travers du Browser Browser
Web Server SSO AgentWeb Server SSO Agent
Extension ISAPI pour Extension ISAPI pour IIS 6.0 – Windows 2003 Server R2IIS 6.0 – Windows 2003 Server R2
Authentification utilisateurAuthentification utilisateurInterception des requêtesInterception des requêtes URL GET URL GET et redirection des clients non et redirection des clients non authentifiés vers leauthentifiés vers le FS-P FS-P
Écriture du cookie d’authentification Écriture du cookie d’authentification WebSSOWebSSO (« (« Web Server SSOWeb Server SSO ») ») au niveau duau niveau du Browser ( Browser (similaire au ticket de servicesimilaire au ticket de service Kerberos) Kerberos)
Service WindowsService Windows
Authentification utilisateurAuthentification utilisateurCréation du jeton NT pour l’usurpation d‘identitéCréation du jeton NT pour l’usurpation d‘identité ( (utilisateursutilisateurs AD AD seulementseulement) )
Module HTTP .NETModule HTTP .NET
Traitement du jeton de sécurité – Applications non « Traitement du jeton de sécurité – Applications non « Claims Claims awareaware » »
Validation du jeton de sécurité utilisateur et parcours desValidation du jeton de sécurité utilisateur et parcours des claimsclaims dans dans le jetonle jeton
Autorisation utilisateurAutorisation utilisateurPeuplement du contexte ASP.NET Peuplement du contexte ASP.NET GenericPrincipalGenericPrincipal avec les avec les claimsclaims pour le support de pour le support de IsInRoleIsInRole()()
Fourniture desFourniture des claimsclaims brutes à l’applicationbrutes à l’application
Interopérabilité avec d’autres serveursInteropérabilité avec d’autres serveurs Web Web
Disponibilité de solutions tierces « ADFS Disponibilité de solutions tierces « ADFS awareaware » disponibles » disponibles lors de la sortie lors de la sortie d’ADFSd’ADFS pour les serveurs non Microsoft pour les serveurs non Microsoft
VintelaVintela Services for Java (VSJ)Services for Java (VSJ)http://www.vintela.com/products/vsjhttp://www.vintela.com/products/vsj
Centrify DirectControlCentrify DirectControl
http://www.centrify.com/directcontrol/overview.asphttp://www.centrify.com/directcontrol/overview.asp
Gestion fédérée d’identité ADFSGestion fédérée d’identité ADFS
Espace de Espace de noms privésnoms privés
Serveur de Serveur de fédérationfédération
Espace de Espace de noms privésnoms privés
« Projette » les identités Active Directory dans d’autres « Projette » les identités Active Directory dans d’autres royaumes de sécuritéroyaumes de sécurité
Émission de jetons de sécuritéÉmission de jetons de sécuritéGestion de Gestion de
la confiance – Clésla confiance – Clésla sécurité – Jetonsla sécurité – Jetons//ClaimsClaims nécessaires nécessairesla confidentialité -- Jetonsla confidentialité -- Jetons//ClaimsClaims autorisésautorisésl’audit -- Identités , autoritésl’audit -- Identités , autorités
Serveur de Serveur de fédérationfédération
Entité BEntité BEntité BEntité BEntité AEntité AEntité AEntité A
FédérationFédération
Traitement des jetons et des claimsTraitement des jetons et des claimsTraitement des jetons et des claimsTraitement des jetons et des claims
Demande Demande de jetonde jeton
Ouverture de Ouverture de sessionsession
ClaimClaimss
Magasins Magasins d’identitéd’identité
ssADAD
ADAMADAM
CookiCookiee
Magasins Magasins de de
politiquespolitiquesPrimairePrimaire
SecondairSecondairee
Jeton en Jeton en réponseréponse
Queue Queue interneinterne
Queue IISQueue IIS
Parcours et validation
Extracteur de claims
Transformation des claims
Création et signature du jeton SAML
Cache des politiques de
confiance
1. Ouverture de session
2. Extraction des claims
Contenu ?
