SlideShare une entreprise Scribd logo
Comment publier vos applications
Web avec Windows Server 2012
R2
Eric Detoc, Franck Heilmann
Escalation Engineers
Microsoft
franckh@microsoft.com
edetoc@microsoft.com

Sécurité
Agenda
• Concepts sur la publication d’application
Web
• Etat des lieux TMG / UAG
• Web Application Proxy (WAP)
• Questions - Réponses

#mstechdays

Sécurité
INTRODUCTION SUR LA
PUBLICATION DES APPLICATIONS
Concepts
WEB
#mstechdays

Sécurité
Grands Concepts de la publication
• Rendre accessible les applications internes pour les
clients externes (nomades, partenaires)
• Offrir:
– Pré-Authentification / Validation de l’identité
– Délégation (SSO)
– Translation de liens
– Terminaison SSL

#mstechdays

Sécurité
TMG & UAG
En fin de vie

#mstechdays

Sécurité
TMG - fin de vie
• TMG n’est plus disponible à la vente depuis
1er décembre 2012
• La dernière mise à jour est SP2 Rollup 4
• Arrêt du support
– Phase principale: 14 Avril 2015
– Phase étendue: 14 Avril 2020

#mstechdays

Sécurité
UAG - fin de vie
• UAG ne sera plus disponible à la vente à
partir du 1er Juillet 2014 (Software Assurance 1er
Janvier 2014).

• La dernière mise à jour est SP4
• Arrêt du support
– Phase principale: 14 Avril 2015
– Phase étendue: 14 Avril 2020
#mstechdays

Sécurité
Phases de support
• http://support.microsoft.com/gp/lifepolicy

#mstechdays

Sécurité
WEB APPLICATION PROXY (WAP)
Introduction

#mstechdays

Sécurité
Pourquoi WAP ?
– Nécessité de répondre aux challenges de la fédération
d’identité (intégration forte avec ADFS et AD)
– Evolution des standards de sécurité (focus client)
– Nouveaux besoins Utilisateurs et ITPro (BYOD,
Contrôle d’accès,…)
– Rendre le proxy indépendant du client (pas de code
client ou autre JavaScript,…)
– Rendre le proxy neutre par rapport à l’application
publiée (Exchange 2007 versus 2013,…)
#mstechdays

Sécurité
Web Application Proxy

#mstechdays

Sécurité
WS2012 R2 AD + AD FS + WAP: proposition de
valeur
Organizations can connect to SaaS
applications running in Windows Azure,
Office 365 and 3rd party providers

Enhancements to AD FS include simplified
deployment and management

Organizations can
federate with partners
and other organizations
for seamless access to
shared resources
Firewall
Conditional access with multi-factor
authentication is provided on a perapplication basis, leveraging user
identity, device registration & network
location
Users can register their devices to gain access to
corporate data and apps and single sign-on
through device authentication

Published
applications
WEB APPLICATION PROXY (WAP)
Fonctionnalités

#mstechdays

Sécurité
Reverse Proxy Web
• Publication sélective d’applications Web
– Rendre accessible certaines applications Web, voire
certaines parties (paths) seulement de ces applications

• Terminaison SSL
– Le trafic Web entrant (HTTPS uniquement) ne peut
directement atteindre le serveur publié

• HTTP ou HTTPS peuvent être utilisés entre
WAP et l’application Web
#mstechdays

Sécurité
Reverse Proxy Web (suite)
• Pré-authentification AD FS ou de type “Pass
through”
• Le rôle ADFS Proxy est inclus dans WAP
– Utilisé pour publier le serveur ADFS
– Dans Windows 2012 R2, le rôle AD FS Proxy n’est plus
disponible comme rôle seul

• Translation du nom d’hôte
– Le nom de domaine externe peut être différent du nom interne:
E.g. https://portal.contoso.com  http://portal/
– La translation du nom d’hôte n’est actuellement supporté que sur
#mstechdays les entêtes HTTP.
Sécurité
Pré-requis pour le Single Sign On (SSO)
• Les applications publiées doivent authentifier les flux
avec des Claims ADFS ou avec la méthode Kerberos
(authentification Windows intégrée -IWA)
• Un “relying party” (RP) doit être créé au niveau ADFS
pour l’application publiée

#mstechdays

Sécurité
Flux du SSO
• Le client s’authentifie sur ADFS
• Une fois l’authentification réussie, le client reçoit un token WAP
ainsi qu’un cookie SSO ADFS
• WAP vérifie que le token WAP est valide et bascule si
nécessaire en KCD (Kerberos constrained delegation) avec
l’application Web publiée

#mstechdays

Sécurité
Authentification et autorisation ADFS
• Les RP créés dans ADFS pour chaque application sont
utilisés pour définir et appliquer des stratégies
d’authentification et d’autorisation
• Les accès des devices et des utilisateurs peuvent être
restreints en fonction de nombreuses conditions, comme:
–
–
–
–

#mstechdays

Le type de Device (iOS, Windows OS, Android)
Workplace Joined ou non-Workplace Joined
Lieu de l’utilisateur et du device (interne , externe)
Appartenance à un groupe

Sécurité
WEB APPLICATION PROXY (WAP)
Déploiement & recommandations

#mstechdays

Sécurité
Installation
• Prérequis: Windows 2012 R2 ADFS
• WAP est un service disponible depuis le rôle
« accès distant »
• Configuration post-installation par nœud
• Administration centralisée depuis la console
gestionnaire d’accès distant

#mstechdays

Sécurité
Certificat de l’ADFS Proxy
• Demandé lors de la configuration post-install
• Ce certificat doit inclure:
– Le FQDN du serveur ADFS, par exemple adfs.contoso.com
– Enterpriseregistration.contoso.com si Workplace Join utilisé

• Les certificats de type Wildcard (*.contoso.com)
ou avec des Subject Alternate Names (SAN) sont
supportés

#mstechdays

Sécurité
WAP/AD FS : qui fait quoi ?
Web Application Proxy

AD FS

• Prendre en charge et évaluer les
requêtes Web entrantes
• Déclencher la pré-authentification
• Gérer la délégation KCD
• Effectuer la translation des
entêtes HTTP
• Faire le proxy entre le serveur
ADFS et l’application Web publiée

• Héberger le stockage de la
configuration WAP
• Gérer l’authentification de
l’utilisateur
• Authentification Multi-facteur
• Appliquer les autorisations en
fonction des stratégies définies.
• Changement des mots de passe
• Personnalisation du formulaire de
logon

#mstechdays

Sécurité
WAP et http.sys
• WAP n’utilise pas de “Listener” lié à une IP/port comme TMG & UAG
• WAP effectue des réservations dans http.sys pour les FQDN et Paths
publiés
• WAP utilise Server Name Indication (SNI) pour déterminer le certificat
serveur à envoyer au client lors du handshake SSL

#mstechdays

Sécurité
Cartes réseaux
• WAP n’a aucune connaissance de la
configuration réseau du système
• WAP supporte une, deux ou plusieurs cartes
réseaux
• Support de IPv6 et IPv4

#mstechdays

Sécurité
Positionnement de WAP dans le réseau
• Dans la DMZ
• Comme “pont” entre la DMZ et le LAN
• Dans le LAN directement
• Remarque:
– Terminer la connexion SSL avant WAP n’est pas supporté

#mstechdays

Sécurité
Répartition de charge
•

Les serveurs WAP connectés au même ADFS forment un groupe et
partagent la même configuration (applications publiées, etc …)
Web Application Proxy
AD FS
Web Application Proxy

