Download - Philippe BERAUD Consultant Architecte Microsoft France [email protected] Stéphane SAUNIER TSP Sécurité Microsoft France [email protected].

Philippe BERAUDConsultant ArchitecteMicrosoft [email protected]

Stéphane SAUNIERTSP SécuritéMicrosoft [email protected]

ConstatsConstatsDes information sensibles (documents, e-mails, contenu Des information sensibles (documents, e-mails, contenu intranet, etc.) peuvent être divulguées accidentellement ou intranet, etc.) peuvent être divulguées accidentellement ou intentionnellementintentionnellement

http://www.internalmemos.com

Les coûts associés en termes de perte de revenu, Les coûts associés en termes de perte de revenu, d’avantage concurrentiels, de confiance clients peuvent d’avantage concurrentiels, de confiance clients peuvent s’avérer importants’avérer important

« Le vol d’informations propriétaires est la plus grande source « Le vol d’informations propriétaires est la plus grande source de dommages financiers parmi tous les incidents de sécurité »de dommages financiers parmi tous les incidents de sécurité » CSI/FBI Computer Crime and Security SurveyCSI/FBI Computer Crime and Security Survey, , 2001 2001

BesoinsBesoinsProtection permanentes des informations sensiblesProtection permanentes des informations sensibles

Technologie qui soit facilement utilisableTechnologie qui soit facilement utilisable

Technologie qui soit souple, facilement déployable, et Technologie qui soit souple, facilement déployable, et extensibleextensible

Technologie qui aille au-delà du contrôle d’accès et du Technologie qui aille au-delà du contrôle d’accès et du chiffrementchiffrement

Contrôle de l’usageContrôle de l’usage

http://www.internalmemos.com/

Technologie d’infrastructure destinée aux Technologie d’infrastructure destinée aux environnements d’entreprise pour la protection des environnements d’entreprise pour la protection des documents et courrielsdocuments et courriels

N’est pas destinée à la protection de l’audio, vidéo et media en N’est pas destinée à la protection de l’audio, vidéo et media en « streaming »« streaming »

Ne nécessite pas d’infrastructure PKI X.509Ne nécessite pas d’infrastructure PKI X.509RELREL

Certificats/Licences Certificats/Licences XrMLXrML ( (eXtensible Rights Markup LanguageeXtensible Rights Markup Language, , http://www.xrml.org) intégrés et transparents pour l’utilisateur et ) intégrés et transparents pour l’utilisateur et l’administrateurl’administrateur

Permet non seulement le contrôle d’accès à Permet non seulement le contrôle d’accès à l’information, mais surtout le contrôle de l’usage qui en l’information, mais surtout le contrôle de l’usage qui en est faitest fait

Protection de l’information indépendamment d’un périmètreProtection de l’information indépendamment d’un périmètreLa protection est attachée à l’informationLa protection est attachée à l’information

L’auteur/propriétaire définit et applique une politique d’usageL’auteur/propriétaire définit et applique une politique d’usageAttachée à l’informationAttachée à l’information

Indépendant du format des donnéesIndépendant du format des données

Persiste et suit l’informationPersiste et suit l’information

http://www.xrml.org/

2.2. L’application fait un L’application fait un appel au client RMS appel au client RMS pour créer une pour créer une nouvelle sessionnouvelle session

1.1. L’utilisateur tente de L’utilisateur tente de publier ou consommer publier ou consommer un contenuun contenu

1.1. L’utilisateur tente de L’utilisateur tente de publier ou consommer publier ou consommer un contenuun contenu

2.2. L’application fait un L’application fait un appel au client RMS appel au client RMS pour créer une pour créer une nouvelle sessionnouvelle session

Activation de la Activation de la machinemachine

3.3. Le client RMS Le client RMS commence sa commence sa procédure procédure d’initialisation…d’initialisation…

Activation de la Activation de la machinemachine

a.a. Le client RMS génère Le client RMS génère une paire de clés RSA une paire de clés RSA 1024-bit1024-bitb.b. La clé privée est La clé privée est sécurisée par les Crypto sécurisée par les Crypto APIsAPIsc.c. La clé publique est La clé publique est stockée dans le « stockée dans le « Security Security Processor CertificateProcessor Certificate » » (SPC)(SPC)d.d. Le SPC est signé par le Le SPC est signé par le client RMSclient RMS

