La fédération d'identité : une nécessité pour le Cloud

1 741 vues

Publié le

Dans un environnement de type Cloud, la gestion de l'identité fédérée joue un rôle essentiel en permettant aux entreprises d'authentifier leurs utilisateurs (collaborateurs, partenaires et/ou utilisateurs externes) des services Cloud à l'aide du ou des fournisseurs d'identité souhaités. Dans ce contexte, l'échange et la transformation d'attributs d'identité de manière sécurisée et digne de confiance entre le ou les fournisseurs d’identités/d’autorisations et le service considéré constitue une condition importante pour protéger la confidentialité et l’intégration tout en prenant en charge la non-répudiation. Ce rôle central de la fédération est largement indépendamment du modèle de service (IaaS, PaaS et SaaS) et du modèle de déploiement (privé, public et hybride). Cette session s’intéresse aux différents défis à relever, aux approches et modèles possibles pour répondre à des scénarios typiques. Cette session illustrera ces éléments au travers de démonstration s’appuyant sur les offres Cloud Microsoft et des produits et technologies tels qu’Active Directory Federation Services (AD FS) 2.0, Azure AppFabric Access Control Services (ACS) ou encore Windows Identity Foundation (WIF).

Publié dans : Technologie
0 commentaire
0 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

Aucun téléchargement
Vues
Nombre de vues
1 741
Sur SlideShare
0
Issues des intégrations
0
Intégrations
2
Actions
Partages
0
Téléchargements
50
Commentaires
0
J’aime
0
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