Support des jetons de sécuritéSupport des jetons de sécurité
Type de jetons émisType de jetons émisExclusivement des assertions SAML 1.1 (Exclusivement des assertions SAML 1.1 (Security Assertion Markup Security Assertion Markup LanguageLanguage) dans la version 1.0 ) dans la version 1.0 d’ADFSd’ADFS
OASIS Security Services (SAML) TCOASIS Security Services (SAML) TC
http://www.oasis-open.org/committees/tc_home.php?http://www.oasis-open.org/committees/tc_home.php?wg_abbrev=securitywg_abbrev=security
Aucun chiffrage des jetonsAucun chiffrage des jetonsL’ensemble des messages est véhiculé sur HTTPSL’ensemble des messages est véhiculé sur HTTPS
Signature des jetonsSignature des jetonsPar défaut – Signature avec la clé privée RSA et signature vérifiée Par défaut – Signature avec la clé privée RSA et signature vérifiée avec la clé publique du certificat X.509 correspondantavec la clé publique du certificat X.509 correspondantOptionnel – Signature avec la clé de session Optionnel – Signature avec la clé de session KerberosKerberos
Concerne uniquement les jetons FS-R pour le Web Server SSO Concerne uniquement les jetons FS-R pour le Web Server SSO AgentAgentExécution du Service Windows du Web Server SSO Agent avec un Exécution du Service Windows du Web Server SSO Agent avec un compte de service de domaine et avec un SPN configuré compte de service de domaine et avec un SPN configuré (identification du service (identification du service lors de lors de la séquence d’authentification la séquence d’authentification KerberosKerberos
Utilisation de Utilisation de SetSpn.exeSetSpn.exe du Kit de Ressources Techniques du Kit de Ressources Techniqueshttp://www.microsoft.com/downloads/details.aspx?FamilyID=5fdhttp://www.microsoft.com/downloads/details.aspx?FamilyID=5fd831fd-ab77-46a3-9cfe-ff01d29e5c46&displaylang=en831fd-ab77-46a3-9cfe-ff01d29e5c46&displaylang=en
Types de Types de claimsclaims supportés supportés
Types de claim interopérables Types de claim interopérables WS-FederationWS-FederationIdentitéIdentité
User Principal NameUser Principal Name (UPN) (UPN)Adresse mèlAdresse mèlCommon NameCommon Name (toute chaîne de caractères) (toute chaîne de caractères)
GroupeGroupePersonnalisé (paire nom/valeur, exemple SS=1 99 01 75 111 001 Personnalisé (paire nom/valeur, exemple SS=1 99 01 75 111 001 22)22)
Données Données authZauthZ seulement pour seulement pour ADFS-vers-ADFSADFS-vers-ADFSSIDsSIDs
Permet d’éviter les comptes fantômes (pour les collaborateurs) Permet d’éviter les comptes fantômes (pour les collaborateurs) en en ExtranetExtranet DMZ DMZTransmission des Transmission des SIDsSIDs dans l’élément dans l’élément AdviceAdvice du jeton SAML du jeton SAML
ClaimsClaims organisationnels organisationnelsEnsemble commun de Ensemble commun de claimsclaims à travers des magasins d’identité et à travers des magasins d’identité et des partenairesdes partenairesMarquer les claims organisationnels comme « auditable » si la Marquer les claims organisationnels comme « auditable » si la valeur du claim ne doit pas être loguéevaleur du claim ne doit pas être loguée
Extensibilité du traitement des claimsExtensibilité du traitement des claims
Une interface permet à des modules Une interface permet à des modules Plug-inPlug-in d’être d’être développés pour des transformations de développés pour des transformations de claimclaim personnaliséespersonnalisées
ADFS v1 supporte un module unique de transformation de ADFS v1 supporte un module unique de transformation de claims, Pas de pipeline pour de multiples modulesclaims, Pas de pipeline pour de multiples modulesAutorise des consultations dans un magasin LDAP ou SQLAutorise des consultations dans un magasin LDAP ou SQLSupport des transformations de claim complexes exigeant Support des transformations de claim complexes exigeant du calculdu calcul
Magasin Magasin ADAD
Flot des claims ADFS de fédérationFlot des claims ADFS de fédérationFlot des claims ADFS de fédérationFlot des claims ADFS de fédération
ApplicationApplication
Partenaire - ComptePartenaire - Compte
ApplicationApplication - - RessourceRessource
PeuplementPeuplement TransformatiTransformationon
ActivationActivation
Transmiss
ion des
Transmiss
ion des
claim
scla
ims
Claims Claims en en
sortiesortie
Claims Claims en en
entréeentrée
TransformatiTransformationon
Claims Claims organisationnelsorganisationnels
RessourceRessource
Claims Claims organisationnelsorganisationnels
CompteCompte
Modèles de déploiement et de Modèles de déploiement et de programmation ADFSprogrammation ADFS
Scénario B2B – Web SSO fédéréScénario B2B – Web SSO fédéréAbsence de compte local pour les partenairesAbsence de compte local pour les partenaires
FS-AFS-A
SWSW
FS-RFS-R
ForêtForêt intranetintranet
FédérationFédération
Pare-feuPare-feu Pare-feuPare-feu
Pare-feuPare-feu
Pare-feuPare-feu
ClientClient
ClientClient
AcheteurAcheteurinterneinterne
Agent d’inventaireAgent d’inventaireA. Datum CorpA. Datum Corp.. Trey Research Inc.Trey Research Inc.