SPC

Certification du Certification du comptecompte

SPC

a.a. Le client RMS initie une Le client RMS initie une demande de demande de certification au serveur certification au serveur RMS en envoyant le SPCRMS en envoyant le SPC

b.b. L’utilisateur est L’utilisateur est authentifiéauthentifié

DOMAIN\usernameSID

d.d. L’adresse de courriel est L’adresse de courriel est obtenue de l’ADobtenue de l’AD

DOMAIN\[email protected]

e.e. Une paire de clés RSA Une paire de clés RSA 1024-bit est générée et 1024-bit est générée et stockée dans la base de stockée dans la base de données RMSdonnées RMS

SID


SPC

c.c. Le serveur valide le SPCLe serveur valide le SPC


SPC

SPC

f.f. La clé privée de La clé privée de l’utilisateur est chiffrée l’utilisateur est chiffrée avec la clé publique de avec la clé publique de la machinela machine


a.a. Le client RMS initie une Le client RMS initie une demande de demande de certification au serveur certification au serveur RMS en envoyant le SPCRMS en envoyant le SPC

b.b. L’utilisateur est L’utilisateur est authentifiéauthentifié

d.d. L’adresse de courriel est L’adresse de courriel est obtenue de l’ADobtenue de l’AD

e.e. Une paire de clés RSA Une paire de clés RSA 1024-bit est générée et 1024-bit est générée et stockée dans la base de stockée dans la base de données RMSdonnées RMS

c.c. Le serveur valide le SPCLe serveur valide le SPC

RAC


SPC

g.g. Le « Le « Rights Rights Management Account Management Account CertificateCertificate » (RAC) est » (RAC) est créé, l’@ de courriel de créé, l’@ de courriel de l’utilisateur et la clé l’utilisateur et la clé publique y sont ajoutéespublique y sont ajoutéesh.h. Le serveur signe le RACLe serveur signe le RAC

f.f. La clé privée de La clé privée de l’utilisateur est chiffrée l’utilisateur est chiffrée avec la clé publique de avec la clé publique de la machinela machine


SPC

RAC


i.i. Le RAC est retourné au Le RAC est retourné au clientclient

L’utilisateur dispose L’utilisateur dispose maintenant un RAC qu’il maintenant un RAC qu’il peut utiliser pour peut utiliser pour consommer du contenuconsommer du contenu

Pour publier, l’utilisateur a Pour publier, l’utilisateur a encore besoin d’un encore besoin d’un « « Client Licensor Client Licensor CertificateCertificate » (CLC) » (CLC)

g.g. Le « Le « Rights Rights Management Account Management Account CertificateCertificate » (RAC) est » (RAC) est créé, l’@ de courriel de créé, l’@ de courriel de l’utilisateur et la clé l’utilisateur et la clé publique y sont ajoutéespublique y sont ajoutées

h.h. Le serveur signe le RACLe serveur signe le RAC

RAC

Enrôlement du clientEnrôlement du client

a.a. Le client RMS contacte Le client RMS contacte le serveur pour s’enrôler le serveur pour s’enrôler en fournissant son RACen fournissant son RAC

c.c. Il génère une paire de Il génère une paire de clés RSA 1024-bit pour clés RSA 1024-bit pour le CLCle CLC

d.d. La clé privée est chiffrée La clé privée est chiffrée avec la clé publique du avec la clé publique du RACRAC

SPC RAC

b.b. Le serveur valide le RACLe serveur valide le RAC

CLCRAC


e.e. Le CLC est créé Le CLC est créé permettant à permettant à l’utilisateur de publier l’utilisateur de publier de l’informationde l’information

SPC RAC

f.f. Des informations Des informations serveur telles que l’URL serveur telles que l’URL et la clé publique du et la clé publique du serveur sont ajoutées au serveur sont ajoutées au CLCCLC

a.a. Le client RMS contacte Le client RMS contacte le serveur pour s’enrôler le serveur pour s’enrôler en fournissant son RACen fournissant son RAC

c.c. Il génère une paire de Il génère une paire de clés RSA 1024-bit pour clés RSA 1024-bit pour le CLCle CLC

d.d. La clé privée est chiffrée La clé privée est chiffrée avec la clé publique du avec la clé publique du RACRAC

b.b. Le serveur valide le RACLe serveur valide le RAC

CLC


g.g. Le serveur signe le CLCLe serveur signe le CLC

SPC RAC

CLC h.h. Le CLC est retourné au Le CLC est retourné au clientclient

Le client est maintenant Le client est maintenant prêt a publier et prêt a publier et consommer du contenuconsommer du contenu

f.f. Des informations Des informations serveur telles que l’URL serveur telles que l’URL et la clé publique du et la clé publique du serveur sont ajoutées au serveur sont ajoutées au CLCCLC

