(Azure) Active Directory + BYOD = tranquillité d’esprit, chiche ! (2nde Partie)

386 vues

Publié le

Aujourd'hui, tout un chacun souhaite aspire à travailler de n'importe où, sur n'importe quel appareil, etc. Comment permettre une telle expérience avec les ressources internes et dans le cloud (hybride) de l’entreprise, tout en conservant le contrôle dans le contexte du BYOD (Amenez votre propre appareil). Sur la base de l’enregistrement d’appareils abordé dans la première partie (session SEC306), cette session illustrera comment configurer les stratégies d’accès conditionnel qui s'appuient d'une manière souple et intuitive sur les nouvelles capacités d’AD FS comme la connaissance des emplacements réseau, l'authentification de l'appareil et l'authentification à facteurs multiples. Elle abordera comment vous pouvez contrôler les méthodes d'authentification qui sont mises à disposition des utilisateurs finaux, comment ajouter des fournisseurs d'authentification supplémentaires et bien sûr comment configurer des stratégies distinctes régissant les accès extranet. Cette session explore au final comment AD FS (et Azure AD) vous permet d'éviter les scénarios de type « Amener votre propre désastre » (BYOD) ;-) en offrant le niveau de confiance appropriée pour l’accès aux ressources de l'entreprise.

Publié dans : Technologie
0 commentaire
0 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

Aucun téléchargement
Vues
Nombre de vues
386
Sur SlideShare
0
Issues des intégrations
0
Intégrations
4
Actions
Partages
0
Téléchargements
16
Commentaires
0
J’aime
0
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

(Azure) Active Directory + BYOD = tranquillité d’esprit, chiche ! (2nde Partie)

