Microsoft Technet France, profile picture
Téléchargé parMicrosoft Technet France
PPTX, PDF6,296 vues

Comment publier vos applications Web avec Windows Server 2012 R2

Le document présente des concepts liés à la publication d'applications web avec Windows Server 2012 R2, en mettant particulièrement l'accent sur l'évolution des technologies comme TMG et UAG, qui ne sont plus supportées, et le remplacement par Web Application Proxy (WAP). Il détaille les fonctionnalités de WAP, notamment la pré-authentification, la délégation et la gestion de l'accès conditionnel, en soulignant la nécessité de l'intégration avec Active Directory et ADFS. Enfin, le document conclut en indiquant que WAP soutient les stratégies BYOD et s'inscrit dans une politique d'accès distant plus large.

Intégrer la présentation

Téléchargé 154 fois
Comment publier vos applications Web avec Windows Server 2012 R2 Eric Detoc, Franck Heilmann Escalation Engineers Microsoft franckh@microsoft.com edetoc@microsoft.com Sécurité
Agenda • Concepts sur la publication d’application Web • Etat des lieux TMG / UAG • Web Application Proxy (WAP) • Questions - Réponses #mstechdays Sécurité
INTRODUCTION SUR LA PUBLICATION DES APPLICATIONS Concepts WEB #mstechdays Sécurité
Grands Concepts de la publication • Rendre accessible les applications internes pour les clients externes (nomades, partenaires) • Offrir: – Pré-Authentification / Validation de l’identité – Délégation (SSO) – Translation de liens – Terminaison SSL #mstechdays Sécurité
TMG & UAG En fin de vie #mstechdays Sécurité
TMG - fin de vie • TMG n’est plus disponible à la vente depuis 1er décembre 2012 • La dernière mise à jour est SP2 Rollup 4 • Arrêt du support – Phase principale: 14 Avril 2015 – Phase étendue: 14 Avril 2020 #mstechdays Sécurité
UAG - fin de vie • UAG ne sera plus disponible à la vente à partir du 1er Juillet 2014 (Software Assurance 1er Janvier 2014). • La dernière mise à jour est SP4 • Arrêt du support – Phase principale: 14 Avril 2015 – Phase étendue: 14 Avril 2020 #mstechdays Sécurité
Phases de support • http://support.microsoft.com/gp/lifepolicy #mstechdays Sécurité
WEB APPLICATION PROXY (WAP) Introduction #mstechdays Sécurité
Pourquoi WAP ? – Nécessité de répondre aux challenges de la fédération d’identité (intégration forte avec ADFS et AD) – Evolution des standards de sécurité (focus client) – Nouveaux besoins Utilisateurs et ITPro (BYOD, Contrôle d’accès,…) – Rendre le proxy indépendant du client (pas de code client ou autre JavaScript,…) – Rendre le proxy neutre par rapport à l’application publiée (Exchange 2007 versus 2013,…) #mstechdays Sécurité
Web Application Proxy #mstechdays Sécurité
WS2012 R2 AD + AD FS + WAP: proposition de valeur Organizations can connect to SaaS applications running in Windows Azure, Office 365 and 3rd party providers Enhancements to AD FS include simplified deployment and management Organizations can federate with partners and other organizations for seamless access to shared resources Firewall Conditional access with multi-factor authentication is provided on a perapplication basis, leveraging user identity, device registration & network location Users can register their devices to gain access to corporate data and apps and single sign-on through device authentication Published applications
WEB APPLICATION PROXY (WAP) Fonctionnalités #mstechdays Sécurité
Reverse Proxy Web • Publication sélective d’applications Web – Rendre accessible certaines applications Web, voire certaines parties (paths) seulement de ces applications • Terminaison SSL – Le trafic Web entrant (HTTPS uniquement) ne peut directement atteindre le serveur publié • HTTP ou HTTPS peuvent être utilisés entre WAP et l’application Web #mstechdays Sécurité
Reverse Proxy Web (suite) • Pré-authentification AD FS ou de type “Pass through” • Le rôle ADFS Proxy est inclus dans WAP – Utilisé pour publier le serveur ADFS – Dans Windows 2012 R2, le rôle AD FS Proxy n’est plus disponible comme rôle seul • Translation du nom d’hôte – Le nom de domaine externe peut être différent du nom interne: E.g. https://portal.contoso.com  http://portal/ – La translation du nom d’hôte n’est actuellement supporté que sur #mstechdays les entêtes HTTP. Sécurité
Pré-requis pour le Single Sign On (SSO) • Les applications publiées doivent authentifier les flux avec des Claims ADFS ou avec la méthode Kerberos (authentification Windows intégrée -IWA) • Un “relying party” (RP) doit être créé au niveau ADFS pour l’application publiée #mstechdays Sécurité
Flux du SSO • Le client s’authentifie sur ADFS • Une fois l’authentification réussie, le client reçoit un token WAP ainsi qu’un cookie SSO ADFS • WAP vérifie que le token WAP est valide et bascule si nécessaire en KCD (Kerberos constrained delegation) avec l’application Web publiée #mstechdays Sécurité
Authentification et autorisation ADFS • Les RP créés dans ADFS pour chaque application sont utilisés pour définir et appliquer des stratégies d’authentification et d’autorisation • Les accès des devices et des utilisateurs peuvent être restreints en fonction de nombreuses conditions, comme: – – – – #mstechdays Le type de Device (iOS, Windows OS, Android) Workplace Joined ou non-Workplace Joined Lieu de l’utilisateur et du device (interne , externe) Appartenance à un groupe Sécurité
WEB APPLICATION PROXY (WAP) Déploiement & recommandations #mstechdays Sécurité
Installation • Prérequis: Windows 2012 R2 ADFS • WAP est un service disponible depuis le rôle « accès distant » • Configuration post-installation par nœud • Administration centralisée depuis la console gestionnaire d’accès distant #mstechdays Sécurité
Certificat de l’ADFS Proxy • Demandé lors de la configuration post-install • Ce certificat doit inclure: – Le FQDN du serveur ADFS, par exemple adfs.contoso.com – Enterpriseregistration.contoso.com si Workplace Join utilisé • Les certificats de type Wildcard (*.contoso.com) ou avec des Subject Alternate Names (SAN) sont supportés #mstechdays Sécurité
WAP/AD FS : qui fait quoi ? Web Application Proxy AD FS • Prendre en charge et évaluer les requêtes Web entrantes • Déclencher la pré-authentification • Gérer la délégation KCD • Effectuer la translation des entêtes HTTP • Faire le proxy entre le serveur ADFS et l’application Web publiée • Héberger le stockage de la configuration WAP • Gérer l’authentification de l’utilisateur • Authentification Multi-facteur • Appliquer les autorisations en fonction des stratégies définies. • Changement des mots de passe • Personnalisation du formulaire de logon #mstechdays Sécurité
WAP et http.sys • WAP n’utilise pas de “Listener” lié à une IP/port comme TMG & UAG • WAP effectue des réservations dans http.sys pour les FQDN et Paths publiés • WAP utilise Server Name Indication (SNI) pour déterminer le certificat serveur à envoyer au client lors du handshake SSL #mstechdays Sécurité
Cartes réseaux • WAP n’a aucune connaissance de la configuration réseau du système • WAP supporte une, deux ou plusieurs cartes réseaux • Support de IPv6 et IPv4 #mstechdays Sécurité