PublicationPublication

a.a. L’utilisateur crée du L’utilisateur crée du contenu avec une contenu avec une application compatible application compatible RMSRMS

c.c. L’application appelle la L’application appelle la couche RMS cliente pour couche RMS cliente pour publicationpublication

b.b. L’utilisateur précise le L’utilisateur précise le destinataire, les droits destinataire, les droits et les condition de et les condition de publicationpublication

[email protected], printexpire après 30 jours

CLCSPC RAC

c.c. L’L’application appelle la application appelle la couche RMS cliente pour couche RMS cliente pour publicationpublication

PL



d.d. Le client RMS génère Le client RMS génère une clés de chiffrement une clés de chiffrement 128-bit AES,128-bit AES,

e.e. Chiffre le contenu,Chiffre le contenu,

f.f. Et crée une « Et crée une « PublishingPublishing LicenseLicense » (PL) » (PL)

CLCSPC RAC

CLCSPC RAC

f.f. Et crée une « Et crée une « PublishingPublishing LicenseLicense » (PL) » (PL)

PL


g.g. Les droits et la clé de Les droits et la clé de chiffrement sont chiffrés chiffrement sont chiffrés par la clé publique du par la clé publique du serveur inclue dans le serveur inclue dans le CLCCLC

[email protected], printexpire apres 30

jours

h.h. L’URL du serveur est L’URL du serveur est ajoutée a la ajoutée a la PLPL

i.i. La PL est signée par le La PL est signée par le CLCCLC



i.i. La PL est signée par la La PL est signée par la CLCCLCj.j. Le client retourne la PL Le client retourne la PL à l’application.à l’application.

k.k. L’application peut L’application peut maintenant combiner la maintenant combiner la PL avec le contenuPL avec le contenu

PL



Le contenu peut Le contenu peut maintenant être maintenant être distribué !!distribué !!

CLCSPC RAC

Le contenu peut Le contenu peut maintenant être maintenant être distribué !!distribué !!

CLCSPC RAC


[email protected], printexpires 30 days

Le document est distribué Le document est distribué aux destinataires comme aux destinataires comme n’importe quel documentn’importe quel document

Imaginons que la machine Imaginons que la machine du destinataire soit déjà du destinataire soit déjà initialiséeinitialiséeLe destinataire a besoin Le destinataire a besoin d’une licence pour d’une licence pour accéder au documentaccéder au document

CLCSPC RAC

a.a. Le destinataire ouvre le Le destinataire ouvre le document dans une document dans une application compatible application compatible RMSRMS

Acquisition de licenceAcquisition de licence

b.b. L’application invoque la L’application invoque la couche client RMS pour couche client RMS pour obtenir une licence obtenir une licence d’utilisationd’utilisation


c.c. Le client RMS envoie la PL Le client RMS envoie la PL et la RAC au serveur RMSet la RAC au serveur RMS

RAC

d.d. Le serveur valide la RAC Le serveur valide la RAC et la PLet la PL

e.e. Les données de la PL sont Les données de la PL sont déchiffréesdéchiffrées



CLCSPC RAC

RAC



f.f. Si le contenu a été publié Si le contenu a été publié pour un groupe, le pour un groupe, le serveur vérifie serveur vérifie l’appartenance au groupe l’appartenance au groupe dans l’ADdans l’AD


g.g. Si l’identité dans le RAC Si l’identité dans le RAC correspond à la PL, le correspond à la PL, le serveur commence a serveur commence a construire une « construire une « Using Using LicenseLicense » (UL) » (UL)

e.e. Les données de la PL sont Les données de la PL sont déchiffréesdéchiffrées

h.h. Les droits sont écrits dans Les droits sont écrits dans l’ULl’UL

CLCSPC RAC


[email protected], printexpire après 30

jours


RAC



i.i. La clé de chiffrement du La clé de chiffrement du contenu est chiffrée par contenu est chiffrée par la RACla RAC


j.j. Puis ajoutée à l’ULPuis ajoutée à l’UL

h.h. Les droits sont écrits dans Les droits sont écrits dans l’ULl’UL

j.j. L’UL est retournée au L’UL est retournée au clientclient

k.k. L’UL est signée par le L’UL est signée par le serveurserveur

CLCSPC RAC



CLCSPC RAC

Le destinataire peut Le destinataire peut maintenant consommer le maintenant consommer le contenu !!contenu !!