AD FS Config.
Store

AD FS
Web Application Proxy

•

Aucune affinité cliente n’est requise: un utilisateur peut se connecter
indifféremment à chaque serveur du groupe. Les considérations habituelles
concernant l’affinité cliente au niveau de l’application Web demeurent

•

WAP n’offre pas de dispositif d’équilibrage de charge nativement. Toute
solution de Load Balancing fonctionnant correctement avec HTTP.SYS
conviendra (NLB, Hardware Load Balancer)

#mstechdays

Sécurité
Joindre ou ne pas joindre le domaine ?
• La question clé est de savoir si vous allez avoir besoin de KCD
• KCD est requis pour mettre en place de la SSO avec une
application Web non “claims aware” (utilisation de IWA dans ce
cas)
• Mise en place KCD:
– WAP doit appartenir à un domaine, ainsi que le serveur Web
– L’application Web doit utiliser l’authentification Windows intégrée
– Un relying party trust “non claims” doit être créer au niveau ADFS

• Notes:
– Il est possible de créer un domaine/forêt dédié à WAP puisque la KCD crossdomaine/forêt est maintenant supportée (http://technet.microsoft.com/enus/library/hh831477.aspx)
– Possibilité d’utiliser des Read-Only DCs pour plus de sécurité
#mstechdays

Sécurité
Certificat de l’application Web publiée
• Chaque application Web publiée doit avoir un certificat
SSL correspondant au nom public (par ex
sharepoint.contoso.com)
• Les certificats de type Wildcard ou avec SAN sont
supportés (par ex: *.contoso.com)
• Il est conseillé d’utiliser des certificats d’autorités
publiques pour faciliter les accès depuis des devices non
gérés (tablette à la maison par ex)

#mstechdays

Sécurité
Pré-authentification
• Pré-authentification ADFS:
– Clients ADFS passifs (navigateurs Web)
– MS Office Forms-based Auth (MSOFBA) – Word,
Excel…
– OAuth2 – clients ADFS actifs (modern apps, DRS)

• Pré-authentification non-ADFS:
– Authentification “Pass through” - Legacy Rich Clients
(NTLM/Basic)
– Hybrid Publishing (certificat client)
#mstechdays
Sécurité
Compatibilité avec les applications
Microsoft
Compatibilité avec les applications
Microsoft

Office 365 Hybrid Scenario:
Autre Scénarii de Publication
Microsoft Dynamics CRM : Pré-Authentification avec ADFS pour les
clients Web

Workplace Join

Web Application proxy peut être utilisé pour publier la fonctionnalité “Workplace Join”. Les utilisateurs externes
ayant enregistré leur(s) device(s) à l’organisation bénéficieront du SSO et du 2ème facteur d’authentification
Les administrateurs peuvent limiter l’accès aux ressources uniquement pour les devices enregistrés

Work Folders

Nouvelle solution de synchronisation de fichiers permettant à l’utilisateur de synchroniser ses fichiers entre
des ressources internes et son device quel que soit l’endroit où il se trouve
Web Application Proxy permet la publication de ces ressource (work folders) et applique l’authentification
multi-facteur
WEB APPLICATION PROXY (WAP)
Architecture & Administration

#mstechdays

Sécurité
Administration simplifiée

#mstechdays

Sécurité
Stockage de la configuration
•

La configuration de WAP est stockée dans ADFS

#mstechdays

Sécurité
WEB APPLICATION PROXY (WAP)
Scénario : Flux HTTP relatifs à la publication d’une application Web
« Claims Aware» avec Pré-authentification ADFS

#mstechdays

Sécurité
Flux vers une “claims aware” web app
Requête initiale du client
Authentification ADFS
Demande du authToken WAP au serveur ADFS
Validation du authToken par WAP
Authentification sur l’application publiée
#mstechdays

Sécurité
Internet

Perimeter network

Internal network
https://adfs.contoso.com

User

https://adfs.contoso.com

WAP LOB
https://claimsapp.contoso.com

http://lob
Internet

Perimeter network
https://adfs.contoso.com

https://adfs.contoso.com

User

WAP
GET
307

https://claimsapp.contoso.com

http://lob

LOB
Flux vers une “claims aware” web app
Requête initiale du client
Authentification ADFS
Demande du authToken WAP au serveur ADFS
Validation du authToken par WAP
Authentification sur l’application publiée
#mstechdays

Sécurité
Internet

User

GET
Edge
token

Perimeter network

https://adfs.contoso.com

GET
Edge
token

Internal network
https://adfs.contoso.com

WAP LOB
https://claimsapp.contoso.com

http://lob
Internet

Perimeter network

Internal network
https://adfs.contoso.com

User

https://adfs.contoso.com

WAP LOB
https://claimsapp.contoso.com

http://lob
Internet

Perimeter network
AD FS SSO

AD FS SSO

https://adfs.contoso.com

302
AD FS SSO

User

Internal network

https://adfs.contoso.com

WAP

302
https://lob.contoso.com

http://lob

LOB
Flux vers une “claims aware” web app
Requête initiale du client
Authentification ADFS
Demande du authToken WAP au serveur
ADFS
Validation du authToken par WAP
Authentification sur l’application publiée
#mstechdays

Sécurité
Internet

Perimeter network
AD FS SSO

AD FS SSO

AD FS SSO

User

Internal network
https://adfs.contoso.com

GET
Edge
token

Edge
Policies

https://adfs.contoso.com

WAP LOB

GET
Edge
token
https://claimsapp.contoso.com

http://lob

Application
Policies
Internet

Perimeter network

https://adfs.contoso.com

AD FS SSO

User

Internal network

307
https://adfs.contoso.com

307

WA LO
P
B

https://claimsapp.contoso.com

http://lob
Flux vers une “claims aware” web app
Requête initiale du client
Authentification ADFS
Demande du authToken WAP au serveur ADFS
Validation du authToken par WAP
Authentification sur l’application publiée
#mstechdays

Sécurité
Internet

Internal network

Perimeter network

https://adfs.contoso.com

AD FS SSO

https://adfs.contoso.com

User

WAP LOB

Query
String

https://claimsapp.contoso.com

Edge Cookie
http://lob

302
Edge Cookie

302
Flux vers une “claims aware” web app
Requête initiale du client
Authentification ADFS
Demande du authToken WAP au serveur ADFS
Validation du authToken par WAP
Authentification sur l’application publiée
#mstechdays

Sécurité
Internet

Perimeter network
AD FS SSO

AD FS SSO

AD FS SSO

User

https://adfs.contoso.com

Internal network
https://adfs.contoso.com
Edge
Policies

GET
LOB
token

WAP LOB

GET
LOB
token
https://claimsapp.contoso.com

Edge Cookie
http://lob

Application
Policies
Internet

Internal network

Perimeter network

https://adfs.contoso.com

AD FS SSO

302
User

https://adfs.contoso.com

WAP

302
https://claimsapp.contoso.com

Edge Cookie

LOB Cookie

Edge Cookie

200
LOB Cookie

http://lob
Edge Cookie

200
LOB Cookie

LOB
En résumé…

#mstechdays

Sécurité
Conclusion
• WAP est le nouveau produit Microsoft pour
la publication d’application Web.
• WAP supporte la stratégie BYOD
• WAP s’intègre dans une stratégie globale
d'accès distant (RDI, VPN, DA, …)
• Le groupe produit est preneur de tout
feedback.
#mstechdays

Sécurité
Donnez votre avis !
Depuis votre smartphone sur :
http://notes.mstechdays.fr
De nombreux lots à gagner toutes les heures !!!
Claviers, souris et jeux Microsoft…
Merci de nous aider à améliorer les Techdays !