Positionnement de WAP dans le réseau • Dans la DMZ • Comme “pont” entre la DMZ et le LAN • Dans le LAN directement • Remarque: – Terminer la connexion SSL avant WAP n’est pas supporté #mstechdays Sécurité
Répartition de charge • Les serveurs WAP connectés au même ADFS forment un groupe et partagent la même configuration (applications publiées, etc …) Web Application Proxy AD FS Web Application Proxy AD FS Config. Store AD FS Web Application Proxy • Aucune affinité cliente n’est requise: un utilisateur peut se connecter indifféremment à chaque serveur du groupe. Les considérations habituelles concernant l’affinité cliente au niveau de l’application Web demeurent • WAP n’offre pas de dispositif d’équilibrage de charge nativement. Toute solution de Load Balancing fonctionnant correctement avec HTTP.SYS conviendra (NLB, Hardware Load Balancer) #mstechdays Sécurité
Joindre ou ne pas joindre le domaine ? • La question clé est de savoir si vous allez avoir besoin de KCD • KCD est requis pour mettre en place de la SSO avec une application Web non “claims aware” (utilisation de IWA dans ce cas) • Mise en place KCD: – WAP doit appartenir à un domaine, ainsi que le serveur Web – L’application Web doit utiliser l’authentification Windows intégrée – Un relying party trust “non claims” doit être créer au niveau ADFS • Notes: – Il est possible de créer un domaine/forêt dédié à WAP puisque la KCD crossdomaine/forêt est maintenant supportée (http://technet.microsoft.com/enus/library/hh831477.aspx) – Possibilité d’utiliser des Read-Only DCs pour plus de sécurité #mstechdays Sécurité
Certificat de l’application Web publiée • Chaque application Web publiée doit avoir un certificat SSL correspondant au nom public (par ex sharepoint.contoso.com) • Les certificats de type Wildcard ou avec SAN sont supportés (par ex: *.contoso.com) • Il est conseillé d’utiliser des certificats d’autorités publiques pour faciliter les accès depuis des devices non gérés (tablette à la maison par ex) #mstechdays Sécurité
Pré-authentification • Pré-authentification ADFS: – Clients ADFS passifs (navigateurs Web) – MS Office Forms-based Auth (MSOFBA) – Word, Excel… – OAuth2 – clients ADFS actifs (modern apps, DRS) • Pré-authentification non-ADFS: – Authentification “Pass through” - Legacy Rich Clients (NTLM/Basic) – Hybrid Publishing (certificat client) #mstechdays Sécurité
Compatibilité avec les applications Microsoft
Compatibilité avec les applications Microsoft Office 365 Hybrid Scenario:
Autre Scénarii de Publication Microsoft Dynamics CRM : Pré-Authentification avec ADFS pour les clients Web Workplace Join Web Application proxy peut être utilisé pour publier la fonctionnalité “Workplace Join”. Les utilisateurs externes ayant enregistré leur(s) device(s) à l’organisation bénéficieront du SSO et du 2ème facteur d’authentification Les administrateurs peuvent limiter l’accès aux ressources uniquement pour les devices enregistrés Work Folders Nouvelle solution de synchronisation de fichiers permettant à l’utilisateur de synchroniser ses fichiers entre des ressources internes et son device quel que soit l’endroit où il se trouve Web Application Proxy permet la publication de ces ressource (work folders) et applique l’authentification multi-facteur
WEB APPLICATION PROXY (WAP) Architecture & Administration #mstechdays Sécurité
Administration simplifiée #mstechdays Sécurité
Stockage de la configuration • La configuration de WAP est stockée dans ADFS #mstechdays Sécurité
WEB APPLICATION PROXY (WAP) Scénario : Flux HTTP relatifs à la publication d’une application Web « Claims Aware» avec Pré-authentification ADFS #mstechdays Sécurité
Flux vers une “claims aware” web app Requête initiale du client Authentification ADFS Demande du authToken WAP au serveur ADFS Validation du authToken par WAP Authentification sur l’application publiée #mstechdays Sécurité
Internet Perimeter network Internal network https://adfs.contoso.com User https://adfs.contoso.com WAP LOB https://claimsapp.contoso.com http://lob
Internet Perimeter network https://adfs.contoso.com https://adfs.contoso.com User WAP GET 307 https://claimsapp.contoso.com http://lob LOB
Flux vers une “claims aware” web app Requête initiale du client Authentification ADFS Demande du authToken WAP au serveur ADFS Validation du authToken par WAP Authentification sur l’application publiée #mstechdays Sécurité
Internet User GET Edge token Perimeter network https://adfs.contoso.com GET Edge token Internal network https://adfs.contoso.com WAP LOB https://claimsapp.contoso.com http://lob
Internet Perimeter network Internal network https://adfs.contoso.com User https://adfs.contoso.com WAP LOB https://claimsapp.contoso.com http://lob
Internet Perimeter network AD FS SSO AD FS SSO https://adfs.contoso.com 302 AD FS SSO User Internal network https://adfs.contoso.com WAP 302 https://lob.contoso.com http://lob LOB
Flux vers une “claims aware” web app Requête initiale du client Authentification ADFS Demande du authToken WAP au serveur ADFS Validation du authToken par WAP Authentification sur l’application publiée #mstechdays Sécurité
Internet Perimeter network AD FS SSO AD FS SSO AD FS SSO User Internal network https://adfs.contoso.com GET Edge token Edge Policies https://adfs.contoso.com WAP LOB GET Edge token https://claimsapp.contoso.com http://lob Application Policies
Internet Perimeter network https://adfs.contoso.com AD FS SSO User Internal network 307 https://adfs.contoso.com 307 WA LO P B https://claimsapp.contoso.com http://lob
Flux vers une “claims aware” web app Requête initiale du client Authentification ADFS Demande du authToken WAP au serveur ADFS Validation du authToken par WAP Authentification sur l’application publiée #mstechdays Sécurité
Internet Internal network Perimeter network https://adfs.contoso.com AD FS SSO https://adfs.contoso.com User WAP LOB Query String https://claimsapp.contoso.com Edge Cookie http://lob 302 Edge Cookie 302
Flux vers une “claims aware” web app Requête initiale du client Authentification ADFS Demande du authToken WAP au serveur ADFS Validation du authToken par WAP Authentification sur l’application publiée #mstechdays Sécurité
Internet Perimeter network AD FS SSO AD FS SSO AD FS SSO User https://adfs.contoso.com Internal network https://adfs.contoso.com Edge Policies GET LOB token WAP LOB GET LOB token https://claimsapp.contoso.com Edge Cookie http://lob Application Policies
Internet Internal network Perimeter network https://adfs.contoso.com AD FS SSO 302 User https://adfs.contoso.com WAP 302 https://claimsapp.contoso.com Edge Cookie LOB Cookie Edge Cookie 200 LOB Cookie http://lob Edge Cookie 200 LOB Cookie LOB
En résumé… #mstechdays Sécurité
Conclusion • WAP est le nouveau produit Microsoft pour la publication d’application Web. • WAP supporte la stratégie BYOD • WAP s’intègre dans une stratégie globale d'accès distant (RDI, VPN, DA, …) • Le groupe produit est preneur de tout feedback. #mstechdays Sécurité
Donnez votre avis ! Depuis votre smartphone sur : http://notes.mstechdays.fr De nombreux lots à gagner toutes les heures !!! Claviers, souris et jeux Microsoft… Merci de nous aider à améliorer les Techdays ! #mstechdays Sécurité
Digital is business