Applications Web de commandes et de contrôle d’inventaireApplications Web de commandes et de contrôle d’inventaireLes Les utilisateurs utilisateurs A. Datum A. Datum utilisent leur compteutilisent leur compte AD A. Datum AD A. Datum
Intranet : Web SSO Intranet : Web SSO à l’issue de l’ouverture de sessionà l’issue de l’ouverture de session Windows Windows
Internet : Web SSO Internet : Web SSO à l’issue de l’ouverture de sessionà l’issue de l’ouverture de session FormsForms ou d’une ou d’une authentification SSL clienteauthentification SSL cliente
FS-P A FS-P A (ext)(ext)
Scénario B2E – Web SSO ExtranetScénario B2E – Web SSO ExtranetSSO pour SSO pour l’internel’interne et les utilisateurs itinérantset les utilisateurs itinérants
FS-AFS-A
FS-P A FS-P A (ext)(ext)
ApplicationApplicationWebWeb
FS-RFS-R
ForêtForêtintranetintranet
ForêtForêt DMZDMZ
Pare-feuPare-feu
Pare-feuPare-feu
ClientClient
GestionnaireGestionnairede stockde stock
CommercialCommercial
Acme Sporting GoodsAcme Sporting Goods
Relation de Relation de confianceconfiance WindowsWindows
Application Web de Application Web de commandes en lignecommandes en ligne dansdans la DMZ la DMZ Tous les utilisateurs Tous les utilisateurs Acme Sporting GoodsAcme Sporting Goods ont leur compte dans l’AD ont leur compte dans l’AD intranet intranetIntranet : Web SSO Intranet : Web SSO à l’issue de l’ouverture de sessionà l’issue de l’ouverture de session Windows WindowsInternet : Web SSO Internet : Web SSO à l’issue de l’ouverture de sessionà l’issue de l’ouverture de session FormsForms ou d’une ou d’une authentification SSL clienteauthentification SSL cliente
FédérationFédération
Scénario B2C – Web SSO « en ligne »Scénario B2C – Web SSO « en ligne »WebWeb SSO classique pour les internautesSSO classique pour les internautes
SWSW
FSFS
ForêtForêtintranetintranet
ForêtForêt DMZDMZ
Pare-feuPare-feu
Pare-feuPare-feu
Acme Sporting GoodsAcme Sporting Goods
Site de commerce en ligne et services client associés Site de commerce en ligne et services client associés Les clients disposent de comptes dans laLes clients disposent de comptes dans la DMZ (AD DMZ (AD ouou AD/AM) AD/AM) Internet : Web SSO Internet : Web SSO à l’issue de l’ouverture de sessionà l’issue de l’ouverture de session FormsForms
AD/AMAD/AM
ClientClient
Modèle de programmation de sécuritéModèle de programmation de sécurité ADFS ADFS
Concerne le Web Server SSO Agent Concerne le Web Server SSO Agent
Authentification des utilisateurs pour l’applicationAuthentification des utilisateurs pour l’application
Création du contexte d’autorisation pour l’applicationCréation du contexte d’autorisation pour l’application(Impersonation(Impersonation NT et) NT et) ACLsACLs
Modèle de contrôle d’accès basés sur les rôlesModèle de contrôle d’accès basés sur les rôles
Role-based Access ControlRole-based Access Control ou RBAC ou RBAC
Méthode ASP.NET Méthode ASP.NET IsInRoleIsInRole()()Logique d’autorisation bâtie sur la correspondance de chaîneLogique d’autorisation bâtie sur la correspondance de chaîne
Intégration Intégration AuthorizationAuthorization Manager ( Manager (AzAzMManan))« Designing Application-Managed AuthorizationDesigning Application-Managed Authorization » »
http://msdn.microsoft.com/library/en-us/dnbda/html/damaz.ashttp://msdn.microsoft.com/library/en-us/dnbda/html/damaz.aspp
Ajout des claims Rôle/Groupe au contexte Ajout des claims Rôle/Groupe au contexte AzAzMManan
Évolution des APIs Évolution des APIs AzAzMManan dans Windows 2003 SP1 dans Windows 2003 SP1
API ASP.NET de bas niveau pour les claimsAPI ASP.NET de bas niveau pour les claims
System.Web.Security.SingleSignSystem.Web.Security.SingleSign(.(.AuthorizationAuthorization))
FédérationFédération ADFS avec RBAC ADFS avec RBAC
Trey ResearchTrey Research
FS-AFS-A
FS-RFS-R
ApplicationApplicationOrderingOrdering
PortailPortail