#mstechdays

Sécurité
Digital is
business

Contenu connexe

Tendances

Comment l’architecture événementielle révolutionne la communication dans le S...
Comment l’architecture événementielle révolutionne la communication dans le S...Comment l’architecture événementielle révolutionne la communication dans le S...
Comment l’architecture événementielle révolutionne la communication dans le S...
Vincent Lepot
 
Formation wordpress
Formation wordpressFormation wordpress
(protocoles)
(protocoles)(protocoles)
(protocoles)
Anouar Abtoy
 
Chp3 - Architecture Logicielle des Applications Mobiles
Chp3 - Architecture Logicielle des Applications MobilesChp3 - Architecture Logicielle des Applications Mobiles
Chp3 - Architecture Logicielle des Applications Mobiles
Lilia Sfaxi
 
Les Base de Données NOSQL -Presentation -
Les Base de Données NOSQL -Presentation -Les Base de Données NOSQL -Presentation -
Les Base de Données NOSQL -Presentation -
IliasAEA
 
Introduction au langage SQL
Introduction au langage SQLIntroduction au langage SQL
Introduction au langage SQL
Olivier Le Goaër
 
Cours Devops Sparks.pptx.pdf
Cours Devops Sparks.pptx.pdfCours Devops Sparks.pptx.pdf
Cours Devops Sparks.pptx.pdf
boulonvert
 
Conduire un projet de GED: Concepts de base, points de repère pour la mise en...
Conduire un projet de GED: Concepts de base, points de repère pour la mise en...Conduire un projet de GED: Concepts de base, points de repère pour la mise en...
Conduire un projet de GED: Concepts de base, points de repère pour la mise en...
Baba Kourouma
 
Club numica - Tableaux de bord DSI - ISlean consulting
Club numica - Tableaux de bord DSI - ISlean consultingClub numica - Tableaux de bord DSI - ISlean consulting
Club numica - Tableaux de bord DSI - ISlean consulting
ISlean consulting
 
Architectures n-tiers
Architectures n-tiersArchitectures n-tiers
Architectures n-tiers
Heithem Abbes
 
L’ Administration des Réseaux en Pratique
L’ Administration des Réseaux en PratiqueL’ Administration des Réseaux en Pratique
L’ Administration des Réseaux en Pratique
Amadou Dia
 
Gestion documentaire AFNOR
Gestion documentaire AFNORGestion documentaire AFNOR
TFE - Sécurité des architectures en conteneurs Docker orchestrés par Kubernetes
TFE -  Sécurité des architectures en conteneurs Docker orchestrés par KubernetesTFE -  Sécurité des architectures en conteneurs Docker orchestrés par Kubernetes
TFE - Sécurité des architectures en conteneurs Docker orchestrés par Kubernetes
ManuelMareschal
 
Tp n 5 linux
Tp n 5 linuxTp n 5 linux
Tp n 5 linux
Amir Souissi
 
Intégration et livraison continues des bonnes pratiques de conception d'appli...
Intégration et livraison continues des bonnes pratiques de conception d'appli...Intégration et livraison continues des bonnes pratiques de conception d'appli...
Intégration et livraison continues des bonnes pratiques de conception d'appli...
Amazon Web Services
 
AACR
AACRAACR
AACR
UNESP
 
Introduction to docker
Introduction to dockerIntroduction to docker
Introduction to docker
John Willis
 
PostgreSQL pour débutants
PostgreSQL pour débutantsPostgreSQL pour débutants
PostgreSQL pour débutants
Lætitia Avrot
 
Kubernetes ist so viel mehr als ein Container Orchestrierer
Kubernetes ist so viel mehr als ein Container OrchestriererKubernetes ist so viel mehr als ein Container Orchestrierer
Kubernetes ist so viel mehr als ein Container Orchestrierer
QAware GmbH
 
Evaluation du niveau de maturité de la sécurité de l’information (ISAM)
Evaluation du niveau de maturité de la sécurité de l’information (ISAM)Evaluation du niveau de maturité de la sécurité de l’information (ISAM)
Evaluation du niveau de maturité de la sécurité de l’information (ISAM)
Hapsis
 

Tendances (20)

Comment l’architecture événementielle révolutionne la communication dans le S...
Comment l’architecture événementielle révolutionne la communication dans le S...Comment l’architecture événementielle révolutionne la communication dans le S...
Comment l’architecture événementielle révolutionne la communication dans le S...
 
Formation wordpress
Formation wordpressFormation wordpress
Formation wordpress
 
(protocoles)
(protocoles)(protocoles)
(protocoles)
 
Chp3 - Architecture Logicielle des Applications Mobiles
Chp3 - Architecture Logicielle des Applications MobilesChp3 - Architecture Logicielle des Applications Mobiles
Chp3 - Architecture Logicielle des Applications Mobiles
 
Les Base de Données NOSQL -Presentation -
Les Base de Données NOSQL -Presentation -Les Base de Données NOSQL -Presentation -
Les Base de Données NOSQL -Presentation -
 
Introduction au langage SQL
Introduction au langage SQLIntroduction au langage SQL
Introduction au langage SQL
 
Cours Devops Sparks.pptx.pdf
Cours Devops Sparks.pptx.pdfCours Devops Sparks.pptx.pdf
Cours Devops Sparks.pptx.pdf
 
Conduire un projet de GED: Concepts de base, points de repère pour la mise en...
Conduire un projet de GED: Concepts de base, points de repère pour la mise en...Conduire un projet de GED: Concepts de base, points de repère pour la mise en...
Conduire un projet de GED: Concepts de base, points de repère pour la mise en...
 
Club numica - Tableaux de bord DSI - ISlean consulting
Club numica - Tableaux de bord DSI - ISlean consultingClub numica - Tableaux de bord DSI - ISlean consulting
Club numica - Tableaux de bord DSI - ISlean consulting
 
Architectures n-tiers
Architectures n-tiersArchitectures n-tiers
Architectures n-tiers
 
L’ Administration des Réseaux en Pratique
L’ Administration des Réseaux en PratiqueL’ Administration des Réseaux en Pratique
L’ Administration des Réseaux en Pratique
 
Gestion documentaire AFNOR
Gestion documentaire AFNORGestion documentaire AFNOR
Gestion documentaire AFNOR
 
TFE - Sécurité des architectures en conteneurs Docker orchestrés par Kubernetes
TFE -  Sécurité des architectures en conteneurs Docker orchestrés par KubernetesTFE -  Sécurité des architectures en conteneurs Docker orchestrés par Kubernetes
TFE - Sécurité des architectures en conteneurs Docker orchestrés par Kubernetes
 
Tp n 5 linux
Tp n 5 linuxTp n 5 linux
Tp n 5 linux
 
Intégration et livraison continues des bonnes pratiques de conception d'appli...
Intégration et livraison continues des bonnes pratiques de conception d'appli...Intégration et livraison continues des bonnes pratiques de conception d'appli...
Intégration et livraison continues des bonnes pratiques de conception d'appli...
 