Contenu connexe

PPT
Фізичні та хімічні явища
parorbita67
 
PDF
Презентация правил игры в Мафию v1.0
parГригорий Крамской
 
PPT
сучасні педагогічні технології
parРоман Яременко
 
PPT
презентація уроку-іван-франко
parИришка Ой
 
DOCX
інноваційні техн. на матем..docx
parРепетитор Історія України
 
PPTX
Застосування методів критичного мислення в початковій школі на уроках українс...
parmaklicey
 
PPT
12 жылдық білім беру слайд
parDan41k
 
DOC
звертання
parТетяна Шинкаренко
 
Фізичні та хімічні явища
parorbita67
 
Презентация правил игры в Мафию v1.0
parГригорий Крамской
 
сучасні педагогічні технології
parРоман Яременко
 
презентація уроку-іван-франко
parИришка Ой
 
інноваційні техн. на матем..docx
parРепетитор Історія України
 
Застосування методів критичного мислення в початковій школі на уроках українс...
parmaklicey
 
12 жылдық білім беру слайд
parDan41k
 
звертання
parТетяна Шинкаренко
 

Tendances

DOCX
Завдання конкурсу ім. Петра Яцика ( 2015)
parОксана Мельник
 
DOCX
схема аналізу уроку
parkarnafelka
 
PPT
презентація роботи школи
parValynchic
 
DOCX
Князь Ярослав буклет.docx
parssuseree4225
 
PPTX
Імідж сучасного вчителя
parssuser286e20
 
PPTX
презентація на тему здоров'я
parzloyTaksa
 
PDF
матеріали для проведення інформаційної години до Дня українського козацтва "К...
parSavua
 