i.i. La clé de chiffrement du La clé de chiffrement du contenu est chiffrée par contenu est chiffrée par le RACle RAC

j.j. Puis ajoutée à l’ULPuis ajoutée à l’UL

h.h. Les Les droits sont écrits dans droits sont écrits dans l’ULl’UL

l.l. L’UL est retournée au L’UL est retournée au clientclient

k.k. L’UL est signée par le L’UL est signée par le serveurserveur


Accès au contenuAccès au contenu


SPC RAC CLC

SPC UL


RAC


SPC UL


RAC

b.b. Le client RMS utilise le Le client RMS utilise le certificat du « certificat du « Security Security Processor Processor » pour » pour déchiffrer la clé privée du déchiffrer la clé privée du RACRAC

a.a. L’application invoque la L’application invoque la couche client RMS Client couche client RMS Client pour déchiffrer le contenupour déchiffrer le contenu

c.c. La clé privée du RAC La clé privée du RAC déchiffre la clé de déchiffre la clé de chiffrement du contenuchiffrement du contenu


SPC UL


RAC

d.d. Le client RMS déchiffre le Le client RMS déchiffre le contenucontenu

c.c. LaLa clé privée du RAC clé privée du RAC déchiffre la clé de déchiffre la clé de chiffrement du contenuchiffrement du contenu

e.e. L’application affiche le L’application affiche le contenu et applique les contenu et applique les restrictions associée au restrictions associée au documentdocument

La protection de l’information est importante pour La protection de l’information est importante pour les communications internesles communications internes

La protection de l’information est La protection de l’information est critiquecritique pour les pour les communications externescommunications externes

A. A. DatumDatum a déployé une infrastructure RMS pour a déployé une infrastructure RMS pour protéger ses propriétés intellectuelles en interneprotéger ses propriétés intellectuelles en interne

ContosoContoso est un fournisseur d’ est un fournisseur d’A. DatumA. Datum

Dans le cadre de la collaboration avec Contoso, A. Dans le cadre de la collaboration avec Contoso, A. DatumDatum souhaite protéger avec RMS le contenu partagé avec les souhaite protéger avec RMS le contenu partagé avec les collaborateurs Contosocollaborateurs Contoso

Bibliothèques de documents SharePoint, sites Intranet, etc.Bibliothèques de documents SharePoint, sites Intranet, etc.

Comment je m’identifie (et j’identifie/authentifie un Comment je m’identifie (et j’identifie/authentifie un collaborateur Contoso) ?collaborateur Contoso) ?

Etablir une relation de Etablir une relation de confiance RMSconfiance RMS

Etablir une relation de Etablir une relation de confiance RMSconfiance RMS

Créer des comptes séparé dans Créer des comptes séparé dans l’AD internel’AD interneCréer des comptes séparé dans Créer des comptes séparé dans l’AD internel’AD interne

UtiliserUtiliser Microsoft Microsoft Passport/Windows Live IDPassport/Windows Live IDUtiliserUtiliser Microsoft Microsoft Passport/Windows Live IDPassport/Windows Live ID

Déployer un AD Déployer un AD distinct en distinct en

ExtranetExtranet

Déployer un AD Déployer un AD distinct en distinct en

ExtranetExtranet

Collaboration externeCollaboration externeCollaboration externeCollaboration externe

RMS supporte les scénarios B2B au travers des RMS supporte les scénarios B2B au travers des relations de confiance RMSrelations de confiance RMS

Deux types de relation de confiance peuvent être établiesDeux types de relation de confiance peuvent être établiesUse TrustUse Trust

Le server RMS A. Datum voit les RACs utilisateurs émise par le Le server RMS A. Datum voit les RACs utilisateurs émise par le serveur RMS Contoso comme valideserveur RMS Contoso comme valide

Importation de la clé publique Contoso (SLC)Importation de la clé publique Contoso (SLC)

Publish TrustPublish TrustLe server RMS A. Datum peut accorder des ULs pour du contenu Le server RMS A. Datum peut accorder des ULs pour du contenu protégé par le serveur RMS Contosoprotégé par le serveur RMS Contoso