La fédération d'identité : une nécessité pour le Cloud

  1. 1. palais descongrèsParis7, 8 et 9février 2012
  2. 2. La fédération didentité : une nécessitépour le CloudCode Session : SEC2204Philippe BERAUD Jean-Yves GRASSETConsultant Architecte Consultant ArchitecteDirection Technique et Sécurité Direction Technique et SécuritéMicrosoft France Microsoft France
  3. 3. Objectifs de la session Analyser différents scénarios d’extension de votre Système d’Information vers le Cloud Comprendre que l’adoption de services Cloud rend indispensable la fédération d’identité Mettre en évidence que l’identité ne se réduit pas à la notion d’utilisateur et intègre la notion de contexte Illustrer l’usage de la fédération avec des scénarios concrets
  4. 4. Quelques définitions pour le Cloud Cf. The NIST Definition of Cloud Computing
  5. 5. Vers une informatique fédérée Services Cloud : 3ième priorité technologique des DSI pour 2012  Sous toutes les formes (IaaS, PaaS, SaaS)  Enquête annuelle du Gartner intitulée "Amplifying the Enterprise: The 2012 CIO Agenda" 80 % des entreprises françaises vont démarrer en 2012 un projet Cloud selon KPMG  1/3 des projets sur des domaines Cœur de métier  49 % souhaitent investir dans le SaaS, 35 % le IaaS, 31 % le PaaS
  6. 6. Vers l’informatique fédérée … amazon salesforce … web services Google App Engine
  7. 7. Vers l’informatique fédérée Le développement du Cloud est en marche pour transformer de manière durable et profonde l’informatique     
  8. 8. Vers l’informatique fédérée L’économie du Cloud crée l’informatique fédérée  Le Cloud est ce que les fournisseurs informatiques vendent…  …Une informatique fédérée est ce que les entreprises mettent en place L’identité joue un rôle central pour la mise en place de cette informatique fédérée  Avec une expérience transparente pour l’utilisateur  Avec de multiples implications d’intégration en termes d’authentification, de contrôle d’accès, de protection de l’information  Transmission sécurisée de crédentités (credentials), provisioning d’utilisateurs, expression et
  9. 9. Vers l’informatique fédérée Tendances pour les Clouds privés  Capitalisation sur les services d’annuaires de l’entreprise Tendances au niveau des fournisseurs Cloud  Les fournisseurs exposent leur service sous forme d’API  Ces API sont conçues pour accepter des jetons plutôt que des mots de passe  Les standards de fédération sont largement exploités pour le SaaS, et à un niveau moindre pour le PaaS  Fédération d’identité et contrôle d‘accès  Besoin éventuel de synchronisation de comptes (à travers des environnements hétérogènes)
  10. 10. Impacts sur l’identité … Fédération d’identité
  11. 11. DEMOAccéder à un service SaaS (Office 365)
  12. 12. Impacts sur l’identité Utilisation croissante des applications d’entreprise par les partenaires et les clients de l’entreprise (collaboration étendue) : B2B et/ou B2C S’applique également au Cloud ! L’identité concerne les personnes ET les organisations  Impose de consommer des identités de multiples organisations  Suppose de prendre en charge l’identité choisie "Bring Your Own Identity" (BYOI)  Entreprise, Web/réseau social, Etat
  13. 13. Impacts sur l’identité
  14. 14. Evolutions résultantes L’identité  Devient un ensemble de revendications (claims) qui sont consommées au sein de l’informatique fédérée  Pour l’authentification (unique), la délégation d’identité et le contrôle d’accès, (voire le peuplement)  Condition pour l’utilisateur final d’une expérience transparente  Expérience d’authentification unique étendue (BYOI/BYOD), collaboration facilité avec les partenaires commerciaux, identité transparente entre différents types d’appareils  Est véhiculée sous forme d’un jeton selon un protocole
  15. 15. Identité fondée sur les revendications 2 rôles canoniques  Fournisseur de revendications (Claims Provider)  Prend en charge des protocoles et des formats de jetons standards pour Relation délivrer les revendications de confiance  Partie consommatrice (Relying Party)  Requiert et consomme des revendications pour matérialiser l’identité en entrée  Suppose une relation entre les deux rôles  Contexte dans lequel la confiance est établie et les revendications définies
  16. 16. Identité fondée sur les revendications Suppose la prise en charge des standards ouverts  Au niveau format de jetons et protocolaires  Formats de jeton  SAML, OpenID, Simple Web Tokens (SWT), JSON Web Tokens (JWT), etc.  Protocoles  SAML-P 2.0, WS-Federation, WS-Trust, OAuth(2), Simple Web Discovery (SWD), OpenID (Connect), etc.  Pour l’intégration et l’interopérabilité en fonction des capacités des fournisseurs Clouds, des ressources mises en œuvre et invoquées
  17. 17. Identité fondée sur les revendications Accès transparent via l’identité d’entreprise  Utilisation des comptes et des groupes AD Relation via échange de métadonnées
  18. 18. DEMOAccéder à une application dans le Cloudpublic
  19. 19. Modèles d’architecture 3 modèles d’interface avec les fournisseurs de revendications 1. Modèle de forme libre (Free-form Model) ou point à point  Chaque partie consommatrice est configurée directement pour interagir avec différents fournisseurs de revendications
  20. 20. Modèles d’architecture 3 modèles d’interface avec les fournisseurs de revendications 2. Structure en étoile (Hub-and-Spoke)  Centralisation de la gestion des fournisseurs de revendications pour l’interaction avec les parties consommatrices  Chaque partie consommatrice délègue au concentrateur (hub) cette gestion  Le concentrateur est son unique fournisseur de revendication  Modèle à la base des passerelles de fédération