A. Datum CorpA. Datum CorpA. Datum CorpA. Datum Corp
Intégration ADFS avec Intégration ADFS avec AzManAzMan
Active Active DirectorDirector
yy
SIDsSIDs/Attributs/Attributs
Claims Claims de de fédérationfédération
Claims Claims applicatifsapplicatifs
Rôles Rôles AzManAzMan (RBAC)(RBAC)
EricEricEricEric
Héritage des spécifications des services Web Héritage des spécifications des services Web avancésavancés
* * InteropérabilitéInteropérabilité* Extensibilité* Extensibilité
Fédération et services WebFédération et services Web
Tous les deux offrent une capacité d’intégration à couplage Tous les deux offrent une capacité d’intégration à couplage lâche entre domaines autonomes (au sein d’une même lâche entre domaines autonomes (au sein d’une même entreprise ou entre entreprises)entreprise ou entre entreprises)
Les services Web doivent s’identifier et s’authentifier eux-Les services Web doivent s’identifier et s’authentifier eux-mêmes, et/ou l’utilisateur pour le compte duquel ils agissentmêmes, et/ou l’utilisateur pour le compte duquel ils agissent
Modèle actuelModèle actuel
Web SSO pour les browserWeb SSO pour les browseravec SSL/TLS et les cookiesavec SSL/TLS et les cookiesWeb SSO pour les browserWeb SSO pour les browseravec SSL/TLS et les cookiesavec SSL/TLS et les cookies
Services Web SOAP avec une Services Web SOAP avec une authentification HTTP authentification HTTP
Basic, SSL/TLS ou intégréeBasic, SSL/TLS ou intégrée
Services Web SOAP avec une Services Web SOAP avec une authentification HTTP authentification HTTP
Basic, SSL/TLS ou intégréeBasic, SSL/TLS ou intégrée
Modèle émergeant/futurModèle émergeant/futur
Web Services SecurityWeb Services Security, SAML, , SAML, et d’autres jetons pour les et d’autres jetons pour les
clients SOAPclients SOAP
Web Services SecurityWeb Services Security, SAML, , SAML, et d’autres jetons pour les et d’autres jetons pour les
clients SOAPclients SOAPWS-*WS-*WS-*WS-*
Spécifications des services WebSpécifications des services Web WS-* Web Service Architecture (WSA)WS-* Web Service Architecture (WSA)
Pile WS-*, STAR pour Pile WS-*, STAR pour SecureSecure, , TransactionalTransactional, , AsynchronousAsynchronous, , ReliableReliable
« « An Introduction to the Web Services Architecture and Its SpecificationsAn Introduction to the Web Services Architecture and Its Specifications » »http://msdn.microsoft.com/library/en-us/dnwebsrv/html/introwsa.asphttp://msdn.microsoft.com/library/en-us/dnwebsrv/html/introwsa.asp
HTTP, HTTPS, SMTP, etc.HTTP, HTTPS, SMTP, etc.HTTP, HTTPS, SMTP, etc.HTTP, HTTPS, SMTP, etc. TransportsTransportsTransportsTransports
XML, SOAP, AddressingXML, SOAP, AddressingXML, SOAP, AddressingXML, SOAP, Addressing MessagingMessagingMessagingMessaging
XSD, WSDL, UDDI, Policy, XSD, WSDL, UDDI, Policy, MetadataExchangeMetadataExchangeXSD, WSDL, UDDI, Policy, XSD, WSDL, UDDI, Policy, MetadataExchangeMetadataExchange DescriptionDescriptionDescriptionDescription
ComposableComposableServiceService
AssurancesAssurances
ComposableComposableServiceService
AssurancesAssurancesTransactionsTransactionsTransactionsTransactionsReliableReliable
MessagingMessagingReliableReliable
MessagingMessaging
Service Service CompositionComposition
Service Service CompositionComposition
SecuritySecuritySecuritySecurity
BPEL4WS, ManagementBPEL4WS, ManagementBPEL4WS, ManagementBPEL4WS, Management
WS-FederationWS-Federation« « Web Services Federation LanguageWeb Services Federation Language » »
BEA, IBM, Microsoft, RSA Security, VeriSignBEA, IBM, Microsoft, RSA Security, VeriSign, Juillet 2003 , Juillet 2003 http://msdn.microsoft.com/ws/2003/07/ws-federationhttp://msdn.microsoft.com/ws/2003/07/ws-federation
VisionVisionLivre blanc « Livre blanc « Federation of Identities in a Web Services WorldFederation of Identities in a Web Services World » »