Importation de la clé privée ContosoImportation de la clé privée Contoso

Les relations de confiance RMS supposent une infrastructure Les relations de confiance RMS supposent une infrastructure de part et d’autre (A. Datum et Contoso)de part et d’autre (A. Datum et Contoso)

Les collaborateurs A. Datum peuvent protéger du contenu et Les collaborateurs A. Datum peuvent protéger du contenu et en conférer des permissions d’usage aux collaborateurs en conférer des permissions d’usage aux collaborateurs ContosoContoso

Les relations de confiance RMS sont établies hors Les relations de confiance RMS sont établies hors ligneligne

SLC et SLC et clé privée (dans clé privée (dans Publish Trust) Publish Trust) échangéséchangés OOB OOB

©Microsoft Confidential 2005. All rights reserved.

1. Le SLC est 1. Le SLC est exporté depuis exporté depuis le serveur RMSle serveur RMS

6. Le destinataire 6. Le destinataire obtient un RAC obtient un RAC du serveur RMSdu serveur RMS

2. Le SLC est transmis OOB à l’administrateur de l’entreprise 2. Le SLC est transmis OOB à l’administrateur de l’entreprise partenairepartenaire

3. Le SLC 3. Le SLC est importé est importé dans le dans le serveur serveur RMS pour RMS pour établir le établir le Use TrustUse Trust

5. Le contenu est transmis à 5. Le contenu est transmis à l’utilisateur de l’entreprise l’utilisateur de l’entreprise partenaire RMSpartenaire RMS4. L’utilisateur protège un 4. L’utilisateur protège un

contenu avec le CLC émis par contenu avec le CLC émis par le serveur RMSle serveur RMS

8. Le serveur 8. Le serveur RMS valide le RMS valide le RAC et traite RAC et traite la requête ULla requête UL 7. La requête UL est envoyée 7. La requête UL est envoyée

avec le RACavec le RAC

9. L’UL est 9. L’UL est retournée au retournée au clientclient

Serveur de Serveur de certification RMScertification RMS

Serveur de Serveur de licences RMSlicences RMS

Relation de confianceRelation de confianceA. Datum A. Datum CorporationCorporation

Contoso, Inc.Contoso, Inc.

ContosoContoso ne dispose pas forcément d’une ne dispose pas forcément d’une infrastructure RMSinfrastructure RMS

A.DatumA.Datum ne souhaite pas obligatoirement créer et ne souhaite pas obligatoirement créer et gérer des comptes pour la collaboration avec gérer des comptes pour la collaboration avec ContosoContoso

A.DatumA.Datum ne souhaite pas vraiment reposer sur ne souhaite pas vraiment reposer sur Windows Live IDWindows Live ID

Etablir un cadre de confiance une fois entre Etablir un cadre de confiance une fois entre A.DatumA.Datum et Contosoet Contoso

Le réutiliser pour de multiples applicationsLe réutiliser pour de multiples applicationsAccès aux bibliothèques Accès aux bibliothèques SharePoint, sites Intranet, etc. SharePoint, sites Intranet, etc. d’Ad’A.Datum.Datum

Les utilisateurs de Contoso peuvent consommer un Les utilisateurs de Contoso peuvent consommer un contenu A. Datum protégé par RMScontenu A. Datum protégé par RMS

Les utilisateurs de Contoso peuvent produire un Les utilisateurs de Contoso peuvent produire un contenu protégé par RMS pour A. Datum contenu protégé par RMS pour A. Datum

Les comptes utilisateur de Contoso sont directement Les comptes utilisateur de Contoso sont directement gérés par Contosogérés par Contoso

Aucun impact en terme de gestion du cycle de vie de Aucun impact en terme de gestion du cycle de vie de l’identitél’identité

Fournir des mécanismes d’authentification et Fournir des mécanismes d’authentification et d’autorisation distribuésd’autorisation distribués

Permettre aux clients, partenaires, fournisseurs, Permettre aux clients, partenaires, fournisseurs, collaborateurs un accès sécurisé et contrôlé aux applications collaborateurs un accès sécurisé et contrôlé aux applications web situées hors de leur forêt Active Directoryweb situées hors de leur forêt Active Directory

Projeter l’identité utilisateur sur la base d’une Projeter l’identité utilisateur sur la base d’une première ouverture de sessionpremière ouverture de session

Etendre le périmètre d’utilisation d’Active DirectoryEtendre le périmètre d’utilisation d’Active Directory

