Cloud Hybride, le SSO de bout en bout

32

description

Avec une souscription Azure ou Office 365, vous bénéficiez automatiquement d'un annuaire hébergé par Microsoft WAAD. Pour gérer vos propres identités sur internet vous utilisez la fédération d'identité (ADFS). Pour vous ouvrir au grand public vous utilisez ACS (Live, Google, Facebook) Sur votre réseau local vous utilisez Kerberos. Que faut-il utiliser ? quels sont les impacts sur les solutions développées ? Les différents scénarios de fédération passive (Browsers) et active (Client lourds, Web Services), c2wts Kerberos contraint avec des démos mettant en œuvre SharePoint, Office365, CRM, ASP.Net, WCF, Windows 8 Modern UI, WP8, SSRS, SSAS, SAP, WAAD, ACS, ADFS, (Shibboleth ??) Cette session s'adresse aux architectes et développeurs d'entreprise devant intégrer des solutions Cloud dans leurs projets. Une bonne maîtrise du Framework .Net est un pré-requis Speakers : Stéphane Goudeau (Microsoft), Franck Musson (NEOS-SDI)

Transcript of Cloud Hybride, le SSO de bout en bout

Page 1: Cloud Hybride, le SSO de bout en bout
Page 2: Cloud Hybride, le SSO de bout en bout

Architecture/Azure/Cloud#mstechdays

Depuis votre smartphone sur :http://notes.mstechdays.fr

De nombreux lots à gagner toute les heures !!!Claviers, souris et jeux Microsoft…

Merci de nous aider à améliorer les Techdays !

Donnez votre avis !

Page 3: Cloud Hybride, le SSO de bout en bout

Architecture/Azure/Cloud

Cloud Hybride, le SSO de bout en bout

Franck MUSSON (Neos-Sdi)Stéphane GOUDEAU (Microsoft)

Email, site Web, Twitter

Page 4: Cloud Hybride, le SSO de bout en bout

Architecture/Azure/Cloud#mstechdays

• Cloud hybride et gestion d’identité : concepts, standards et technologies

• Identification des applications dans le Cloud : Intégration avec Windows Azure Active Directory

• Scénario SSO pour des solutions Cloud Hybride d’Entreprise

• Evolution vers de nouveaux protocoles• Conclusion

Agenda

Page 5: Cloud Hybride, le SSO de bout en bout

Architecture/Azure/Cloud#mstechdays

CLOUD HYBRIDE ET GESTION D’IDENTITÉ Concepts, standards et technologies

Page 6: Cloud Hybride, le SSO de bout en bout

Architecture/Azure/Cloud#mstechdays

Cloud Hybride et gestion d’identité

ROI Réduction des coûts Agilité, évolutivité et élasticité « Emancipation » des « Business Units » Périphériques mobiles Consumérisation de l’IT

Freins et modérateurs

SI fédéré (multi-sources)

Modèles de déploiement et opérateurs

multiples

Modèles de mise en œuvre multiples

Modèles de canaux multiples

Cloud privéCloud communautaireCloud publicAuto-hébergé SaaS PaaS IaaS Centre de données

conventionnel

Direct pour le SI Revente par le biais

de fournisseur de services

Accélérateurs du

Changement

Système d’information

Contraintes liées à l’existant Respect de la vie privée Conformité aux politiques de

sécurité Charge d’administration Facilité d’utilisation, d’exploitation Gain ou perte pour l’intégration

Page 7: Cloud Hybride, le SSO de bout en bout

Architecture/Azure/Cloud#mstechdays

Client

Partie de confiance

Service de jetons de sécurité (STS)

1

2

Jeton

signature

revendications nom: stephgou, rôles: … …

Cadre de confiance

Evolution résultante pour la gestion d’identité• L’identité s’applique à de

multiples entités– Personnes, organisations,

appareils, applications et services (code)

• L’identité– Devient un ensemble de

revendications (claims) consommées au sein de l’informatique fédérée pour l’authentification (unique), la délégation d’identité et le contrôle d’accès, (voir le peuplement)

– Est véhiculée sous forme d’un jeton selon un protocole

Page 8: Cloud Hybride, le SSO de bout en bout

Architecture/Azure/Cloud#mstechdays

• La gestion d’identité se fonde aujourd'hui sur de multiples standards ouverts :– Formats de jeton : SAML, OpenID, SWT, JWT,…– Protocoles : Kerberos, SAML-P 2.0, WS-Federation, WS-Trust, OAuth2, OpenID,…

• Active Directory Federation Services (AD FS) 2.0– Authentifie l’utilisateur et émet les valeurs, formats et types spécifiques de revendications requises

par l’application ou le service

• Windows Identity Foundation (WIF)– Valide le jeton de sécurité émis par le STS– Extrait les revendications et les met à disposition de l’application ou du service Cloud ou à demeure