PPT
робота з візуальними джерелами
parOPaskalenko
 
DOCX
Освітня програма на 2022-2023 н. р. Савченко.docx
parНина Ибрагимова
 
PPT
Трагічна поліфонія Чорнобиля
parНБУ для дітей
 
PDF
"Ні бідності, ні голоду"
parSavua
 
PPTX
Герої не вмирають, герої поміж нас
parVinnytsia Regional Universal Scientific Library named after Valentin Otamanovsky
 
PPTX
Особливості організації навчально-виховного процесу в умовах креативної освіт...
par270479
 
PPTX
Бойовий шлях Українських Січових Стрільців
paryakusheva34if
 
PDF
«Пріоритети та перспективи розвитку освіти ХХІ століття» 
parSavua
 
PPTX
Презентація «Їх дух незламний і безсмертний подвиг» (до Дня пам’яті Героїв Не...
parТернопільська обласна універсальна наукова бібліотека
 
PPTX
Російська революція 1917 року
parpv01com
 
PPTX
Dijalnisnyj
parbymbarishka
 
PPTX
засоби навчання, класифікація засобів навчання
parVladaaaa
 
PPTX
основні принципи виховання. тема 2
parmad psychologist
 
Завдання конкурсу ім. Петра Яцика ( 2015)
parОксана Мельник
 
схема аналізу уроку
parkarnafelka
 
презентація роботи школи
parValynchic
 
Князь Ярослав буклет.docx
parssuseree4225
 
Імідж сучасного вчителя
parssuser286e20
 
презентація на тему здоров'я
parzloyTaksa
 
матеріали для проведення інформаційної години до Дня українського козацтва "К...
parSavua
 
робота з візуальними джерелами
parOPaskalenko
 
Освітня програма на 2022-2023 н. р. Савченко.docx
parНина Ибрагимова
 
Трагічна поліфонія Чорнобиля
parНБУ для дітей
 
"Ні бідності, ні голоду"
parSavua
 
Герої не вмирають, герої поміж нас
parVinnytsia Regional Universal Scientific Library named after Valentin Otamanovsky
 
Особливості організації навчально-виховного процесу в умовах креативної освіт...
par270479
 
Бойовий шлях Українських Січових Стрільців
paryakusheva34if
 
«Пріоритети та перспективи розвитку освіти ХХІ століття» 
parSavua
 
Презентація «Їх дух незламний і безсмертний подвиг» (до Дня пам’яті Героїв Не...
parТернопільська обласна універсальна наукова бібліотека
 
Російська революція 1917 року
parpv01com
 
Dijalnisnyj
parbymbarishka
 
засоби навчання, класифікація засобів навчання
parVladaaaa
 
основні принципи виховання. тема 2
parmad psychologist
 

En vedette

PPTX
Séminaire Web Services
pare-Xpert Solutions SA
 
PPTX
Cloud Hybride, le SSO de bout en bout
parMicrosoft Technet France
 
PPTX
The BrigtEdge Human Character
parDani Bossler
 
PDF
Alphorm.com Formation WebDev 22 avancé
parAlphorm
 
PDF
Alphorm.com Formation RDS Windows Server 2012 R2
parAlphorm
 
PDF
Alphorm.com Formation Configuration des services avancés de Windows Server 20...
parAlphorm
 
PDF
alphorm.com - Formation Exchange Server 2013 (70-341)
parAlphorm
 
PDF
Alphorm.com-Formation windows 2012 (70-410)
parAlphorm
 
PDF
Support Web Services SOAP et RESTful Mr YOUSSFI
parENSET, Université Hassan II Casablanca
 
Séminaire Web Services
pare-Xpert Solutions SA
 
Cloud Hybride, le SSO de bout en bout
parMicrosoft Technet France
 
The BrigtEdge Human Character
parDani Bossler
 
Alphorm.com Formation WebDev 22 avancé
parAlphorm
 
Alphorm.com Formation RDS Windows Server 2012 R2
parAlphorm
 
Alphorm.com Formation Configuration des services avancés de Windows Server 20...
parAlphorm
 
alphorm.com - Formation Exchange Server 2013 (70-341)
parAlphorm
 
Alphorm.com-Formation windows 2012 (70-410)
parAlphorm
 
Support Web Services SOAP et RESTful Mr YOUSSFI
parENSET, Université Hassan II Casablanca
 

Similaire à Comment publier vos applications Web avec Windows Server 2012 R2

PDF
Provider Hosted app… Quel intérêt pour l’entreprise
parWalid Hadjadj
 
PPTX
Vous avez dit protocoles Web d'authentification et d'autorisation ! De quoi p...
parPhilippe Beraud
 
PDF
Partie III – APM Application Policy Manager
pare-Xpert Solutions SA
 
PDF
Securite des Web Services (SOAP vs REST) / OWASP Geneva dec. 2012
parSylvain Maret
 
PPTX
ASFWS 2011 - L’importance du protocole HTTP dans la menace APT
parCyber Security Alliance
 
PPTX
Sécurité des applications Web
parSylvain Maret
 
PDF
(Azure) Active Directory + BYOD = tranquillité d’esprit, chiche ! (2nde Partie)
parMicrosoft Technet France
 