http://msdn.microsoft.com/library/en-us/dnglobspec/html/ws-federation-http://msdn.microsoft.com/library/en-us/dnglobspec/html/ws-federation-strategy.aspstrategy.asp
Définit les messages permettant à des royaumes de sécurité Définit les messages permettant à des royaumes de sécurité de fédérer et d’échanger des jetons de sécuritéde fédérer et d’échanger des jetons de sécurité
Authentification unique entre domaines de confiance Authentification unique entre domaines de confiance Ouverture de sessionOuverture de session ( (Sign inSign in))Fermeture de sessionFermeture de session ( (GlobalGlobal sign outsign out))
Définit l’utilisation de services fédérés d’attributs et de Définit l’utilisation de services fédérés d’attributs et de pseudonymes dans ce cadrepseudonymes dans ce cadreSupporte différentes topologies de confianceSupporte différentes topologies de confiance
Modélisation des pratiques commerciales existantesModélisation des pratiques commerciales existantesCapitalisation sur l’infrastructure existanteCapitalisation sur l’infrastructure existante
Supporte différents modèles de fédérationSupporte différents modèles de fédérationAvec ou sans mappage/liaison d’identitéAvec ou sans mappage/liaison d’identité
Fixe, par couple, « aléatoire », etc.Fixe, par couple, « aléatoire », etc.
Un Un protocole, plusieurs liaisonsprotocole, plusieurs liaisons
Un protocole communUn protocole commun : : « « Web Services Trust LanguageWeb Services Trust Language » » (WS-(WS-Trust)Trust)
Actional, BEA Systems, CA, IBM, L7T, Microsoft, Oblix, OpenNetwork, Actional, BEA Systems, CA, IBM, L7T, Microsoft, Oblix, OpenNetwork, PingId, Reactivity, RSA, Verisign, Février 2005PingId, Reactivity, RSA, Verisign, Février 2005http://msdn.microsoft.com/ws/2005/02/ws-trusthttp://msdn.microsoft.com/ws/2005/02/ws-trust
Définition de deux « profils »Définition de deux « profils »Clients passifs (Browser) – HTTP/SClients passifs (Browser) – HTTP/SClients intelligents (Smart) actifs – SOAPClients intelligents (Smart) actifs – SOAP
Support des servicesSupport des services
Messages HTTPMessages HTTP
Messages SOAPMessages SOAPService de Service de Jetons de Jetons de sécuritésécurité
Service de Service de Jetons de Jetons de sécuritésécurité
RécepteurRécepteurHTTPHTTP
RécepteurRécepteurHTTPHTTP
Récepteur Récepteur SOAPSOAP
Récepteur Récepteur SOAPSOAP
Passive Requestor ProfilePassive Requestor Profile
« « Web Services Federation Language: Passive Requestor Web Services Federation Language: Passive Requestor ProfileProfile »»
BEA, IBM, Microsoft, RSA BEA, IBM, Microsoft, RSA SecuritySecurity, Juillet 2003, Juillet 2003
http://msdn.microsoft.com/ws/2003/07/ws-passive-profilehttp://msdn.microsoft.com/ws/2003/07/ws-passive-profile
Supporté par ADFS v1 dans Windows Server 2003 R2Supporté par ADFS v1 dans Windows Server 2003 R2
Support de Support de WS-TrustWS-Trust et et WS-FederationWS-Federation pour les clients passifs pour les clients passifs (browser)(browser)
Adhésion implicites aux politiques en suivant les redirections 302Adhésion implicites aux politiques en suivant les redirections 302
Acquisition implicite de jetons via les messages HTTPAcquisition implicite de jetons via les messages HTTP
Requiert un transport sécurisé (HTTPS) pour l’authentificationRequiert un transport sécurisé (HTTPS) pour l’authentificationAucune fourniture de « preuve de possession » pour les jetonsAucune fourniture de « preuve de possession » pour les jetons
Mise à cache limitée (durée) des jetonsMise à cache limitée (durée) des jetonsLes jetons PEUVENT être rejouésLes jetons PEUVENT être rejoués
Passive Requestor ProfilePassive Requestor Profile
RequestingBrowser
Requestor’sIP/STS
TargetResource
Target’sIP/STS
Detect realm
Redirect to requestor’s IP/STS
Login
Return identity token
Return resource token
Return secured response
Get resource