• Access Control Service (ACS) V2.0– « ADFS du Cloud » : Identité fédérée et autorisation pour tout type d’Application : Web, Desktop,

Mobile– Identity Providers: Facebook, Google, Yahoo, LiveID, STS WS-Federation

• Windows Azure Active Directory (WAAD)– Annuaire sur Windows Azure– Connexion et synchronisation de Windows Server Active Directory avec Windows Azure– Utilisé aujourd’hui par les souscriptions Windows Azure, Office 365, Dynamics CRM Online et

Windows Intune

Standards d’identité et technologies Microsoft

Page 9: Cloud Hybride, le SSO de bout en bout

Architecture/Azure/Cloud#mstechdays

IDENTIFICATION DES APPLICATIONS DANS LE CLOUDIntégration avec Windows Azure Active Directory

Page 10: Cloud Hybride, le SSO de bout en bout

Architecture/Azure/Cloud#mstechdays

Intégration avec Windows Azure Active Directory

https://login.windows.net/<tenant domain name>/<protocol>

Page 11: Cloud Hybride, le SSO de bout en bout

Architecture/Azure/Cloud#mstechdays

BrowserWebAp

p

Windows Azure Active Directory WebApp Service Principal

• App ID URI• Reply URL

1. Navigate to site

2. Redirect to directory tenant to sign in (App ID URI)

3. Sign in

4. Send SAML token to Reply URL

5. Set session

Windows Identity Foundation

SAML 2.0 or WS-Federation endpoint

Authentification Web en WS-Fed avec WAAD

Page 12: Cloud Hybride, le SSO de bout en bout

démo

Architecture/Azure/Cloud#mstechdays

AUTHENTIFICATION WEB AVEC WINDOWS AZURE ACTIVE DIRECTORY

Page 13: Cloud Hybride, le SSO de bout en bout

Architecture/Azure/Cloud#mstechdays

Active Directory (WaaD)

yourdomain.onmicrosoft.com (managed)yourdomain.com (federated) SAML-P

Users SynchroFIM, DirSync,PowerShell

Fédération WAAD basée sur SAML 2.0

Page 14: Cloud Hybride, le SSO de bout en bout

démo

Architecture/Azure/Cloud#mstechdays

AUTHENTIFICATION SUR UN STS SAML GRÂCE À WINDOWS AZURE ACTIVE DIRECTORY

Page 15: Cloud Hybride, le SSO de bout en bout

Architecture/Azure/Cloud#mstechdays

SCÉNARIO SSO POUR DES SOLUTIONS CLOUD HYBRIDE D’ENTREPRISE

Page 16: Cloud Hybride, le SSO de bout en bout

Architecture/Azure/Cloud#mstechdays

The Big Picture

VPN

ADFS / MFAADFS ProxyActive DirectoryRWDC

Shibboleth

LDAP Server

ADFS ProxyADFS / MFAActive Directory

AppFabricWCF/SOAP

SSAS 2012

SQLServer 2012 SharePoint 2013Farm

Web Sites

Firewall/Reverse

Web Sites

SQLServer 2008R2

Page 17: Cloud Hybride, le SSO de bout en bout

Architecture/Azure/Cloud#mstechdays

Scenario OnPremise – Accès depuis l’extérieur

VPN

ADFS / MFAADFS ProxyActive DirectoryRWDC

ADFS / MFAActive Directory

AppFabricWCF/SOAP

SSAS 2012

SQLServer 2012 SharePoint 2013Farm

Web Sites

Firewall/Reverse

Web Sites

SQLServer 2008R2

Page 18: Cloud Hybride, le SSO de bout en bout

démo

Architecture/Azure/Cloud#mstechdays

SCÉNARIO « ON PREMISE »

Accès depuis l’extérieur

Page 19: Cloud Hybride, le SSO de bout en bout

Architecture/Azure/Cloud#mstechdays

Scenario Cloud Hybride ADFS dans Azure

VPN

ADFS / MFAADFS ProxyActive DirectoryRWDC

ADFS / MFAActive Directory

AppFabricWCF/SOAP

SSAS 2012

SQLServer 2012 SharePoint 2013Farm

Web Sites

Firewall/Reverse

Web Sites

SQLServer 2008R2

Page 20: Cloud Hybride, le SSO de bout en bout

démo

Architecture/Azure/Cloud#mstechdays

SCENARIO CLOUD HYBRIDE ADFS DANS AZUREAccès depuis une Application Azure aux ressources à demeure – Authentification avec ADFS sur Azure

Page 21: Cloud Hybride, le SSO de bout en bout

Architecture/Azure/Cloud#mstechdays

Scénario Cloud Hybride WAAD

VPNAppFabricWCF/SOAP

Firewall/Reverse

Page 22: Cloud Hybride, le SSO de bout en bout

démo

Architecture/Azure/Cloud#mstechdays

SCÉNARIO CLOUD HYBRIDE WAADAccès depuis une Application Azure aux ressources à demeure – Authentification avec WAASD