AACR
AACRAACR
AACR
 
Introduction to docker
Introduction to dockerIntroduction to docker
Introduction to docker
 
PostgreSQL pour débutants
PostgreSQL pour débutantsPostgreSQL pour débutants
PostgreSQL pour débutants
 
Kubernetes ist so viel mehr als ein Container Orchestrierer
Kubernetes ist so viel mehr als ein Container OrchestriererKubernetes ist so viel mehr als ein Container Orchestrierer
Kubernetes ist so viel mehr als ein Container Orchestrierer
 
Evaluation du niveau de maturité de la sécurité de l’information (ISAM)
Evaluation du niveau de maturité de la sécurité de l’information (ISAM)Evaluation du niveau de maturité de la sécurité de l’information (ISAM)
Evaluation du niveau de maturité de la sécurité de l’information (ISAM)
 

En vedette

Séminaire Web Services
Séminaire Web ServicesSéminaire Web Services
Séminaire Web Services
e-Xpert Solutions SA
 
Cloud Hybride, le SSO de bout en bout
Cloud Hybride, le SSO de bout en bout Cloud Hybride, le SSO de bout en bout
Cloud Hybride, le SSO de bout en bout
Microsoft Technet France
 
The BrigtEdge Human Character
The BrigtEdge Human CharacterThe BrigtEdge Human Character
The BrigtEdge Human Character
Dani Bossler
 
Alphorm.com Formation WebDev 22 avancé
Alphorm.com Formation WebDev 22 avancéAlphorm.com Formation WebDev 22 avancé
Alphorm.com Formation WebDev 22 avancé
Alphorm
 
Alphorm.com Formation RDS Windows Server 2012 R2
Alphorm.com Formation RDS Windows Server 2012 R2Alphorm.com Formation RDS Windows Server 2012 R2
Alphorm.com Formation RDS Windows Server 2012 R2
Alphorm
 
Alphorm.com Formation Configuration des services avancés de Windows Server 20...
Alphorm.com Formation Configuration des services avancés de Windows Server 20...Alphorm.com Formation Configuration des services avancés de Windows Server 20...
Alphorm.com Formation Configuration des services avancés de Windows Server 20...
Alphorm
 
alphorm.com - Formation Exchange Server 2013 (70-341)
alphorm.com - Formation Exchange Server 2013 (70-341)alphorm.com - Formation Exchange Server 2013 (70-341)
alphorm.com - Formation Exchange Server 2013 (70-341)
Alphorm
 
Alphorm.com-Formation windows 2012 (70-410)
Alphorm.com-Formation windows 2012 (70-410)Alphorm.com-Formation windows 2012 (70-410)
Alphorm.com-Formation windows 2012 (70-410)
Alphorm
 
Support Web Services SOAP et RESTful Mr YOUSSFI
Support Web Services SOAP et RESTful Mr YOUSSFISupport Web Services SOAP et RESTful Mr YOUSSFI
Support Web Services SOAP et RESTful Mr YOUSSFI
ENSET, Université Hassan II Casablanca
 

En vedette (9)

Séminaire Web Services
Séminaire Web ServicesSéminaire Web Services
Séminaire Web Services
 
Cloud Hybride, le SSO de bout en bout
Cloud Hybride, le SSO de bout en bout Cloud Hybride, le SSO de bout en bout
Cloud Hybride, le SSO de bout en bout
 
The BrigtEdge Human Character
The BrigtEdge Human CharacterThe BrigtEdge Human Character
The BrigtEdge Human Character
 
Alphorm.com Formation WebDev 22 avancé
Alphorm.com Formation WebDev 22 avancéAlphorm.com Formation WebDev 22 avancé
Alphorm.com Formation WebDev 22 avancé
 
Alphorm.com Formation RDS Windows Server 2012 R2
Alphorm.com Formation RDS Windows Server 2012 R2Alphorm.com Formation RDS Windows Server 2012 R2
Alphorm.com Formation RDS Windows Server 2012 R2
 
Alphorm.com Formation Configuration des services avancés de Windows Server 20...
Alphorm.com Formation Configuration des services avancés de Windows Server 20...Alphorm.com Formation Configuration des services avancés de Windows Server 20...
Alphorm.com Formation Configuration des services avancés de Windows Server 20...
 
alphorm.com - Formation Exchange Server 2013 (70-341)
alphorm.com - Formation Exchange Server 2013 (70-341)alphorm.com - Formation Exchange Server 2013 (70-341)
alphorm.com - Formation Exchange Server 2013 (70-341)
 
Alphorm.com-Formation windows 2012 (70-410)
Alphorm.com-Formation windows 2012 (70-410)Alphorm.com-Formation windows 2012 (70-410)
Alphorm.com-Formation windows 2012 (70-410)
 
Support Web Services SOAP et RESTful Mr YOUSSFI
Support Web Services SOAP et RESTful Mr YOUSSFISupport Web Services SOAP et RESTful Mr YOUSSFI
Support Web Services SOAP et RESTful Mr YOUSSFI
 

Similaire à Comment publier vos applications Web avec Windows Server 2012 R2

Tour de France Azure PaaS 4/7 Sécuriser la solution
Tour de France Azure PaaS 4/7 Sécuriser la solutionTour de France Azure PaaS 4/7 Sécuriser la solution
Tour de France Azure PaaS 4/7 Sécuriser la solution
Alex Danvy
 
Cloud computing cours in power point chap
Cloud computing cours in power point chapCloud computing cours in power point chap
Cloud computing cours in power point chap
aichafarahsouelmi
 
MSCS : Windows Server 2016 Quoi de neuf pour votre datacenter
MSCS : Windows Server 2016 Quoi de neuf pour votre datacenterMSCS : Windows Server 2016 Quoi de neuf pour votre datacenter
MSCS : Windows Server 2016 Quoi de neuf pour votre datacenter
MickaelLOPES91
 
Comment intégrer une application dans Azure Active Directory
Comment intégrer une application dans Azure Active DirectoryComment intégrer une application dans Azure Active Directory
Comment intégrer une application dans Azure Active Directory
Microsoft Technet France
 
Comment intégrer une application dans Azure Active Directory
Comment intégrer une application dans Azure Active DirectoryComment intégrer une application dans Azure Active Directory
Comment intégrer une application dans Azure Active Directory
Microsoft Décideurs IT
 
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Microsoft Technet France
 
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Microsoft Décideurs IT
 
Presentation mididulibrev2.0
Presentation mididulibrev2.0Presentation mididulibrev2.0
Presentation mididulibrev2.0robertpluss
 
Les VMs Azure pour SharePoint, SQL Server, et AD
Les VMs Azure pour SharePoint, SQL Server, et ADLes VMs Azure pour SharePoint, SQL Server, et AD
Les VMs Azure pour SharePoint, SQL Server, et AD
Microsoft Technet France
 
Introduction à Cloud Foundry et au PaaS
Introduction à Cloud Foundry et au PaaSIntroduction à Cloud Foundry et au PaaS
Introduction à Cloud Foundry et au PaaS
Gerard Konan
 
(Azure) Active Directory + BYOD = tranquillité d’esprit, chiche ! (2nde Partie)
(Azure) Active Directory + BYOD = tranquillité d’esprit, chiche ! (2nde Partie)(Azure) Active Directory + BYOD = tranquillité d’esprit, chiche ! (2nde Partie)
(Azure) Active Directory + BYOD = tranquillité d’esprit, chiche ! (2nde Partie)
Microsoft Décideurs IT
 
(Azure) Active Directory + BYOD = tranquillité d’esprit, chiche ! (2nde Partie)
(Azure) Active Directory + BYOD = tranquillité d’esprit, chiche ! (2nde Partie)(Azure) Active Directory + BYOD = tranquillité d’esprit, chiche ! (2nde Partie)
(Azure) Active Directory + BYOD = tranquillité d’esprit, chiche ! (2nde Partie)
Microsoft Technet France
 
Quelles architectures pour vos applications Cloud, de la VM au conteneur : ça...
Quelles architectures pour vos applications Cloud, de la VM au conteneur : ça...Quelles architectures pour vos applications Cloud, de la VM au conteneur : ça...
Quelles architectures pour vos applications Cloud, de la VM au conteneur : ça...
Microsoft
 