Redirect to resource’s IP/STS
GET https://res.resource.com/app HTTP/1.1HTTP/1.1 302 Found Location: https://sts.resource.com/sts?wa=wsignin1.0&wreply=http://res.resource.com/app&wct=2004-12-03T19:06:21ZGET https://sts.resource.com/sts?wa=wsignin1.0&wreply= https://res.resource.com/app&wct=2004-12-03T19:06:21Z HTTP/1.1
HTTP/1.1 302 Found Location: https://sts.account.com/sts?wa=wsignin1.0&wreply=https://sts.resource.com/sts&wctx= https://res.resource.com/app&wct=2004-12-03T19:06:22Z&wtrealm=resource.comGET https://sts.account.com/sts?wa=wsignin1.0&wreply=https://sts.resource.com/sts&wctx=https://res.resource.com/app&wct=2004-12-03T19:06:22Z&wtrealm=resource.com HTTP/1.1
HTTP/1.1 200 OK. . .<html xmlns="https://www.w3.org/1999/xhtml"><head><title>Working...</title></head><body><form method="post" action="https://sts.resource.com/sts"> <input type="hidden" name="wa" value="wsignin1.0" /> <input type="hidden" name="wctx" value="https://res.resource.com/app" /> <input type="hidden" name="wresult" value="<RequestSecurityTokenResponse>...</RequestSecurityTokenResponse>" /> <button type="submit">POST</button> <!-- included for requestors that do not support javascript --></form><script type="text/javascript"> setTimeout('document.forms[0].submit()', 0);</script></body></html>
POST https://sts.resource.com/sts HTTP/1.1 …. . . wa=wsignin1.0 wctx=https://res.resource.com/appwresult=<RequestSecurityTokenResponse>...</RequestSecurityTokenResponse>
HTTP/1.1 200 OK. . .<html xmlns="https://www.w3.org/1999/xhtml"><head><title>Working...</title></head><body><form method="post" action="https://res.resource.com/app"><p><input type="hidden" name="wa" value="wsignin1.0" /><input type="hidden" name="wresult" value="<RequestSecurityTokenResponse>...</RequestSecurityTokenResponse>" /><button type="submit">POST</button> <!-- included for requestors that do not support javascript --></p></form><script type="text/javascript">setTimeout('document.forms[0].submit()', 0);</script></body></html>
POST https://res.resource.com/app HTTP/1.1 ... wa=wsignin1.0 wresult=<RequestSecurityTokenResponse>...</RequestSecurityTokenResponse>
InteropérabilitéInteropérabilité WS-Federation WS-FederationAteliers/liste de distribution publics WS-* afin de préparer les Ateliers/liste de distribution publics WS-* afin de préparer les spécifications WS-* à la soumission à des organismes de spécifications WS-* à la soumission à des organismes de standardisationstandardisation
http://groups.yahoo.com/group/WS-Security-Workshopshttp://groups.yahoo.com/group/WS-Security-Workshops
WS-Federation Passive Requestor Profile Interoperability WorkshopWS-Federation Passive Requestor Profile Interoperability Workshop29 mars 200429 mars 2004ConcerneConcerne le Passive Requestor Profile et les assertions SAML le Passive Requestor Profile et les assertions SAML
Interopérabilité au sens service de jetons de sécuritéInteropérabilité au sens service de jetons de sécuritéLivre blanc« Livre blanc« Federated Identity Management InteroperabilityFederated Identity Management Interoperability » »
http://msdn.microsoft.com/library/en-us/dnwebsrv/html/wsfedinterop.asphttp://msdn.microsoft.com/library/en-us/dnwebsrv/html/wsfedinterop.asp
« « WS-Federation Passive Requestor Interoperability ProfileWS-Federation Passive Requestor Interoperability Profile » »
http://download.microsoft.com/download/e/9/0/e90f1994-91be-4cf8-be5e-http://download.microsoft.com/download/e/9/0/e90f1994-91be-4cf8-be5e-6ab54206192d/6ab54206192d/2004.03.Fed_passive_profile_interop_workshop_invite_pack.zip2004.03.Fed_passive_profile_interop_workshop_invite_pack.zip
100% d’interopérabilité atteinte par l’ensemble des participants100% d’interopérabilité atteinte par l’ensemble des participantsMicrosoft, IBM, RSA, Microsoft, IBM, RSA, OblixOblix, , PingIDPingID, Open Network, , Open Network, NetegrityNetegrity