Page 23: Cloud Hybride, le SSO de bout en bout

Architecture/Azure/Cloud#mstechdays

EVOLUTION DES PROTOCOLES

Page 24: Cloud Hybride, le SSO de bout en bout

Architecture/Azure/Cloud#mstechdays

Evolution des protocoles

Reposent sur une grande variété de langages / plates-formes /appareils

Navigateur

Application native

Application serveur

Reposent sur une grande variété de langages / plates-formes

Basic, SAML 2.0, WS-Fed, OpenID Connect

(WS-Trust,) OAuth 2.0

OAuth 2.0

OAuth 2.0

Des protocoles standard fondés sur HTTP pour une portée maximale

Page 25: Cloud Hybride, le SSO de bout en bout

Architecture/Azure/Cloud#mstechdays

Windows Azure Active Directory

NativeApp

OAuth 2.0 authorize endpoint OAuth 2.0 token endpoint

ADAL WebAPI

Windows Identity Foundation

JWT Handler

Web API SP• App ID URI

Native App SP• Client ID• Redirect URI Impersonation

grant

Obtention d’un code d’autorisation OAuth 2

1. Request Auth Code (Client ID, Redirect URI, App ID URI)

2. Sign in

3. Return Auth Code to Redirect URI

User sees web pop up

* Active Directory Authentication Library: client-side helper library that handles UI prompts, protocol, caching.

Page 26: Cloud Hybride, le SSO de bout en bout

Architecture/Azure/Cloud#mstechdays

Windows Azure Active Directory

4. Redeem Auth Code (Auth Code, Client ID, Redirect URI, App ID URI)

NativeApp

OAuth 2.0 authorize endpoint OAuth 2.0 token endpoint

ADAL

5. Return Access Token (JWT*), Refresh Token (JWT*)

6. Send Access Token on AuthZ Header

*JWT = JSON Web Token, a JSON-encoded security token bearing claims.

WebAPI

Windows Identity Foundation

JWT Handler

Web API SP• App ID URI

Native App SP• Client ID• Redirect URI Impersonation

grant

Obtention d’un jeton d’accès JWT

Page 27: Cloud Hybride, le SSO de bout en bout

démo

Architecture/Azure/Cloud#mstechdays

APPLICATION WINDOWS 8 AUTHENTIFIÉE PAR WAAD POUR UN APPEL SUR WEBAPI

Page 28: Cloud Hybride, le SSO de bout en bout

Architecture/Azure/Cloud#mstechdays

CONCLUSION

Page 29: Cloud Hybride, le SSO de bout en bout

Architecture/Azure/Cloud#mstechdays

Des services et technologies pour la mise en place de solutions SSO pour le Cloud Hybride

Fournisseurs d'identitésgrand publicPC et appareils

Windows Server Active Directory

Applis Microsoft

Clouds/hébergement tiers

Applis ISV/CSVApplis métier personnalisées

Page 30: Cloud Hybride, le SSO de bout en bout

Architecture/Azure/Cloud#mstechdays

Ressources Techniques• Scénarios de gestion d’identité dans Azure

– Adding Sign-On to Your Web Application Using Windows Azure AD Web application that uses Windows Azure AD for single sign-on.

– Access Control Service 2.0 Use ACS to authenticate users from Windows Azure AD and other identity providers to your applications and services.

– Developing Multi-Tenant Web Applications with Windows Azure AD Web application that can be used by organizations that have Windows Azure Active Directory.

– Securing a Windows Store Application and REST Web Service Using Windows Azure AD (Preview) Windows Store application that uses a REST web service secured by Windows Azure AD and the Windows Azure Authentication Library.

• Whitepapers Windows Azure Active Directory.– http://www.microsoft.com/en-us/download/

details.aspx?id=36391

• Windows Azure Active Directory Tenant Administration - Learn how to administer your Windows Azure AD directory tenant, such as configuring on-premises integration, creating and managing accounts, and resolving issues with your service.Integrating Applications in Windows Azure Active Directory - Learn how to register and integrate an application with Windows Azure AD.

• Windows Azure Active Directory Authentication Protocols - Learn about the different authentication protocols that you can use to authenticate to Windows Azure AD, including WS-Federation, SAML 2.0, and OAuth 2.0.

• Windows Azure Active Directory Authentication Libraries - Learn about the code libraries you can use to easily authenticate to Windows Azure AD, including the Windows Azure Active Directory Authentication Library (ADAL).

• Authorization with Windows Azure Active Directory - Learn how to use user and group information in Windows Azure Active Directory to manage access to secured resources in your applications and services.

Page 31: Cloud Hybride, le SSO de bout en bout

Architecture/Azure/Cloud#mstechdays

SharePoint 2013 hybrid environments

http://technet.microsoft.com/en-us/library/dn197168.aspx

Page 32: Cloud Hybride, le SSO de bout en bout

© 2014 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

Digital is business