Avec une souscription Azure ou Office 365, vous bénéficiez automatiquement d'un annuaire hébergé par Microsoft WAAD. Pour gérer vos propres identités sur internet vous utilisez la fédération d'identité (ADFS). Pour vous ouvrir au grand public vous utilisez ACS (Live, Google, Facebook) Sur votre réseau local vous utilisez Kerberos. Que faut-il utiliser ? quels sont les impacts sur les solutions développées ? Les différents scénarios de fédération passive (Browsers) et active (Client lourds, Web Services), c2wts Kerberos contraint avec des démos mettant en œuvre SharePoint, Office365, CRM, ASP.Net, WCF, Windows 8 Modern UI, WP8, SSRS, SSAS, SAP, WAAD, ACS, ADFS, (Shibboleth ??) Cette session s'adresse aux architectes et développeurs d'entreprise devant intégrer des solutions Cloud dans leurs projets. Une bonne maîtrise du Framework .Net est un pré-requis
Speakers : Stéphane Goudeau (Microsoft), Franck Musson (NEOS-SDI)
2. Donnez votre avis !
Depuis votre smartphone sur :
http://notes.mstechdays.fr
De nombreux lots à gagner toute les heures !!!
Claviers, souris et jeux Microsoft…
Merci de nous aider à améliorer les Techdays !
#mstechdays
Architecture/Azure/Cloud
3. Cloud Hybride, le SSO de
bout en bout
Franck MUSSON (Neos-Sdi)
Stéphane GOUDEAU (Microsoft)
Email, site Web, Twitter
Architecture/Azure/Cloud
4. Agenda
• Cloud hybride et gestion d’identité : concepts,
standards et technologies
• Identification des applications dans le Cloud :
Intégration avec Windows Azure Active
Directory
• Scénario SSO pour des solutions Cloud
Hybride d’Entreprise
• Evolution vers de nouveaux protocoles
• Conclusion
#mstechdays
Architecture/Azure/Cloud
5. CLOUD HYBRIDE ET GESTION
D’IDENTITÉ
Concepts, standards et technologies
#mstechdays
Architecture/Azure/Cloud
6. Cloud Hybride et gestion d’identité
Freins et
modérateurs
Contraintes liées à l’existant
Respect de la vie privée
Conformité aux politiques de sécurité
Charge d’administration
Facilité d’utilisation, d’exploitation
Gain ou perte pour l’intégration
Accélérateurs du
Changement
ROI
Réduction des coûts
Agilité, évolutivité et élasticité
« Emancipation » des « Business Units »
Périphériques mobiles
Consumérisation de l’IT
#mstechdays
Architecture/Azure/Cloud
7. Evolution résultante pour la gestion
d’identité
• L’identité s’applique à de
multiples entités
Service de jetons de
sécurité (STS)
– Personnes, organisations,
appareils, applications et services
(code)
revendications
nom:
stephgou,
rôles: …
… signature
• L’identité
– Devient un ensemble de
revendications (claims)
consommées au sein de
l’informatique fédérée pour
l’authentification (unique), la
délégation d’identité et le contrôle
d’accès, (voir le peuplement)
– Est véhiculée sous forme d’un
jeton selon un protocole
#mstechdays
1
J
e
t
o
n
2
Client
Architecture/Azure/Cloud
Partie de
confiance
8. Standards d’identité et technologies
Microsoft se fonde aujourd'hui sur de multiples standards ouverts :
• La gestion d’identité
–
–
•
Active Directory Federation Services (AD FS) 2.0
–
•
Valide le jeton de sécurité émis par le STS
Extrait les revendications et les met à disposition de l’application ou du service Cloud ou à demeure
Access Control Service (ACS) V2.0
–
–
•
Authentifie l’utilisateur et émet les valeurs, formats et types spécifiques de revendications requises
par l’application ou le service
Windows Identity Foundation (WIF)
–
–
•
Formats de jeton : SAML, OpenID, SWT, JWT,…
Protocoles : Kerberos, SAML-P 2.0, WS-Federation, WS-Trust, OAuth2, OpenID,…
« ADFS du Cloud » : Identité fédérée et autorisation pour tout type d’Application : Web, Desktop,
Mobile
Identity Providers: Facebook, Google, Yahoo, LiveID, STS WS-Federation
Windows Azure Active Directory (WAAD)
–
–
–
#mstechdays
Annuaire sur Windows Azure
Connexion et synchronisation de Windows Server Active Directory avec Windows Azure
Utilisé aujourd’hui par les souscriptions Windows Azure, Office 365, Dynamics CRM Online et
Windows Intune
Architecture/Azure/Cloud
14. AUTHENTIFICATION SUR UN
STS SAML GRÂCE À WINDOWS
AZURE ACTIVE DIRECTORY
#mstechdays
Architecture/Azure/Cloud
15. SCÉNARIO SSO POUR DES
SOLUTIONS CLOUD HYBRIDE