PDF
(Azure) Active Directory + BYOD = tranquillité d’esprit, chiche ! (2nde Partie)
parMicrosoft Décideurs IT
 
PDF
aOS Monaco 2019 - A6 - Sécurisez votre SI et vos services Office 365 partie 1...
paraOS Community
 
PPTX
Chp5 - Sécurité des Services
parLilia Sfaxi
 
PPTX
Facilitez vos déploiements d’applications Microsoft et répondez aux nouvelles...
parMicrosoft Décideurs IT
 
PDF
GS Days 2017 - La sécurité des APIs
parBertrand Carlier
 
PDF
Web Application Firewall : une nouvelle génération indispensable ?
parKyos
 
PPTX
Gestion de Windows 10 et des applications dans l'entreprise moderne
parMicrosoft Technet France
 
PPT
TechDays 2010 (CLO305) : Windows Azure App Fabric
parGeoffrey DANIEL
 
PDF
Les menaces applicatives
parBee_Ware
 
PPTX
DSBrowser Concilier securité et simplicite
parAntoine Vigneron
 
PPTX
Windows Phone 8 et la sécurité
parMicrosoft
 
PPTX
Windows Phone 8 et la sécurité
parMicrosoft Technet France
 
PPTX
System Center 2012 R2 et Windows 8.1 : Quoi de neuf pour le BYOD ?
parMicrosoft Technet France
 
Provider Hosted app… Quel intérêt pour l’entreprise
parWalid Hadjadj
 
Vous avez dit protocoles Web d'authentification et d'autorisation ! De quoi p...
parPhilippe Beraud
 
Partie III – APM Application Policy Manager
pare-Xpert Solutions SA
 
Securite des Web Services (SOAP vs REST) / OWASP Geneva dec. 2012
parSylvain Maret
 
ASFWS 2011 - L’importance du protocole HTTP dans la menace APT
parCyber Security Alliance
 
Sécurité des applications Web
parSylvain Maret
 
(Azure) Active Directory + BYOD = tranquillité d’esprit, chiche ! (2nde Partie)
parMicrosoft Technet France
 
(Azure) Active Directory + BYOD = tranquillité d’esprit, chiche ! (2nde Partie)
parMicrosoft Décideurs IT
 
aOS Monaco 2019 - A6 - Sécurisez votre SI et vos services Office 365 partie 1...
paraOS Community
 
Chp5 - Sécurité des Services
parLilia Sfaxi
 
Facilitez vos déploiements d’applications Microsoft et répondez aux nouvelles...
parMicrosoft Décideurs IT
 
GS Days 2017 - La sécurité des APIs
parBertrand Carlier
 
Web Application Firewall : une nouvelle génération indispensable ?
parKyos
 
Gestion de Windows 10 et des applications dans l'entreprise moderne
parMicrosoft Technet France
 
TechDays 2010 (CLO305) : Windows Azure App Fabric
parGeoffrey DANIEL
 
Les menaces applicatives
parBee_Ware
 
DSBrowser Concilier securité et simplicite
parAntoine Vigneron
 
Windows Phone 8 et la sécurité
parMicrosoft
 
Windows Phone 8 et la sécurité
parMicrosoft Technet France
 
System Center 2012 R2 et Windows 8.1 : Quoi de neuf pour le BYOD ?
parMicrosoft Technet France
 

Plus de Microsoft Technet France

PDF
Automatisez, visualisez et améliorez vos processus d’entreprise avec Nintex
parMicrosoft Technet France
 
PPTX
Comment réussir votre déploiement de Windows 10
parMicrosoft Technet France
 
PPTX
OMS log search au quotidien
parMicrosoft Technet France
 
PPTX
Fusion, Acquisition - Optimisez la migration et la continuité des outils col...
parMicrosoft Technet France
 
PPTX
Wavestone déploie son portail Powell 365 en 5 semaines
parMicrosoft Technet France
 
PPTX
Retour d’expérience sur le monitoring et la sécurisation des identités Azure
parMicrosoft Technet France
 
PPTX
Scénarios de mobilité couverts par Enterprise Mobility + Security
parMicrosoft Technet France
 
PPTX
SharePoint Framework : le développement SharePoint nouvelle génération
parMicrosoft Technet France
 
PPTX
Stockage Cloud : il y en aura pour tout le monde
parMicrosoft Technet France
 
PPTX
Bien appréhender le concept de Windows As a Service
parMicrosoft Technet France
 
PPTX
Protéger vos données avec le chiffrement dans Azure et Office 365
parMicrosoft Technet France
 
PPTX
Protéger votre patrimoine informationnel dans un monde hybride avec Azure Inf...
parMicrosoft Technet France
 
PPTX
Comprendre la stratégie identité de Microsoft
parMicrosoft Technet France
 
PPTX
Vous avez dit « authentification sans mot de passe » : une illustration avec ...
parMicrosoft Technet France
 
PPTX
Sécurité des données
parMicrosoft Technet France
 
PPTX
Déploiement hybride, la téléphonie dans le cloud
parMicrosoft Technet France
 
PPTX
Supervisez la qualité des appels Skype for Business Online à l'aide de Call Q...
parMicrosoft Technet France
 
PPTX
SharePoint 2016 : architecture, déploiement et topologies hybrides
parMicrosoft Technet France
 
PPTX
Office 365 dans votre Système d'Informations
parMicrosoft Technet France
 
PPTX
Retour d’expérience sur ‘TFS Online’ (VSTS) dans une solution industrielle (c...
parMicrosoft Technet France
 