  21. 21. Modèles d’architecture 3 modèles d’interface avec les fournisseurs de revendications 3. Modèle hybride  Selon les parties consommatrices, les fournisseurs Cloud, etc.  Utilisation de courtiers de revendications (Claims brokers) pour l’abstraction de divers (niveaux de) fournisseurs de revendications  Adaptation protocolaire, transformation de revendications, transformations de formats de jetons
  22. 22. Quelques illustrations… Invoquer depuis l’application un service RESTful  Accès via un jeton d’autorisation obtenu à partir de l’identité d’entreprise amazon web services
  23. 23. amazon web servicesDEMOInvoquer depuis l’application un serviceRESTful
  24. 24. Quelques illustrations… Ouvrir l’application à des partenaires  Utilisation d’ACS comme passerelle de fédération amazon web services
  25. 25. amazon web servicesDEMOOuvrir l’application à des partenaires
  26. 26. Quelques illustrations… Ouvrir l’accès aux clients Google Accounts  Utilisation d’ACS comme passerelle de fédération amazon web services
  27. 27. amazon web servicesDEMOOuvrir l’accès aux clients
  28. 28. Autres impacts sur l’identité Nouveau périmètre de sécurité : la ressource et le contexte d’accès à la ressource L’identité n’est donc PAS uniquement une référence pour l’authentification  Besoin de collecter plus d’information L’identité s’applique EGALEMENT aux appareils  Avec la consumérisation de l’IT et le "Bring Your Own Device" (BYOD)  Cf. session SEC2209 demain à 13h00  Besoin d’identifier l’appareil, de connaître son état de santé, son statut, sa localisation, etc.  Besoin d’augmenter la force d’authentification  Cf. session SEC211 aujourd’hui tout de suite après !
  29. 29. Autres impacts sur l’identité Nouveau périmètre de sécurité : la ressource et le contexte d’accès à la ressource L’identité s’applique EGALEMENT au code  Besoin d’identifier son contexte d’exécution  Besoin de connaître son origine, sa nature, son niveau de privilège, etc.  Besoin de prendre en compte un graphe d’appel  Ex. Application Cloud composite invoquant des services Cloud s’exécutant depuis le même fournisseur Cloud, d’autres fournisseurs Cloud, sur site
  30. 30. En guise de conclusion Investir dans la fédération d’identité et les revendications Conduire des activités de preuves de concepts / d’évaluation Commencer à se connecter aux services Cloud Tirer parti des revendications pour les nouvelles applications métier pour le Cloud hybride
  31. 31. Des ressources Windows Azure gratuites Testez Windows Azure Abonnés MSDN, vous gratuitement pendant 90 bénéficiez de Windows jours Azure  http://aka.ms/  http://aka.ms/ tester-azure-90j activer-azure-msdn
  32. 32. Pour aller au-delà AD FS 2.0  http://www.microsoft.com/adfs  Carte du contenu AD FS 2.0  http://social.technet.microsoft.com/wiki/contents/articles/2735.aspx Windows Azure Access Control Services (ACS)  http://msdn.com/acs  Carte du contenu ACS  http://social.technet.microsoft.com/wiki/contents/articles/1546.aspx Windows Identity Foundation (WIF)  http://www.microsoft.com/adfs  Carte du contenu WIF  http://social.technet.microsoft.com/wiki/contents/articles/1546.aspx
  33. 33. Pour aller au-delà Sessions Microsoft TechDays 2011  http://www.microsoft.com/france/mstechdays/showcase/default.aspx  Session ARC203 "Architecture des applications et des services fondés sur la fédération didentité et les revendications : une introduction"  Session SEC2306 "Utiliser Active Directory Federation Services 2.0 pour une authentification unique interopérable entre organisations et dans le Cloud" Identity Developer Training  http://bit.ly/cWyWZ2 A Guide to Claims-based Identity And Access Control 2nd Edition  http://bit.ly/uHsywx
  34. 34. Plus d’informations Portail Microsoft France Interopérabilité  http://www.microsoft.com/france/interop/  Portail US  http://www.microsoft.com/interop/ Portail Microsoft Spécifications Ouvertes  http://www.microsoft.com/openspecifications Portail Port 25  http://port25.technet.com/ Portail "Interop Vendor Alliance"  http://interopvendoralliance.com/ Portail "Interoperability Bridges and Labs Center"  http://www.interoperabilitybridges.com/ Weblog Interoperability@Microsoft  http://blogs.msdn.com/b/interoperability/
  35. 35. Plus d’informations Groupe "Forum des architectures applicatives Microsoft"  http://bit.ly/archiappms Ce forum regroupe des architectes en informatique qui ont des choix de technologies à faire dans les projets pour lesquels ils travaillent. L’architecte applicatif, en situation de projet, travaille typiquement aux côtés de la direction de projet pour choisir et assumer des choix techniques en fonction des contraintes du projet (fonctionnalités, délais, ressources). Pour effectuer ces choix à bon escient, il doit connaître ce que le marché offre en termes de technologies. Cela peut prend typiquement deux formes : veille technologique continue, recherches dans le cadre du projet. L’architecte applicatif a aussi pour rôle de faire le lien entre les équipes de développement et les équipes d’infrastructure et d’exploitation de la future application. Il doit également veiller à ce que ses choix soient bien mis en œuvre pendant le développement. Ce forum, à l’initiative de Microsoft France, a pour but d’aider les architectes applicatifs • A faciliter la connaissance de l’offre de Microsoft pour les projets en entreprise (envoi de liens vers des présentations, documents, webcasts, conférences, etc.), mais également • A échanger sur des problématique d’architecture ayant un rapport, même partiel, avec la plateforme Microsoft (est-ce que AD FS 2.0 fonctionne dans un environnement SAML-P 2.0, comment se passe la réversibilité d’une application développée pour le Cloud, quelles sont les implications d’un déploiement sur une ferme Web, etc.). Cet espace est le vôtre, faites le vivre, nous sommes aussi et surtout là pour vous lire.
  36. 36. Microsoft France39, quai du président Roosevelt 92130 Issy-Les-Moulineaux www.microsoft.com/france

×