TechDays 2013 : Les VMs Azure pour SharePoint, SQL Server, et AD
TechDays 2013 : Les VMs Azure pour SharePoint, SQL Server, et ADTechDays 2013 : Les VMs Azure pour SharePoint, SQL Server, et AD
TechDays 2013 : Les VMs Azure pour SharePoint, SQL Server, et AD
MCKLMT
 
Produits Openhost : hébergement web et logiciels de collaboration
Produits Openhost : hébergement web et logiciels de collaborationProduits Openhost : hébergement web et logiciels de collaboration
Produits Openhost : hébergement web et logiciels de collaboration
Openhost
 
AWS Summit Paris - Track 4 - Session 2 - Migration Cloud, modernisation des a...
AWS Summit Paris - Track 4 - Session 2 - Migration Cloud, modernisation des a...AWS Summit Paris - Track 4 - Session 2 - Migration Cloud, modernisation des a...
AWS Summit Paris - Track 4 - Session 2 - Migration Cloud, modernisation des a...
Amazon Web Services
 
Qu'est-ce que le Cloud ?
Qu'est-ce que le Cloud ?Qu'est-ce que le Cloud ?
Qu'est-ce que le Cloud ?
Fred Canevet
 
Protéger vos données à demeure avec le nouveau service Microsoft RMS et les b...
Protéger vos données à demeure avec le nouveau service Microsoft RMS et les b...Protéger vos données à demeure avec le nouveau service Microsoft RMS et les b...
Protéger vos données à demeure avec le nouveau service Microsoft RMS et les b...
Philippe Beraud
 
Aspectize meetup
Aspectize meetupAspectize meetup
Aspectize meetup
Aspectize
 
Azure Active Directory : on fait le point
Azure Active Directory : on fait le pointAzure Active Directory : on fait le point
Azure Active Directory : on fait le point
Maxime Rastello
 

Similaire à Comment publier vos applications Web avec Windows Server 2012 R2 (20)

Tour de France Azure PaaS 4/7 Sécuriser la solution
Tour de France Azure PaaS 4/7 Sécuriser la solutionTour de France Azure PaaS 4/7 Sécuriser la solution
Tour de France Azure PaaS 4/7 Sécuriser la solution
 
Cloud computing cours in power point chap
Cloud computing cours in power point chapCloud computing cours in power point chap
Cloud computing cours in power point chap
 
MSCS : Windows Server 2016 Quoi de neuf pour votre datacenter
MSCS : Windows Server 2016 Quoi de neuf pour votre datacenterMSCS : Windows Server 2016 Quoi de neuf pour votre datacenter
MSCS : Windows Server 2016 Quoi de neuf pour votre datacenter
 
Comment intégrer une application dans Azure Active Directory
Comment intégrer une application dans Azure Active DirectoryComment intégrer une application dans Azure Active Directory
Comment intégrer une application dans Azure Active Directory
 
Comment intégrer une application dans Azure Active Directory
Comment intégrer une application dans Azure Active DirectoryComment intégrer une application dans Azure Active Directory
Comment intégrer une application dans Azure Active Directory
 
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
 
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
 
Presentation mididulibrev2.0
Presentation mididulibrev2.0Presentation mididulibrev2.0
Presentation mididulibrev2.0
 
Les VMs Azure pour SharePoint, SQL Server, et AD
Les VMs Azure pour SharePoint, SQL Server, et ADLes VMs Azure pour SharePoint, SQL Server, et AD
Les VMs Azure pour SharePoint, SQL Server, et AD
 
Introduction à Cloud Foundry et au PaaS
Introduction à Cloud Foundry et au PaaSIntroduction à Cloud Foundry et au PaaS
Introduction à Cloud Foundry et au PaaS
 
(Azure) Active Directory + BYOD = tranquillité d’esprit, chiche ! (2nde Partie)
(Azure) Active Directory + BYOD = tranquillité d’esprit, chiche ! (2nde Partie)(Azure) Active Directory + BYOD = tranquillité d’esprit, chiche ! (2nde Partie)
(Azure) Active Directory + BYOD = tranquillité d’esprit, chiche ! (2nde Partie)
 
(Azure) Active Directory + BYOD = tranquillité d’esprit, chiche ! (2nde Partie)
(Azure) Active Directory + BYOD = tranquillité d’esprit, chiche ! (2nde Partie)(Azure) Active Directory + BYOD = tranquillité d’esprit, chiche ! (2nde Partie)
(Azure) Active Directory + BYOD = tranquillité d’esprit, chiche ! (2nde Partie)
 
Quelles architectures pour vos applications Cloud, de la VM au conteneur : ça...
Quelles architectures pour vos applications Cloud, de la VM au conteneur : ça...Quelles architectures pour vos applications Cloud, de la VM au conteneur : ça...
Quelles architectures pour vos applications Cloud, de la VM au conteneur : ça...
 
TechDays 2013 : Les VMs Azure pour SharePoint, SQL Server, et AD
TechDays 2013 : Les VMs Azure pour SharePoint, SQL Server, et ADTechDays 2013 : Les VMs Azure pour SharePoint, SQL Server, et AD
TechDays 2013 : Les VMs Azure pour SharePoint, SQL Server, et AD
 
Produits Openhost : hébergement web et logiciels de collaboration
Produits Openhost : hébergement web et logiciels de collaborationProduits Openhost : hébergement web et logiciels de collaboration
Produits Openhost : hébergement web et logiciels de collaboration
 
AWS Summit Paris - Track 4 - Session 2 - Migration Cloud, modernisation des a...
AWS Summit Paris - Track 4 - Session 2 - Migration Cloud, modernisation des a...AWS Summit Paris - Track 4 - Session 2 - Migration Cloud, modernisation des a...
AWS Summit Paris - Track 4 - Session 2 - Migration Cloud, modernisation des a...
 
Qu'est-ce que le Cloud ?
Qu'est-ce que le Cloud ?Qu'est-ce que le Cloud ?
Qu'est-ce que le Cloud ?
 
Protéger vos données à demeure avec le nouveau service Microsoft RMS et les b...
Protéger vos données à demeure avec le nouveau service Microsoft RMS et les b...Protéger vos données à demeure avec le nouveau service Microsoft RMS et les b...
Protéger vos données à demeure avec le nouveau service Microsoft RMS et les b...
 
Aspectize meetup
Aspectize meetupAspectize meetup
Aspectize meetup
 
Azure Active Directory : on fait le point
Azure Active Directory : on fait le pointAzure Active Directory : on fait le point
Azure Active Directory : on fait le point
 

Plus de Microsoft Technet France

Automatisez, visualisez et améliorez vos processus d’entreprise avec Nintex
Automatisez, visualisez et améliorez vos processus d’entreprise avec Nintex Automatisez, visualisez et améliorez vos processus d’entreprise avec Nintex
Automatisez, visualisez et améliorez vos processus d’entreprise avec Nintex
Microsoft Technet France
 
Comment réussir votre déploiement de Windows 10
Comment réussir votre déploiement de Windows 10Comment réussir votre déploiement de Windows 10
Comment réussir votre déploiement de Windows 10
Microsoft Technet France
 
OMS log search au quotidien
OMS log search au quotidienOMS log search au quotidien
OMS log search au quotidien
Microsoft Technet France
 
Fusion, Acquisition - Optimisez la migration et la continuité des outils col...
 Fusion, Acquisition - Optimisez la migration et la continuité des outils col... Fusion, Acquisition - Optimisez la migration et la continuité des outils col...
Fusion, Acquisition - Optimisez la migration et la continuité des outils col...
Microsoft Technet France
 
Wavestone déploie son portail Powell 365 en 5 semaines
Wavestone déploie son portail Powell 365 en 5 semainesWavestone déploie son portail Powell 365 en 5 semaines
Wavestone déploie son portail Powell 365 en 5 semaines
Microsoft Technet France
 