Automatisez, visualisez et améliorez vos processus d’entreprise avec Nintex
parMicrosoft Technet France
 
Comment réussir votre déploiement de Windows 10
parMicrosoft Technet France
 
OMS log search au quotidien
parMicrosoft Technet France
 
Fusion, Acquisition - Optimisez la migration et la continuité des outils col...
parMicrosoft Technet France
 
Wavestone déploie son portail Powell 365 en 5 semaines
parMicrosoft Technet France
 
Retour d’expérience sur le monitoring et la sécurisation des identités Azure
parMicrosoft Technet France
 
Scénarios de mobilité couverts par Enterprise Mobility + Security
parMicrosoft Technet France
 
SharePoint Framework : le développement SharePoint nouvelle génération
parMicrosoft Technet France
 
Stockage Cloud : il y en aura pour tout le monde
parMicrosoft Technet France
 
Bien appréhender le concept de Windows As a Service
parMicrosoft Technet France
 
Protéger vos données avec le chiffrement dans Azure et Office 365
parMicrosoft Technet France
 
Protéger votre patrimoine informationnel dans un monde hybride avec Azure Inf...
parMicrosoft Technet France
 
Comprendre la stratégie identité de Microsoft
parMicrosoft Technet France
 
Vous avez dit « authentification sans mot de passe » : une illustration avec ...
parMicrosoft Technet France
 
Sécurité des données
parMicrosoft Technet France
 
Déploiement hybride, la téléphonie dans le cloud
parMicrosoft Technet France
 
Supervisez la qualité des appels Skype for Business Online à l'aide de Call Q...
parMicrosoft Technet France
 
SharePoint 2016 : architecture, déploiement et topologies hybrides
parMicrosoft Technet France
 
Office 365 dans votre Système d'Informations
parMicrosoft Technet France
 
Retour d’expérience sur ‘TFS Online’ (VSTS) dans une solution industrielle (c...
parMicrosoft Technet France
 