Annonce de solutions Annonce de solutions WS-FederationWS-Federation et présentation des pré et présentation des pré versions lors de TechEd’04 à versions lors de TechEd’04 à SanDiegoSanDiego
« « Leading Identity Management Vendors Join Microsoft to Demonstrate Leading Identity Management Vendors Join Microsoft to Demonstrate Federated Identity Using Web ServicesFederated Identity Using Web Services » »
http://www.microsoft.com/presspass/press/2004/may04/05-25IMVRallyPR.asphttp://www.microsoft.com/presspass/press/2004/may04/05-25IMVRallyPR.asp
Active (Smart) Requestor ProfileActive (Smart) Requestor ProfileADFS v2.0 avec LonghornADFS v2.0 avec Longhorn
Support de Support de WS-TrustWS-Trust et et WS-FederationWS-Federation pour les clients actifs pour les clients actifs (« conscients » de SOAP/XML)(« conscients » de SOAP/XML)
Détermination explicite des jetons nécessaires à partir des Détermination explicite des jetons nécessaires à partir des politiquespolitiques
Demande explicite de jetons via des messages SOAPDemande explicite de jetons via des messages SOAP
Authentification forte de l’ensemble des demandesAuthentification forte de l’ensemble des demandesPeut fournir une preuve de possession pour les jetonsPeut fournir une preuve de possession pour les jetons
Support de la délégationSupport de la délégationLes clients peuvent fournir un jeton à un service Web afin que ce Les clients peuvent fournir un jeton à un service Web afin que ce dernier l’utilise en leur nomdernier l’utilise en leur nom
Mise à cache évoluée des jetons au niveau du clientMise à cache évoluée des jetons au niveau du clientAmélioration de l’expérience utilisateur et des performancesAmélioration de l’expérience utilisateur et des performances
Mise à disposition d’une infrastructure de sécurité pour les Mise à disposition d’une infrastructure de sécurité pour les services Web avancés (services Web avancés (IndigoIndigo))
Première étape versPremière étape vers Active Directory Active Directory comme service pour les comme service pour les architectures orientées servicesarchitectures orientées servicesRendre possible les scénarios de gestion fédérée d’identité pour Rendre possible les scénarios de gestion fédérée d’identité pour les services Web les services Web WS-* WS-* sécurisés inter opérablessécurisés inter opérables
Active (Smart) Requestor ProfileActive (Smart) Requestor Profile
RequestingService
Requestor’sIP/STS
TargetService
Target’sIP/STS
Acquire policy
Request token
Return token
Request token
Return token
Send secured request
Return secured response
Modèle de fédération piloté par les méta Modèle de fédération piloté par les méta donnéesdonnées
Service d’identitéService d’identité
Services de Services de pseudonymes et pseudonymes et
d’attributsd’attributs
Service CibleService Cible
Politique de fédération
Politique d’accès
Service de jetons de Service de jetons de sécuritésécurité(le service de contrôle (le service de contrôle d’accès fournit les jetons d’accès fournit les jetons de permission)de permission)
Les services comprennent des jetons spécifiques, les services de Les services comprennent des jetons spécifiques, les services de jetons de sécurité traduisent les jetons (de ce que le jetons de sécurité traduisent les jetons (de ce que le principalprincipal possède possède à ce que l’application a besoin) et WS-* fournit une pile standard et à ce que l’application a besoin) et WS-* fournit une pile standard et l’enveloppel’enveloppe
Interopérabilité avec Liberty AllianceInteropérabilité avec Liberty Alliance
Spécification Liberty Alliance ID-FF 1.2Spécification Liberty Alliance ID-FF 1.2http://www.projectliberty.org/resources/specifications.php#box1 http://www.projectliberty.org/resources/specifications.php#box1