Connecter les « îles » ( à travers les frontières des Connecter les « îles » ( à travers les frontières des plateformes, organisationnelles ou de sécurité)plateformes, organisationnelles ou de sécurité)

Permettre la mise en place de solutions de Web SSO Permettre la mise en place de solutions de Web SSO ainsi qu’une gestion simplifiée des identitésainsi qu’une gestion simplifiée des identités

Dans Windows Server 2003 (R2)Dans Windows Server 2003 (R2)Federation ServiceFederation Service (FS) (FS)

Service de jetons de sécuritéService de jetons de sécurité

Active Directory ou Active Directory Application Mode (AD/AM) Active Directory ou Active Directory Application Mode (AD/AM) comme référentiel d’identitécomme référentiel d’identité

Authentification des utilisateursAuthentification des utilisateurs

Gestion des attributs utilisés pour fournir l’information d’identitéGestion des attributs utilisés pour fournir l’information d’identité

Gestion des politiques de confiance de fédérationGestion des politiques de confiance de fédération

Federation Service ProxyFederation Service Proxy (FS-P) (FS-P) Proxy client pour les demandes de jetonsProxy client pour les demandes de jetons

Web Server SSO Agent (Web Server SSO Agent (Agent SSOAgent SSO))Agent d’authentificationAgent d’authentification

S’assure de l’authentification utilisateurS’assure de l’authentification utilisateur

Constitue le contexte utilisateur d’autorisationConstitue le contexte utilisateur d’autorisation

« Projection » des identités Active Directory dans « Projection » des identités Active Directory dans d’autres royaumes de sécuritéd’autres royaumes de sécurité

Relation de Relation de confianceconfiance

A. Datum A. Datum CorporationCorporation


FS-RFS-R FS-AFS-A

Émission de jetons de sécuritéÉmission de jetons de sécuritéGestion de Gestion de

la confiance – Clésla confiance – Clésla sécurité – Jetonsla sécurité – Jetons/Claims/Claims nécessairesnécessairesla confidentialité -- la confidentialité -- JetonsJetons/Claims/Claims autorisés autorisésl’audit -- Identités , autoritésl’audit -- Identités , autorités

Espace de noms Espace de noms privéprivé

A. Datum Corp.A. Datum Corp.

Espace de noms Espace de noms privéprivé


6. 6. Le client est Le client est redirigé vers FS-R redirigé vers FS-R pour pour authentificationauthentification

1. Un contenu protégé par RMS est 1. Un contenu protégé par RMS est transmis à un utilisateur de transmis à un utilisateur de l’entreprise partenaire RMSl’entreprise partenaire RMS

2. Le serveur RMS est 2. Le serveur RMS est contactécontacté pour obtenir un RACpour obtenir un RAC

4. Le client est 4. Le client est redirigé vers FS-Rredirigé vers FS-R

Serveur RMSServeur RMS

Relation de Relation de confianceconfiance

A. Datum A. Datum CorporationCorporation


FS-RFS-R FS-AFS-A

5. Le client est redirigé 5. Le client est redirigé vers FS-A pour vers FS-A pour authentificationauthentification

3. L’agent 3. L’agent WebSSOWebSSO ADFS ADFS intercepte la intercepte la requêterequête

7. Le client est 7. Le client est redirigé vers le redirigé vers le serveur RMSserveur RMS

8. L’agent 8. L’agent WebSSOWebSSO ADFS ADFS intercepte la intercepte la requête, requête, vérifie vérifie l’authentificatil’authentification et on et transmet la transmet la requête au requête au server RMSserver RMS

9. Le serveur RMS retourne le RAC 9. Le serveur RMS retourne le RAC au clientau client

SPC RAC CLC SPC RAC CLC

41

Contoso Contoso Client RMSClient RMS

ContosoContosoFS-AFS-A

A.DatumA.DatumServeur RMS Serveur RMS

A.DatumA.DatumFS-RFS-R

Découverte du domaine d’origne du clientDécouverte du domaine d’origne du client

Redirection vers le FS-A Contoso Redirection vers le FS-A Contoso

Identification/AuthentificationIdentification/Authentification

Redirection vers le FS-R A.Datum avec un jeton d’authentification Redirection vers le FS-R A.Datum avec un jeton d’authentification A.DatumA.Datum