Comment publier vos applications Web avec Windows Server 2012 R2

  • 2.
    Comment publier vosapplications Web avec Windows Server 2012 R2 Eric Detoc, Franck Heilmann Escalation Engineers Microsoft franckh@microsoft.com edetoc@microsoft.com Sécurité
  • 3.
    Agenda • Concepts surla publication d’application Web • Etat des lieux TMG / UAG • Web Application Proxy (WAP) • Questions - Réponses #mstechdays Sécurité
  • 4.
    INTRODUCTION SUR LA PUBLICATIONDES APPLICATIONS Concepts WEB #mstechdays Sécurité
  • 5.
    Grands Concepts dela publication • Rendre accessible les applications internes pour les clients externes (nomades, partenaires) • Offrir: – Pré-Authentification / Validation de l’identité – Délégation (SSO) – Translation de liens – Terminaison SSL #mstechdays Sécurité
  • 6.
    TMG & UAG Enfin de vie #mstechdays Sécurité
  • 7.
    TMG - finde vie • TMG n’est plus disponible à la vente depuis 1er décembre 2012 • La dernière mise à jour est SP2 Rollup 4 • Arrêt du support – Phase principale: 14 Avril 2015 – Phase étendue: 14 Avril 2020 #mstechdays Sécurité
  • 8.
    UAG - finde vie • UAG ne sera plus disponible à la vente à partir du 1er Juillet 2014 (Software Assurance 1er Janvier 2014). • La dernière mise à jour est SP4 • Arrêt du support – Phase principale: 14 Avril 2015 – Phase étendue: 14 Avril 2020 #mstechdays Sécurité
  • 9.
    Phases de support •http://support.microsoft.com/gp/lifepolicy #mstechdays Sécurité
  • 10.
    WEB APPLICATION PROXY(WAP) Introduction #mstechdays Sécurité
  • 11.
    Pourquoi WAP ? –Nécessité de répondre aux challenges de la fédération d’identité (intégration forte avec ADFS et AD) – Evolution des standards de sécurité (focus client) – Nouveaux besoins Utilisateurs et ITPro (BYOD, Contrôle d’accès,…) – Rendre le proxy indépendant du client (pas de code client ou autre JavaScript,…) – Rendre le proxy neutre par rapport à l’application publiée (Exchange 2007 versus 2013,…) #mstechdays Sécurité
  • 12.
  • 13.
    WS2012 R2 AD+ AD FS + WAP: proposition de valeur Organizations can connect to SaaS applications running in Windows Azure, Office 365 and 3rd party providers Enhancements to AD FS include simplified deployment and management Organizations can federate with partners and other organizations for seamless access to shared resources Firewall Conditional access with multi-factor authentication is provided on a perapplication basis, leveraging user identity, device registration & network location Users can register their devices to gain access to corporate data and apps and single sign-on through device authentication Published applications
  • 14.
    WEB APPLICATION PROXY(WAP) Fonctionnalités #mstechdays Sécurité
  • 15.
    Reverse Proxy Web •Publication sélective d’applications Web – Rendre accessible certaines applications Web, voire certaines parties (paths) seulement de ces applications • Terminaison SSL – Le trafic Web entrant (HTTPS uniquement) ne peut directement atteindre le serveur publié • HTTP ou HTTPS peuvent être utilisés entre WAP et l’application Web #mstechdays Sécurité
  • 16.
    Reverse Proxy Web(suite) • Pré-authentification AD FS ou de type “Pass through” • Le rôle ADFS Proxy est inclus dans WAP – Utilisé pour publier le serveur ADFS – Dans Windows 2012 R2, le rôle AD FS Proxy n’est plus disponible comme rôle seul • Translation du nom d’hôte – Le nom de domaine externe peut être différent du nom interne: E.g. https://portal.contoso.com  http://portal/ – La translation du nom d’hôte n’est actuellement supporté que sur #mstechdays les entêtes HTTP. Sécurité
  • 17.
    Pré-requis pour leSingle Sign On (SSO) • Les applications publiées doivent authentifier les flux avec des Claims ADFS ou avec la méthode Kerberos (authentification Windows intégrée -IWA) • Un “relying party” (RP) doit être créé au niveau ADFS pour l’application publiée #mstechdays Sécurité
  • 18.
    Flux du SSO •Le client s’authentifie sur ADFS • Une fois l’authentification réussie, le client reçoit un token WAP ainsi qu’un cookie SSO ADFS • WAP vérifie que le token WAP est valide et bascule si nécessaire en KCD (Kerberos constrained delegation) avec l’application Web publiée #mstechdays Sécurité
  • 19.
    Authentification et autorisationADFS • Les RP créés dans ADFS pour chaque application sont utilisés pour définir et appliquer des stratégies d’authentification et d’autorisation • Les accès des devices et des utilisateurs peuvent être restreints en fonction de nombreuses conditions, comme: – – – – #mstechdays Le type de Device (iOS, Windows OS, Android) Workplace Joined ou non-Workplace Joined Lieu de l’utilisateur et du device (interne , externe) Appartenance à un groupe Sécurité
  • 20.
    WEB APPLICATION PROXY(WAP) Déploiement & recommandations #mstechdays Sécurité
  • 21.
    Installation • Prérequis: Windows2012 R2 ADFS • WAP est un service disponible depuis le rôle « accès distant » • Configuration post-installation par nœud • Administration centralisée depuis la console gestionnaire d’accès distant #mstechdays Sécurité
  • 22.
    Certificat de l’ADFSProxy • Demandé lors de la configuration post-install • Ce certificat doit inclure: – Le FQDN du serveur ADFS, par exemple adfs.contoso.com – Enterpriseregistration.contoso.com si Workplace Join utilisé • Les certificats de type Wildcard (*.contoso.com) ou avec des Subject Alternate Names (SAN) sont supportés #mstechdays Sécurité
  • 23.
    WAP/AD FS :qui fait quoi ? Web Application Proxy AD FS • Prendre en charge et évaluer les requêtes Web entrantes • Déclencher la pré-authentification • Gérer la délégation KCD • Effectuer la translation des entêtes HTTP • Faire le proxy entre le serveur ADFS et l’application Web publiée • Héberger le stockage de la configuration WAP • Gérer l’authentification de l’utilisateur • Authentification Multi-facteur • Appliquer les autorisations en fonction des stratégies définies. • Changement des mots de passe • Personnalisation du formulaire de logon #mstechdays Sécurité
  • 24.
    WAP et http.sys •WAP n’utilise pas de “Listener” lié à une IP/port comme TMG & UAG • WAP effectue des réservations dans http.sys pour les FQDN et Paths publiés • WAP utilise Server Name Indication (SNI) pour déterminer le certificat serveur à envoyer au client lors du handshake SSL #mstechdays Sécurité
  • 25.
    Cartes réseaux • WAPn’a aucune connaissance de la configuration réseau du système • WAP supporte une, deux ou plusieurs cartes réseaux • Support de IPv6 et IPv4 #mstechdays Sécurité
  • 26.
    Positionnement de WAPdans le réseau • Dans la DMZ • Comme “pont” entre la DMZ et le LAN • Dans le LAN directement • Remarque: – Terminer la connexion SSL avant WAP n’est pas supporté #mstechdays Sécurité