  1. 1. AMBIENT INTELLIGENCE tech days• 2015 #mstechdays techdays.microsoft.fr
  2. 2. SEC307 (Azure) Active Directory + BYOD = Tranquillité d’esprit, chiche ! (2nde Partie) Philippe Beraud Jean-Yves Grasset Direction technique et Sécurité Microsoft France http://aka.ms/hi
  3. 3. tech.days 2015#mstechdays
  4. 4. • Joindre un lieu de travail AD • Authentification de l’appareil • Support intégré pour l’authentification multifacteur (MFA) • Prise en charge extensible de fournisseurs d’authentification multifacteur avec des partenaires
  5. 5. • Conception d’IHM réactive à destination des appareils • Choix de l’authentification de l’utilisateur • Messages d’accès refusé personnalisés par RP
  6. 6. • Politique d’authentification configurable au niveau global • Contrôle d’accès conditionnel configurable par application
  7. 7. Start Start intranetextranet Accès extranet
  8. 8. tech.days 2015#mstechdays
  9. 9. tech.days 2015#mstechdays
  10. 10. tech.days 2015#mstechdays
  11. 11. tech.days 2015#mstechdays
  12. 12. tech.days 2015#mstechdays …
  13. 13. • • - Par défaut – Authentification Windows intégrée (WIA) - Options : - WIA avec bascule sur les formulaires, - Authentification par formulaires, - Authentification par certificat/carte à puce • - Par défaut – Authentification par formulaires - Options : - Authentification par formulaires, - Authentification par certificat/carte à puce PS > Get/Set-AdfsGlobalAuthenticationPolicy
  14. 14. tech.days 2015#mstechdays • • • • • • • PS > $ExtranetObservationWindow = New-Timespan -Minutes 30 PS > Set-ADFSProperties -EnableExtranetLockout $true –ExtranetLockoutThreshold 3 -ExtranetObservationWindow $ExtranetObservationWindow
  15. 15. tech.days 2015#mstechdays
  16. 16. tech.days 2015#mstechdays
  17. 17. • • • • • • authenticationmethod multipleauthn .
  18. 18. * MFATriggerClaimRule – Règle de revendication sDéclencheur MFA au format chaîne de caractères. PS > Set-AdfsRelyingPartyTrust – AdditionalAuthenticationRules $MFATriggerClaimRule PS > Set-AdfsAdditionalAuthenticationRule – AdditionalAuthenticationRules $MFATriggerClaimRule*
  19. 19. The Federation Service could not authorize token issuance for caller ‘DOMAINUser’. The caller is not authorized to request a token for the relying party 'urn:dumptoken'. See event 501 with the same Instance ID for caller identity. Additional Data Instance ID: xxxxxxxxxxx Relying party: yyyy Exception details: Microsoft.IdentityServer.Service.IssuancePipeline.CallerAuthorizationException: MSIS5007: The caller authorization failed for caller identity xxxxxx for relying party trust yyyy. at Microsoft.IdentityModel.Threading.AsyncResult.End(IAsyncResult result) at Microsoft.IdentityModel.Protocols.WSTrust.WSTrustServiceContract.ProcessCoreAsyncResult.End(IAsyncResult ar) at Microsoft.IdentityModel.Protocols.WSTrust.WSTrustServiceContract.EndProcessCore(IAsyncResult ar, String requestAction, String responseAction, String trustNamespace) User Action Use the AD FS Management snap-in to ensure that the caller is authorized to request a token for the relying party. Problème : Les règles MFA bloquent l’accès depuis les protocoles actifs (Office 365 – Lync, Outlook etc.) Solution : Utiliser la revendication ‘x-ms-endpoint-absolute-path’ pour dispenser un point de terminaison actif de devoir faire une authentification multifacteur dans votre règle de déclencheur Note : ‘adfs/ls’  Requêtes WS-Fed, SAML ‘/adfs/oauth2’  Requêtes OAuth Règle exemples: c:[Type == "http://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork", Value == "false"] && c1:[Type == "http://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-endpoint-absolute-path", Value =~ `"(/adfs/ls)|(/adfs/oauth2)"] => issue(Type = "http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod", Value = "http://schemas.microsoft.com/claims/multipleauthn");
  20. 20. tech.days 2015#mstechdays
  21. 21. • • Si de multiples méthodes d’authentification supplémentaires sont activées • PS > Set-AdfsGlobalAuthenticationPolicy – AdditionalAuthenticationProvider “CertificateAuthentication”
  22. 22. tech.days 2015#mstechdays • • • • • • • • http://technet.microsoft.com/en-us/library/dn280949.aspx
  23. 23. tech.days 2015#mstechdays www.gemalto.com/identity
  24. 24. tech.days 2015#mstechdays
  25. 25. tech.days 2015#mstechdays
  26. 26. • • • • • • • • • • • •
  27. 27. tech.days 2015#mstechdays
  28. 28. tech.days 2015#mstechdays
  29. 29. tech.days 2015#mstechdays Start
  30. 30. tech.days 2015#mstechdays
  31. 31. tech.days 2015#mstechdays
  32. 32. tech.days 2015#mstechdays
  33. 33. tech.days 2015#mstechdays
  34. 34. © 2015 Microsoft Corporation. All rights reserved. tech days• 2015 #mstechdays techdays.microsoft.fr
  35. 35. tech.days 2015#mstechdays
  36. 36. http://schemas.microsoft.com/ws/2008/06/identity/claims/denyonlyprimarygroupsid SID de groupe principal en refus seul de l’utilisateur http://schemas.microsoft.com/ws/2008/06/identity/claims/denyonlyprimarysid SID principal en refus seul de l’utilisateur http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid SID de groupe de l’utilisateur Vous pouvez utiliser cette revendication pour vérifier si l’utilisateur est membre d’un groupe donné. http://schemas.microsoft.com/ws/2008/06/identity/claims/primarygroupsid SID de groupe principal de l’utilisateur http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid SID principal de l’utilisateur http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname Nom du compte de domaine de l’utilisateur sous la forme domaineutilisateur http://schemas.xmlsoap.org/claims/CommonName Nom courant de l’utilisateur http://schemas.xmlsoap.org/ws/2005/05/identity/claims/denyonlysid SID de groupe en refus seul de l’utilisateur http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name Nom unique de l’utilisateur http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn UPN (Nom principal de l’utilisateur) de l’utilisateur http://schemas.microsoft.com/2012/01/devicecontext/claims/displayname Nom d’affichage de l’enregistrement de l’appareil http://schemas.microsoft.com/2012/01/devicecontext/claims/identifier Identificateur de l’appareil http://schemas.microsoft.com/2012/01/devicecontext/claims/isregistereduser L’utilisateur est enregistré pour utiliser cet appareil Lorsque la valeur de cette revendication est true, cela signifie que l’utilisateur qui est authentifié est celui qui a enregistré à l’origine l’appareil. http://schemas.microsoft.com/2012/01/devicecontext/claims/ostype Type d’OS de l’appareil http://schemas.microsoft.com/2012/01/devicecontext/claims/osversion Version de l’OS de l’appareil
  37. 37. http://schemas.microsoft.com/2012/01/requestcontext/claims/client-request-id Identificateur pour une session utilisateur (à des fins de diagnostic) http://schemas.microsoft.com/2012/01/requestcontext/claims/relyingpartytrustid Identificateur pour la ressource/RP http://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-client-application Type d’application client http://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-client-ip Adresse IP du client http://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-client-user-agent Type d’appareil utilisé par le client pour accéder à l’application http://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-endpoint-absolute- path Chemin absolu du point de terminaison qui peut être utilisé pour distinguer un client actif d’un client passif. Comme l’authentification multifacteur est seulement prise en charge pour les applications navigateur, vous pouvez utiliser cette revendication pour distinguer les requêtes émanant d’un navigateur de celles qui ne le sont pas, dans l’hypothèse où vous auriez les deux sortes de protocoles dans la même relation de confiance, ce qui est typiquement le cas lorsque des jetons délivrés à un STS fournisseur de fédération. http://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-forwarded-client-ip Adresse IP de l’utilisateur http://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-proxy Nom DNS du proxy d’application web (WAP) par lequel est passée la requête http://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork Utilisé pour indiquer si la requête a pour origine le réseau d’entreprise. Lorsque cette valeur est false, cela signifie que la requête est passée à travers le proxy d’application web. A true, cela signifie que la requête vient directement du navigateur vers le STS. http://schemas.microsoft.com/2012/12/certificatecontext/* (multiple claim types) Revendications qui représentent différents champs et extensions du certificat client X509 lorsque utilisé comme méthode d’authentification Un cas d’usage intéressant ici est d’utiliser la revendication EKU (http://schemas.microsoft.com/2012/12/certificatecontext/extension/eku) pour vérifier si l'utilisateur a utilisé une carte à puce (l’EKU exacte dépend de l'infrastructure PKI du client) http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod La méthode d’authentification principale utilisée pour authentifier l’utilisateur http://schemas.microsoft.com/claims/authnmethodsreferences Utilisée pour indiquer toutes les méthodes d’authentification utilisée pour authentifier l’utilisateur http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationinstant Utilisée pour afficher la date et l’heure auxquelles l’utilisateur a été authentifié

×