Redirection vers le serveur RMS avec un jeton d’autorisation ContosoRedirection vers le serveur RMS avec un jeton d’autorisation Contoso

Certification du clientCertification du client

Demande de certification au serveur RMS Demande de certification au serveur RMS A.DatumA.Datum

Redirection vers le FS-R A.Datum Redirection vers le FS-R A.Datum

GET https://rms.adatum.com/GET https://rms.adatum.com/__wmcswmcs HTTP/1.1 HTTP/1.1HTTP/1.1 302 Found HTTP/1.1 302 Found Location: https://fs-r.adatum.com/adfs/ls?wa=wsignin1.0&wreply=https://rms.adatum.com/Location: https://fs-r.adatum.com/adfs/ls?wa=wsignin1.0&wreply=https://rms.adatum.com/_wmcs&wct=2007-02-03T19:06:21Z _wmcs&wct=2007-02-03T19:06:21Z GET https://fs-r.adatum.com/adfs/ls?wa=wsignin1.0&wreply=https://rms.adatum.com/GET https://fs-r.adatum.com/adfs/ls?wa=wsignin1.0&wreply=https://rms.adatum.com/_wmcs&wct=2007-02-03T19:06:21Z HTTP/1.1_wmcs&wct=2007-02-03T19:06:21Z HTTP/1.1

HTTP/1.1 302 Found HTTP/1.1 302 Found Location: https://fs-a.contoso.com/adfs/ls?wa=wsignin1.0&wreply=https://fs-r.adatum.com/adfs/Location: https://fs-a.contoso.com/adfs/ls?wa=wsignin1.0&wreply=https://fs-r.adatum.com/adfs/ls&wctx= https://rms.adatum.com/_wmcs&wct=2007-02-03T19:06:22Z&wtrealm=adatum.comls&wctx= https://rms.adatum.com/_wmcs&wct=2007-02-03T19:06:22Z&wtrealm=adatum.comGETGET https://fs-a.contoso.com/adfs/ls?wa=wsignin1.0&wreply=https://fs-r.adatum.com/adfs/https://fs-a.contoso.com/adfs/ls?wa=wsignin1.0&wreply=https://fs-r.adatum.com/adfs/ls&wctx= https://rms.adatum.com/_wmcs&wct=2007-02-03T19:06:22Z&wtrealm=adatum.com ls&wctx= https://rms.adatum.com/_wmcs&wct=2007-02-03T19:06:22Z&wtrealm=adatum.com HTTP/1.1

HTTP/1.1 200 OKHTTP/1.1 200 OK. . .. . .<html xmlns="https://www.w3.org/1999/xhtml"><html xmlns="https://www.w3.org/1999/xhtml"><head><head><title>Working...</title><title>Working...</title></head></head><body><body><form method="post" action="https://fs-r.adatum.com/adfs/ls"><form method="post" action="https://fs-r.adatum.com/adfs/ls"> <input type="hidden" name="wa" value="wsignin1.0" /><input type="hidden" name="wa" value="wsignin1.0" /> <input type="hidden" name="wctx" value="https://rms.adatum.com/_wmcs" /><input type="hidden" name="wctx" value="https://rms.adatum.com/_wmcs" /> <input type="hidden" name="wresult" <input type="hidden" name="wresult" value="<RequestSecurityTokenResponse>...</RequestSecurityTokenResponse>value="<RequestSecurityTokenResponse>...</RequestSecurityTokenResponse>" />" /> <button type="submit">POST</button> support javascript --></form></form><script type="text/javascript"><script type="text/javascript"> setTimeout('document.forms[0].submit()', 0);setTimeout('document.forms[0].submit()', 0);</script></script></body></body></html></html>

POST https://fs-r.adatum.com/adfs/ls HTTP/1.1 POST https://fs-r.adatum.com/adfs/ls HTTP/1.1 ……. . . . . . wa=wsignin1.0 wa=wsignin1.0 wctx=https://rms.adatum.com/_wmcswctx=https://rms.adatum.com/_wmcswresult=<RequestSecurityTokenResponse>...</RequestSecurityTokenResponse>wresult=<RequestSecurityTokenResponse>...</RequestSecurityTokenResponse>