  • 27.
    Répartition de charge • Lesserveurs WAP connectés au même ADFS forment un groupe et partagent la même configuration (applications publiées, etc …) Web Application Proxy AD FS Web Application Proxy AD FS Config. Store AD FS Web Application Proxy • Aucune affinité cliente n’est requise: un utilisateur peut se connecter indifféremment à chaque serveur du groupe. Les considérations habituelles concernant l’affinité cliente au niveau de l’application Web demeurent • WAP n’offre pas de dispositif d’équilibrage de charge nativement. Toute solution de Load Balancing fonctionnant correctement avec HTTP.SYS conviendra (NLB, Hardware Load Balancer) #mstechdays Sécurité
  • 28.
    Joindre ou nepas joindre le domaine ? • La question clé est de savoir si vous allez avoir besoin de KCD • KCD est requis pour mettre en place de la SSO avec une application Web non “claims aware” (utilisation de IWA dans ce cas) • Mise en place KCD: – WAP doit appartenir à un domaine, ainsi que le serveur Web – L’application Web doit utiliser l’authentification Windows intégrée – Un relying party trust “non claims” doit être créer au niveau ADFS • Notes: – Il est possible de créer un domaine/forêt dédié à WAP puisque la KCD crossdomaine/forêt est maintenant supportée (http://technet.microsoft.com/enus/library/hh831477.aspx) – Possibilité d’utiliser des Read-Only DCs pour plus de sécurité #mstechdays Sécurité
  • 29.
    Certificat de l’applicationWeb publiée • Chaque application Web publiée doit avoir un certificat SSL correspondant au nom public (par ex sharepoint.contoso.com) • Les certificats de type Wildcard ou avec SAN sont supportés (par ex: *.contoso.com) • Il est conseillé d’utiliser des certificats d’autorités publiques pour faciliter les accès depuis des devices non gérés (tablette à la maison par ex) #mstechdays Sécurité
  • 30.
    Pré-authentification • Pré-authentification ADFS: –Clients ADFS passifs (navigateurs Web) – MS Office Forms-based Auth (MSOFBA) – Word, Excel… – OAuth2 – clients ADFS actifs (modern apps, DRS) • Pré-authentification non-ADFS: – Authentification “Pass through” - Legacy Rich Clients (NTLM/Basic) – Hybrid Publishing (certificat client) #mstechdays Sécurité
  • 31.
    Compatibilité avec lesapplications Microsoft
  • 32.
    Compatibilité avec lesapplications Microsoft Office 365 Hybrid Scenario:
  • 33.
    Autre Scénarii dePublication Microsoft Dynamics CRM : Pré-Authentification avec ADFS pour les clients Web Workplace Join Web Application proxy peut être utilisé pour publier la fonctionnalité “Workplace Join”. Les utilisateurs externes ayant enregistré leur(s) device(s) à l’organisation bénéficieront du SSO et du 2ème facteur d’authentification Les administrateurs peuvent limiter l’accès aux ressources uniquement pour les devices enregistrés Work Folders Nouvelle solution de synchronisation de fichiers permettant à l’utilisateur de synchroniser ses fichiers entre des ressources internes et son device quel que soit l’endroit où il se trouve Web Application Proxy permet la publication de ces ressource (work folders) et applique l’authentification multi-facteur
  • 34.
    WEB APPLICATION PROXY(WAP) Architecture & Administration #mstechdays Sécurité
  • 35.
  • 36.
    Stockage de laconfiguration • La configuration de WAP est stockée dans ADFS #mstechdays Sécurité
  • 37.
    WEB APPLICATION PROXY(WAP) Scénario : Flux HTTP relatifs à la publication d’une application Web « Claims Aware» avec Pré-authentification ADFS #mstechdays Sécurité
  • 38.
    Flux vers une“claims aware” web app Requête initiale du client Authentification ADFS Demande du authToken WAP au serveur ADFS Validation du authToken par WAP Authentification sur l’application publiée #mstechdays Sécurité
  • 39.
  • 40.
  • 41.
    Flux vers une“claims aware” web app Requête initiale du client Authentification ADFS Demande du authToken WAP au serveur ADFS Validation du authToken par WAP Authentification sur l’application publiée #mstechdays Sécurité
  • 42.
  • 43.
  • 44.
    Internet Perimeter network AD FSSSO AD FS SSO https://adfs.contoso.com 302 AD FS SSO User Internal network https://adfs.contoso.com WAP 302 https://lob.contoso.com http://lob LOB
  • 45.
    Flux vers une“claims aware” web app Requête initiale du client Authentification ADFS Demande du authToken WAP au serveur ADFS Validation du authToken par WAP Authentification sur l’application publiée #mstechdays Sécurité
  • 46.
    Internet Perimeter network AD FSSSO AD FS SSO AD FS SSO User Internal network https://adfs.contoso.com GET Edge token Edge Policies https://adfs.contoso.com WAP LOB GET Edge token https://claimsapp.contoso.com http://lob Application Policies
  • 47.
    Internet Perimeter network https://adfs.contoso.com AD FSSSO User Internal network 307 https://adfs.contoso.com 307 WA LO P B https://claimsapp.contoso.com http://lob
  • 48.
    Flux vers une“claims aware” web app Requête initiale du client Authentification ADFS Demande du authToken WAP au serveur ADFS Validation du authToken par WAP Authentification sur l’application publiée #mstechdays Sécurité
  • 49.
    Internet Internal network Perimeter network https://adfs.contoso.com ADFS SSO https://adfs.contoso.com User WAP LOB Query String https://claimsapp.contoso.com Edge Cookie http://lob 302 Edge Cookie 302
  • 50.
    Flux vers une“claims aware” web app Requête initiale du client Authentification ADFS Demande du authToken WAP au serveur ADFS Validation du authToken par WAP Authentification sur l’application publiée #mstechdays Sécurité
  • 51.
    Internet Perimeter network AD FSSSO AD FS SSO AD FS SSO User https://adfs.contoso.com Internal network https://adfs.contoso.com Edge Policies GET LOB token WAP LOB GET LOB token https://claimsapp.contoso.com Edge Cookie http://lob Application Policies
  • 52.
    Internet Internal network Perimeter network https://adfs.contoso.com ADFS SSO 302 User https://adfs.contoso.com WAP 302 https://claimsapp.contoso.com Edge Cookie LOB Cookie Edge Cookie 200 LOB Cookie http://lob Edge Cookie 200 LOB Cookie LOB
  • 53.
  • 54.
    Conclusion • WAP estle nouveau produit Microsoft pour la publication d’application Web. • WAP supporte la stratégie BYOD • WAP s’intègre dans une stratégie globale d'accès distant (RDI, VPN, DA, …) • Le groupe produit est preneur de tout feedback. #mstechdays Sécurité
  • 56.
    Donnez votre avis! Depuis votre smartphone sur : http://notes.mstechdays.fr De nombreux lots à gagner toutes les heures !!! Claviers, souris et jeux Microsoft… Merci de nous aider à améliorer les Techdays ! #mstechdays Sécurité
  • 57.