Retour d’expérience sur le monitoring et la sécurisation des identités Azure
Retour d’expérience sur le monitoring et la sécurisation des identités AzureRetour d’expérience sur le monitoring et la sécurisation des identités Azure
Retour d’expérience sur le monitoring et la sécurisation des identités Azure
Microsoft Technet France
 
Scénarios de mobilité couverts par Enterprise Mobility + Security
Scénarios de mobilité couverts par Enterprise Mobility + SecurityScénarios de mobilité couverts par Enterprise Mobility + Security
Scénarios de mobilité couverts par Enterprise Mobility + Security
Microsoft Technet France
 
SharePoint Framework : le développement SharePoint nouvelle génération
SharePoint Framework : le développement SharePoint nouvelle générationSharePoint Framework : le développement SharePoint nouvelle génération
SharePoint Framework : le développement SharePoint nouvelle génération
Microsoft Technet France
 
Stockage Cloud : il y en aura pour tout le monde
Stockage Cloud : il y en aura pour tout le mondeStockage Cloud : il y en aura pour tout le monde
Stockage Cloud : il y en aura pour tout le monde
Microsoft Technet France
 
Bien appréhender le concept de Windows As a Service
Bien appréhender le concept de Windows As a ServiceBien appréhender le concept de Windows As a Service
Bien appréhender le concept de Windows As a Service
Microsoft Technet France
 
Protéger vos données avec le chiffrement dans Azure et Office 365
Protéger vos données avec le chiffrement dans Azure et Office 365Protéger vos données avec le chiffrement dans Azure et Office 365
Protéger vos données avec le chiffrement dans Azure et Office 365
Microsoft Technet France
 
Protéger votre patrimoine informationnel dans un monde hybride avec Azure Inf...
Protéger votre patrimoine informationnel dans un monde hybride avec Azure Inf...Protéger votre patrimoine informationnel dans un monde hybride avec Azure Inf...
Protéger votre patrimoine informationnel dans un monde hybride avec Azure Inf...
Microsoft Technet France
 
Comprendre la stratégie identité de Microsoft
Comprendre la stratégie identité de MicrosoftComprendre la stratégie identité de Microsoft
Comprendre la stratégie identité de Microsoft
Microsoft Technet France
 
Vous avez dit « authentification sans mot de passe » : une illustration avec ...
Vous avez dit « authentification sans mot de passe » : une illustration avec ...Vous avez dit « authentification sans mot de passe » : une illustration avec ...
Vous avez dit « authentification sans mot de passe » : une illustration avec ...
Microsoft Technet France
 
Sécurité des données
Sécurité des donnéesSécurité des données
Sécurité des données
Microsoft Technet France
 
Déploiement hybride, la téléphonie dans le cloud
Déploiement hybride, la téléphonie dans le cloudDéploiement hybride, la téléphonie dans le cloud
Déploiement hybride, la téléphonie dans le cloud
Microsoft Technet France
 
Supervisez la qualité des appels Skype for Business Online à l'aide de Call Q...
Supervisez la qualité des appels Skype for Business Online à l'aide de Call Q...Supervisez la qualité des appels Skype for Business Online à l'aide de Call Q...
Supervisez la qualité des appels Skype for Business Online à l'aide de Call Q...
Microsoft Technet France
 
SharePoint 2016 : architecture, déploiement et topologies hybrides
SharePoint 2016 : architecture, déploiement et topologies hybridesSharePoint 2016 : architecture, déploiement et topologies hybrides
SharePoint 2016 : architecture, déploiement et topologies hybrides
Microsoft Technet France
 
Gestion de Windows 10 et des applications dans l'entreprise moderne
Gestion de Windows 10 et des applications dans l'entreprise moderneGestion de Windows 10 et des applications dans l'entreprise moderne
Gestion de Windows 10 et des applications dans l'entreprise moderne
Microsoft Technet France
 
Office 365 dans votre Système d'Informations
Office 365 dans votre Système d'InformationsOffice 365 dans votre Système d'Informations
Office 365 dans votre Système d'Informations
Microsoft Technet France
 

Plus de Microsoft Technet France (20)

Automatisez, visualisez et améliorez vos processus d’entreprise avec Nintex
Automatisez, visualisez et améliorez vos processus d’entreprise avec Nintex Automatisez, visualisez et améliorez vos processus d’entreprise avec Nintex
Automatisez, visualisez et améliorez vos processus d’entreprise avec Nintex
 
Comment réussir votre déploiement de Windows 10
Comment réussir votre déploiement de Windows 10Comment réussir votre déploiement de Windows 10
Comment réussir votre déploiement de Windows 10
 
OMS log search au quotidien
OMS log search au quotidienOMS log search au quotidien
OMS log search au quotidien
 
Fusion, Acquisition - Optimisez la migration et la continuité des outils col...
 Fusion, Acquisition - Optimisez la migration et la continuité des outils col... Fusion, Acquisition - Optimisez la migration et la continuité des outils col...
Fusion, Acquisition - Optimisez la migration et la continuité des outils col...
 
Wavestone déploie son portail Powell 365 en 5 semaines
Wavestone déploie son portail Powell 365 en 5 semainesWavestone déploie son portail Powell 365 en 5 semaines
Wavestone déploie son portail Powell 365 en 5 semaines
 
Retour d’expérience sur le monitoring et la sécurisation des identités Azure
Retour d’expérience sur le monitoring et la sécurisation des identités AzureRetour d’expérience sur le monitoring et la sécurisation des identités Azure
Retour d’expérience sur le monitoring et la sécurisation des identités Azure
 
Scénarios de mobilité couverts par Enterprise Mobility + Security
Scénarios de mobilité couverts par Enterprise Mobility + SecurityScénarios de mobilité couverts par Enterprise Mobility + Security
Scénarios de mobilité couverts par Enterprise Mobility + Security
 
SharePoint Framework : le développement SharePoint nouvelle génération
SharePoint Framework : le développement SharePoint nouvelle générationSharePoint Framework : le développement SharePoint nouvelle génération
SharePoint Framework : le développement SharePoint nouvelle génération
 
Stockage Cloud : il y en aura pour tout le monde
Stockage Cloud : il y en aura pour tout le mondeStockage Cloud : il y en aura pour tout le monde
Stockage Cloud : il y en aura pour tout le monde
 
Bien appréhender le concept de Windows As a Service
Bien appréhender le concept de Windows As a ServiceBien appréhender le concept de Windows As a Service
Bien appréhender le concept de Windows As a Service
 
Protéger vos données avec le chiffrement dans Azure et Office 365
Protéger vos données avec le chiffrement dans Azure et Office 365Protéger vos données avec le chiffrement dans Azure et Office 365
Protéger vos données avec le chiffrement dans Azure et Office 365
 
Protéger votre patrimoine informationnel dans un monde hybride avec Azure Inf...
Protéger votre patrimoine informationnel dans un monde hybride avec Azure Inf...Protéger votre patrimoine informationnel dans un monde hybride avec Azure Inf...
Protéger votre patrimoine informationnel dans un monde hybride avec Azure Inf...
 
Comprendre la stratégie identité de Microsoft
Comprendre la stratégie identité de MicrosoftComprendre la stratégie identité de Microsoft
Comprendre la stratégie identité de Microsoft
 
Vous avez dit « authentification sans mot de passe » : une illustration avec ...
Vous avez dit « authentification sans mot de passe » : une illustration avec ...Vous avez dit « authentification sans mot de passe » : une illustration avec ...
Vous avez dit « authentification sans mot de passe » : une illustration avec ...
 