D’ENTREPRISE
#mstechdays
Architecture/Azure/Cloud
16. The Big Picture
Active Directory
SSAS 2012
SQLServer 2012
SQLServer 2008R2
#mstechdays
ADFS / MFA
ADFS Proxy
SharePoint 2013
Farm
AppFabric
WCF/SOAP
F
i
r
e
w
a
l
l
/
R
e
v
e
r
s
e
Web Sites
Shibboleth
Active Directory ADFS Proxy
RWDC
Web Sites
Architecture/Azure/Cloud
ADFS / MFA
LDAP Server
17. Scenario OnPremise – Accès depuis
l’extérieur
Active Directory
SSAS 2012
SQLServer 2012
SQLServer 2008R2
#mstechdays
F
i
r
e
w
a
l
l
/
R
e
v
e
r
s
e
ADFS / MFA
SharePoint 2013
Farm
AppFabric
WCF/SOAP
Web Sites
Active Directory ADFS Proxy
RWDC
Web Sites
Architecture/Azure/Cloud
ADFS / MFA
18. SCÉNARIO « ON PREMISE »
Accès depuis l’extérieur
#mstechdays
Architecture/Azure/Cloud
19. Scenario Cloud Hybride ADFS dans Azure
Active Directory
SSAS 2012
SQLServer 2012
SQLServer 2008R2
#mstechdays
F
i
r
e
w
a
l
l
/
R
e
v
e
r
s
e
ADFS / MFA
SharePoint 2013
Farm
AppFabric
WCF/SOAP
Web Sites
Active Directory ADFS Proxy
RWDC
Web Sites
Architecture/Azure/Cloud
ADFS / MFA
20. SCENARIO CLOUD HYBRIDE
ADFS DANS AZURE
Accès depuis une Application Azure aux
ressources à demeure – Authentification avec
ADFS sur Azure
#mstechdays
Architecture/Azure/Cloud
21. Scénario Cloud Hybride WAAD
F
i
r
e
w
a
l
l
/
R
e
v
e
r
s
e
AppFabric
WCF/SOAP
#mstechdays
Architecture/Azure/Cloud
22. SCÉNARIO CLOUD HYBRIDE
WAAD
Accès depuis une Application Azure aux
ressources à demeure – Authentification avec
WAASD
#mstechdays
Architecture/Azure/Cloud
24. Evolution des protocoles
Des protocoles standard fondés sur HTTP pour une portée maximale
Reposent sur une grande variété de langages / plates-formes
Reposent sur une grande variété de langages / platesformes /appareils
#mstechdays
Architecture/Azure/Cloud
25. Obtention d’un code d’autorisation OAuth 2
* Active Directory
Authentication Library:
client-side helper library
that handles UI prompts,
protocol, caching.
Impersonation
grant
User sees web pop up
#mstechdays
Architecture/Azure/Cloud
26. Obtention d’un jeton d’accès JWT
Impersonation
grant
*JWT = JSON Web Token,
a JSON-encoded security
token bearing claims.
#mstechdays
Architecture/Azure/Cloud
29. Des services et technologies pour la mise
en place de solutions SSO pour le Cloud
Hybride
#mstechdays
Architecture/Azure/Cloud
30. Ressources Techniques
•
Scénarios de gestion d’identité dans Azure
–
–
–
–
•
Adding Sign-On to Your Web Application Using
Windows Azure AD Web application that uses
Windows Azure AD for single sign-on.
Access Control Service 2.0 Use ACS to authenticate
users from Windows Azure AD and other identity
providers to your applications and services.
Developing Multi-Tenant Web Applications with
Windows Azure AD Web application that can be
used by organizations that have Windows Azure
Active Directory.
Securing a Windows Store Application and REST
Web Service Using Windows Azure AD (Preview)
Windows Store application that uses a REST web
service secured by Windows Azure AD and the
Windows Azure Authentication Library.
Whitepapers Windows Azure Active Directory.
–
http://www.microsoft.com/enus/download/details.aspx?id=36391
#mstechdays
•
•
•
•
Windows Azure Active Directory Tenant Administration Learn how to administer your Windows Azure AD
directory tenant, such as configuring on-premises
integration, creating and managing accounts, and
resolving issues with your service.
Integrating Applications in Windows Azure Active
Directory - Learn how to register and integrate an
application with Windows Azure AD.
Windows Azure Active Directory Authentication Protocols
- Learn about the different authentication protocols that
you can use to authenticate to Windows Azure AD,
including WS-Federation, SAML 2.0, and OAuth 2.0.
Windows Azure Active Directory Authentication Libraries
- Learn about the code libraries you can use to easily
authenticate to Windows Azure AD, including the
Windows Azure Active Directory Authentication Library
(ADAL).
Authorization with Windows Azure Active Directory Learn how to use user and group information in Windows
Azure Active Directory to manage access to secured
resources in your applications and services.
Architecture/Azure/Cloud