Fournit les liaisons de comptes via l’échange d’informations Fournit les liaisons de comptes via l’échange d’informations obscurcies et d’autres éléments ajoutés par rapport à OASIS SAML obscurcies et d’autres éléments ajoutés par rapport à OASIS SAML 1.x1.x
Méta données de fermeture de session (Méta données de fermeture de session (GlobalGlobal logoutlogout) notamment) notamment
Spécifications de Web SSO entre ID-FF 1.2 et WS-Federation Spécifications de Web SSO entre ID-FF 1.2 et WS-Federation annoncées le 13 mai dernier lors de la conférence de presse annoncées le 13 mai dernier lors de la conférence de presse Microsoft/SunMicrosoft/Sun
« « Microsoft and Sun Publish Web Single Sign-On (SSO) Identity Microsoft and Sun Publish Web Single Sign-On (SSO) Identity SpecificationsSpecifications » »
http://xml.coverpages.org/ni2005-05-16-a.html http://xml.coverpages.org/ni2005-05-16-a.html
« « Web Single Sign-On Metadata Exchange ProtocolWeb Single Sign-On Metadata Exchange Protocol » » (Web SSO (Web SSO MEX)MEX), « , « Web Single Sign-On Interoperability ProfileWeb Single Sign-On Interoperability Profile » » ((Web SSO Web SSO Interop ProfileInterop Profile))
http://msdn.microsoft.com/library/en-us/dnglobspec/html/http://msdn.microsoft.com/library/en-us/dnglobspec/html/wssecurspecindex.asp wssecurspecindex.asp
http://developers.sun.com/techtopics/identity/interop/index.html http://developers.sun.com/techtopics/identity/interop/index.html
Vers un méta système d’identitéVers un méta système d’identité
Framework unifiant un monde composé deFramework unifiant un monde composé deMultiples technologies d’identité, de multiples opérateurs et de Multiples technologies d’identité, de multiples opérateurs et de multiples implémentationsmultiples implémentations
Permet aux utilisateurs de gérer leur identité dans un monde Permet aux utilisateurs de gérer leur identité dans un monde hétérogènehétérogène
En respectant les lois de l’identitéEn respectant les lois de l’identité
« « The Laws of IdentityThe Laws of Identity » »
http://msdn.microsoft.com/library/en-us/dnwebsrv/html/http://msdn.microsoft.com/library/en-us/dnwebsrv/html/lawsofidentity.asplawsofidentity.asp
« « Microsoft's Vision for an Identity MetasystemMicrosoft's Vision for an Identity Metasystem »»http://msdn.microsoft.com/library/en-us/dnwebsrv/html/http://msdn.microsoft.com/library/en-us/dnwebsrv/html/identitymetasystem.aspidentitymetasystem.asp
Résumé de la sessionRésumé de la session
ADFS délivreADFS délivreDe la collaboration B2B sur InternetDe la collaboration B2B sur Internet
Du Web SSO pour les utilisateurs internes et externesDu Web SSO pour les utilisateurs internes et externes
De l’interopérabilité entre plateformesDe l’interopérabilité entre plateformes
Un modèle de programmation flexible et simplifié pour une Un modèle de programmation flexible et simplifié pour une approche de contrôle d’accès s’appuyant sur les rôles (RBAC)approche de contrôle d’accès s’appuyant sur les rôles (RBAC)
Pour plus d’informationsPour plus d’informations
« « Active Directory Federation Services: A Path to Federated Active Directory Federation Services: A Path to Federated Identity and Access ManagementIdentity and Access Management » »
http://download.microsoft.com/download/3/a/f/3af89d13-4ef4-42bb-http://download.microsoft.com/download/3/a/f/3af89d13-4ef4-42bb-aaa3-95e06721b062/ADFS.docaaa3-95e06721b062/ADFS.doc
« « The .NET Show: ADFSThe .NET Show: ADFS » »http://msdn.microsoft.com/theshow/episode047/default.asp http://msdn.microsoft.com/theshow/episode047/default.asp
RRejoignez les discussions surejoignez les discussions sur http://www.identityblog.com http://www.identityblog.com
Microsoft FranceMicrosoft France18, avenue du Québec18, avenue du Québec
91 957 Courtaboeuf Cedex91 957 Courtaboeuf Cedex
www.microsoft.com/france
0 825 827 8290 825 827 829
[email protected]@microsoft.com