Sécurité des données
Sécurité des donnéesSécurité des données
Sécurité des données
 
Déploiement hybride, la téléphonie dans le cloud
Déploiement hybride, la téléphonie dans le cloudDéploiement hybride, la téléphonie dans le cloud
Déploiement hybride, la téléphonie dans le cloud
 
Supervisez la qualité des appels Skype for Business Online à l'aide de Call Q...
Supervisez la qualité des appels Skype for Business Online à l'aide de Call Q...Supervisez la qualité des appels Skype for Business Online à l'aide de Call Q...
Supervisez la qualité des appels Skype for Business Online à l'aide de Call Q...
 
SharePoint 2016 : architecture, déploiement et topologies hybrides
SharePoint 2016 : architecture, déploiement et topologies hybridesSharePoint 2016 : architecture, déploiement et topologies hybrides
SharePoint 2016 : architecture, déploiement et topologies hybrides
 
Gestion de Windows 10 et des applications dans l'entreprise moderne
Gestion de Windows 10 et des applications dans l'entreprise moderneGestion de Windows 10 et des applications dans l'entreprise moderne
Gestion de Windows 10 et des applications dans l'entreprise moderne
 
Office 365 dans votre Système d'Informations
Office 365 dans votre Système d'InformationsOffice 365 dans votre Système d'Informations
Office 365 dans votre Système d'Informations
 

Comment publier vos applications Web avec Windows Server 2012 R2

  • 1.
  • 2. Comment publier vos applications Web avec Windows Server 2012 R2 Eric Detoc, Franck Heilmann Escalation Engineers Microsoft franckh@microsoft.com edetoc@microsoft.com Sécurité
  • 3. Agenda • Concepts sur la publication d’application Web • Etat des lieux TMG / UAG • Web Application Proxy (WAP) • Questions - Réponses #mstechdays Sécurité
  • 4. INTRODUCTION SUR LA PUBLICATION DES APPLICATIONS Concepts WEB #mstechdays Sécurité
  • 5. Grands Concepts de la publication • Rendre accessible les applications internes pour les clients externes (nomades, partenaires) • Offrir: – Pré-Authentification / Validation de l’identité – Délégation (SSO) – Translation de liens – Terminaison SSL #mstechdays Sécurité
  • 6. TMG & UAG En fin de vie #mstechdays Sécurité
  • 7. TMG - fin de vie • TMG n’est plus disponible à la vente depuis 1er décembre 2012 • La dernière mise à jour est SP2 Rollup 4 • Arrêt du support – Phase principale: 14 Avril 2015 – Phase étendue: 14 Avril 2020 #mstechdays Sécurité
  • 8. UAG - fin de vie • UAG ne sera plus disponible à la vente à partir du 1er Juillet 2014 (Software Assurance 1er Janvier 2014). • La dernière mise à jour est SP4 • Arrêt du support – Phase principale: 14 Avril 2015 – Phase étendue: 14 Avril 2020 #mstechdays Sécurité
  • 9. Phases de support • http://support.microsoft.com/gp/lifepolicy #mstechdays Sécurité
  • 10. WEB APPLICATION PROXY (WAP) Introduction #mstechdays Sécurité
  • 11. Pourquoi WAP ? – Nécessité de répondre aux challenges de la fédération d’identité (intégration forte avec ADFS et AD) – Evolution des standards de sécurité (focus client) – Nouveaux besoins Utilisateurs et ITPro (BYOD, Contrôle d’accès,…) – Rendre le proxy indépendant du client (pas de code client ou autre JavaScript,…) – Rendre le proxy neutre par rapport à l’application publiée (Exchange 2007 versus 2013,…) #mstechdays Sécurité
  • 13. WS2012 R2 AD + AD FS + WAP: proposition de valeur Organizations can connect to SaaS applications running in Windows Azure, Office 365 and 3rd party providers Enhancements to AD FS include simplified deployment and management Organizations can federate with partners and other organizations for seamless access to shared resources Firewall Conditional access with multi-factor authentication is provided on a perapplication basis, leveraging user identity, device registration & network location Users can register their devices to gain access to corporate data and apps and single sign-on through device authentication Published applications
  • 14. WEB APPLICATION PROXY (WAP) Fonctionnalités #mstechdays Sécurité
  • 15. Reverse Proxy Web • Publication sélective d’applications Web – Rendre accessible certaines applications Web, voire certaines parties (paths) seulement de ces applications • Terminaison SSL – Le trafic Web entrant (HTTPS uniquement) ne peut directement atteindre le serveur publié • HTTP ou HTTPS peuvent être utilisés entre WAP et l’application Web #mstechdays Sécurité
  • 16. Reverse Proxy Web (suite) • Pré-authentification AD FS ou de type “Pass through” • Le rôle ADFS Proxy est inclus dans WAP – Utilisé pour publier le serveur ADFS – Dans Windows 2012 R2, le rôle AD FS Proxy n’est plus disponible comme rôle seul • Translation du nom d’hôte – Le nom de domaine externe peut être différent du nom interne: E.g. https://portal.contoso.com  http://portal/ – La translation du nom d’hôte n’est actuellement supporté que sur #mstechdays les entêtes HTTP. Sécurité
  • 17. Pré-requis pour le Single Sign On (SSO) • Les applications publiées doivent authentifier les flux avec des Claims ADFS ou avec la méthode Kerberos (authentification Windows intégrée -IWA) • Un “relying party” (RP) doit être créé au niveau ADFS pour l’application publiée #mstechdays Sécurité
  • 18. Flux du SSO • Le client s’authentifie sur ADFS • Une fois l’authentification réussie, le client reçoit un token WAP ainsi qu’un cookie SSO ADFS • WAP vérifie que le token WAP est valide et bascule si nécessaire en KCD (Kerberos constrained delegation) avec l’application Web publiée #mstechdays Sécurité
  • 19. Authentification et autorisation ADFS • Les RP créés dans ADFS pour chaque application sont utilisés pour définir et appliquer des stratégies d’authentification et d’autorisation • Les accès des devices et des utilisateurs peuvent être restreints en fonction de nombreuses conditions, comme: – – – – #mstechdays Le type de Device (iOS, Windows OS, Android) Workplace Joined ou non-Workplace Joined Lieu de l’utilisateur et du device (interne , externe) Appartenance à un groupe Sécurité
  • 20. WEB APPLICATION PROXY (WAP) Déploiement & recommandations #mstechdays Sécurité
  • 21. Installation • Prérequis: Windows 2012 R2 ADFS • WAP est un service disponible depuis le rôle « accès distant » • Configuration post-installation par nœud • Administration centralisée depuis la console gestionnaire d’accès distant #mstechdays Sécurité
  • 22. Certificat de l’ADFS Proxy • Demandé lors de la configuration post-install • Ce certificat doit inclure: – Le FQDN du serveur ADFS, par exemple adfs.contoso.com – Enterpriseregistration.contoso.com si Workplace Join utilisé • Les certificats de type Wildcard (*.contoso.com) ou avec des Subject Alternate Names (SAN) sont supportés #mstechdays Sécurité
  • 23. WAP/AD FS : qui fait quoi ? Web Application Proxy AD FS • Prendre en charge et évaluer les requêtes Web entrantes • Déclencher la pré-authentification • Gérer la délégation KCD • Effectuer la translation des entêtes HTTP • Faire le proxy entre le serveur ADFS et l’application Web publiée • Héberger le stockage de la configuration WAP • Gérer l’authentification de l’utilisateur • Authentification Multi-facteur • Appliquer les autorisations en fonction des stratégies définies. • Changement des mots de passe • Personnalisation du formulaire de logon #mstechdays Sécurité
  • 24. WAP et http.sys • WAP n’utilise pas de “Listener” lié à une IP/port comme TMG & UAG • WAP effectue des réservations dans http.sys pour les FQDN et Paths publiés • WAP utilise Server Name Indication (SNI) pour déterminer le certificat serveur à envoyer au client lors du handshake SSL #mstechdays Sécurité
  • 25. Cartes réseaux • WAP n’a aucune connaissance de la configuration réseau du système • WAP supporte une, deux ou plusieurs cartes réseaux • Support de IPv6 et IPv4 #mstechdays Sécurité
  • 26. Positionnement de WAP dans le réseau • Dans la DMZ • Comme “pont” entre la DMZ et le LAN • Dans le LAN directement • Remarque: – Terminer la connexion SSL avant WAP n’est pas supporté #mstechdays Sécurité
  • 27. Répartition de charge • Les serveurs WAP connectés au même ADFS forment un groupe et partagent la même configuration (applications publiées, etc …) Web Application Proxy AD FS Web Application Proxy AD FS Config. Store AD FS Web Application Proxy • Aucune affinité cliente n’est requise: un utilisateur peut se connecter indifféremment à chaque serveur du groupe. Les considérations habituelles concernant l’affinité cliente au niveau de l’application Web demeurent • WAP n’offre pas de dispositif d’équilibrage de charge nativement. Toute solution de Load Balancing fonctionnant correctement avec HTTP.SYS conviendra (NLB, Hardware Load Balancer) #mstechdays Sécurité
  • 28. Joindre ou ne pas joindre le domaine ? • La question clé est de savoir si vous allez avoir besoin de KCD • KCD est requis pour mettre en place de la SSO avec une application Web non “claims aware” (utilisation de IWA dans ce cas) • Mise en place KCD: – WAP doit appartenir à un domaine, ainsi que le serveur Web – L’application Web doit utiliser l’authentification Windows intégrée – Un relying party trust “non claims” doit être créer au niveau ADFS • Notes: – Il est possible de créer un domaine/forêt dédié à WAP puisque la KCD crossdomaine/forêt est maintenant supportée (http://technet.microsoft.com/enus/library/hh831477.aspx) – Possibilité d’utiliser des Read-Only DCs pour plus de sécurité #mstechdays Sécurité
  • 29. Certificat de l’application Web publiée • Chaque application Web publiée doit avoir un certificat SSL correspondant au nom public (par ex sharepoint.contoso.com) • Les certificats de type Wildcard ou avec SAN sont supportés (par ex: *.contoso.com) • Il est conseillé d’utiliser des certificats d’autorités publiques pour faciliter les accès depuis des devices non gérés (tablette à la maison par ex) #mstechdays Sécurité
  • 30. Pré-authentification • Pré-authentification ADFS: – Clients ADFS passifs (navigateurs Web) – MS Office Forms-based Auth (MSOFBA) – Word, Excel… – OAuth2 – clients ADFS actifs (modern apps, DRS) • Pré-authentification non-ADFS: – Authentification “Pass through” - Legacy Rich Clients (NTLM/Basic) – Hybrid Publishing (certificat client) #mstechdays Sécurité
  • 31. Compatibilité avec les applications Microsoft
  • 32. Compatibilité avec les applications Microsoft Office 365 Hybrid Scenario:
  • 33. Autre Scénarii de Publication Microsoft Dynamics CRM : Pré-Authentification avec ADFS pour les clients Web Workplace Join Web Application proxy peut être utilisé pour publier la fonctionnalité “Workplace Join”. Les utilisateurs externes ayant enregistré leur(s) device(s) à l’organisation bénéficieront du SSO et du 2ème facteur d’authentification Les administrateurs peuvent limiter l’accès aux ressources uniquement pour les devices enregistrés Work Folders Nouvelle solution de synchronisation de fichiers permettant à l’utilisateur de synchroniser ses fichiers entre des ressources internes et son device quel que soit l’endroit où il se trouve Web Application Proxy permet la publication de ces ressource (work folders) et applique l’authentification multi-facteur
  • 34. WEB APPLICATION PROXY (WAP) Architecture & Administration #mstechdays Sécurité
  • 36. Stockage de la configuration • La configuration de WAP est stockée dans ADFS #mstechdays Sécurité
  • 37. WEB APPLICATION PROXY (WAP) Scénario : Flux HTTP relatifs à la publication d’une application Web « Claims Aware» avec Pré-authentification ADFS #mstechdays Sécurité
  • 38. Flux vers une “claims aware” web app Requête initiale du client Authentification ADFS Demande du authToken WAP au serveur ADFS Validation du authToken par WAP Authentification sur l’application publiée #mstechdays Sécurité
  • 41. Flux vers une “claims aware” web app Requête initiale du client Authentification ADFS Demande du authToken WAP au serveur ADFS Validation du authToken par WAP Authentification sur l’application publiée #mstechdays Sécurité
  • 44. Internet Perimeter network AD FS SSO AD FS SSO https://adfs.contoso.com 302 AD FS SSO User Internal network https://adfs.contoso.com WAP 302 https://lob.contoso.com http://lob LOB
  • 45. Flux vers une “claims aware” web app Requête initiale du client Authentification ADFS Demande du authToken WAP au serveur ADFS Validation du authToken par WAP Authentification sur l’application publiée #mstechdays Sécurité
  • 46. Internet Perimeter network AD FS SSO AD FS SSO AD FS SSO User Internal network https://adfs.contoso.com GET Edge token Edge Policies https://adfs.contoso.com WAP LOB GET Edge token https://claimsapp.contoso.com http://lob Application Policies
  • 47. Internet Perimeter network https://adfs.contoso.com AD FS SSO User Internal network 307 https://adfs.contoso.com 307 WA LO P B https://claimsapp.contoso.com http://lob
  • 48. Flux vers une “claims aware” web app Requête initiale du client Authentification ADFS Demande du authToken WAP au serveur ADFS Validation du authToken par WAP Authentification sur l’application publiée #mstechdays Sécurité
  • 49. Internet Internal network Perimeter network https://adfs.contoso.com AD FS SSO https://adfs.contoso.com User WAP LOB Query String https://claimsapp.contoso.com Edge Cookie http://lob 302 Edge Cookie 302
  • 50. Flux vers une “claims aware” web app Requête initiale du client Authentification ADFS Demande du authToken WAP au serveur ADFS Validation du authToken par WAP Authentification sur l’application publiée #mstechdays Sécurité
  • 51. Internet Perimeter network AD FS SSO AD FS SSO AD FS SSO User https://adfs.contoso.com Internal network https://adfs.contoso.com Edge Policies GET LOB token WAP LOB GET LOB token https://claimsapp.contoso.com Edge Cookie http://lob Application Policies
  • 52. Internet Internal network Perimeter network https://adfs.contoso.com AD FS SSO 302 User https://adfs.contoso.com WAP 302 https://claimsapp.contoso.com Edge Cookie LOB Cookie Edge Cookie 200 LOB Cookie http://lob Edge Cookie 200 LOB Cookie LOB
  • 54. Conclusion • WAP est le nouveau produit Microsoft pour la publication d’application Web. • WAP supporte la stratégie BYOD • WAP s’intègre dans une stratégie globale d'accès distant (RDI, VPN, DA, …) • Le groupe produit est preneur de tout feedback. #mstechdays Sécurité
  • 55.
  • 56. Donnez votre avis ! Depuis votre smartphone sur : http://notes.mstechdays.fr De nombreux lots à gagner toutes les heures !!! Claviers, souris et jeux Microsoft… Merci de nous aider à améliorer les Techdays ! #mstechdays Sécurité