HTTP/1.1 200 OKHTTP/1.1 200 OK. . .. . .<html xmlns="https://www.w3.org/1999/xhtml"><html xmlns="https://www.w3.org/1999/xhtml"><head><head><title>Working...</title><title>Working...</title></head></head><body><body><form method="post" action="https://rms.adatum.com/_wmcs"><form method="post" action="https://rms.adatum.com/_wmcs"><p><p><input type="hidden" name="wa" value="wsignin1.0" /><input type="hidden" name="wa" value="wsignin1.0" /><input type="hidden" name="wresult" <input type="hidden" name="wresult" value="<RequestSecurityTokenResponse>...</RequestSecurityTokenResponse>value="<RequestSecurityTokenResponse>...</RequestSecurityTokenResponse>" />" /><button type="submit">POST</button> javascript --></p></p></form></form><script type="text/javascript"><script type="text/javascript">setTimeout('document.forms[0].submit()', 0);setTimeout('document.forms[0].submit()', 0);</script></script></body></body></html></html>

POST https://rms.adatum.com/_wmcs HTTP/1.1 POST https://rms.adatum.com/_wmcs HTTP/1.1 ... ... wa=wsignin1.0 wa=wsignin1.0 wresult=<RequestSecurityTokenResponse>...</RequestSecurityTokenResponse>wresult=<RequestSecurityTokenResponse>...</RequestSecurityTokenResponse>

Modifications au niveau du client RMSModifications au niveau du client RMSLe client RMS suit les redirections ADFSLe client RMS suit les redirections ADFS

Le client fournit l’information du domaine d’origine au Le client fournit l’information du domaine d’origine au serveur de fédération dans la serveur de fédération dans la query stringquery string

Nouveau type d’identification au-delà de Windows et de Nouveau type d’identification au-delà de Windows et de Passport/WindowsPassport/Windows Live ID Live ID

Modification au niveau du serveur RMSModification au niveau du serveur RMSApplication « Application « Claims-awareClaims-aware » »

Nouvelles Nouvelles vrootsvrootsCertification externe, Certification externe, LicensingLicensing externe externe

Côté Côté A.DatumA.Datum - Ressources - RessourcesUne infrastructure RMS opérationnelles avec toutes ses Une infrastructure RMS opérationnelles avec toutes ses dépendancesdépendances

Un serveur de fédération ADFSUn serveur de fédération ADFSWindows Server 2003 R2 ou Windows Server “Longhorn”Windows Server 2003 R2 ou Windows Server “Longhorn”

SSL activé sur les nouvelles vroots RMS et sur le serveur de SSL activé sur les nouvelles vroots RMS et sur le serveur de fédérationfédération

Côté Contoso - ComptesCôté Contoso - ComptesUn serveur de fédération ADFSUn serveur de fédération ADFS

Windows Server 2003 R2 ou Windows Server “Longhorn”Windows Server 2003 R2 ou Windows Server “Longhorn”

SSL activé sur le serveur de fédération SSL activé sur le serveur de fédération

Clé de registre Clé de registre Home Realm Discovery Home Realm Discovery sur les machines sur les machines clientclient

Gestion de l'identité dans Windows Server 2003 R2 Gestion de l'identité dans Windows Server 2003 R2 http://www.microsoft.com/france/windows/http://www.microsoft.com/france/windows/windowsserver2003/R2/identite.mspxwindowsserver2003/R2/identite.mspx

Introduction à ADFSIntroduction à ADFShttp://www.microsoft.com/france/windows/http://www.microsoft.com/france/windows/windowsserver2003/webcasts/intro_adfs.mspxwindowsserver2003/webcasts/intro_adfs.mspx

ADFS Pas à PasADFS Pas à Pashttp://www.microsoft.com/downloads/details.aspx?http://www.microsoft.com/downloads/details.aspx?familyid=062F7382-A82F-4428-9BBD-familyid=062F7382-A82F-4428-9BBD-A103B9F27654&displaylang=fr A103B9F27654&displaylang=fr

S’informer S’informer - Un portail d’informations, des - Un portail d’informations, des événements, une newsletter bimensuelle événements, une newsletter bimensuelle personnaliséepersonnalisée

Se former - Se former - Des webcasts, des articles techniques, des Des webcasts, des articles techniques, des téléchargements, des forums pour échanger avec vos téléchargements, des forums pour échanger avec vos pairspairs

Bénéficier de services - Bénéficier de services - Des cursus de formations et Des cursus de formations et de certifications, des offres de support techniquede certifications, des offres de support technique

Visual Studio 2005 +Visual Studio 2005 +

Abonnement Abonnement MSDN MSDN Premium Premium

Abonnement Abonnement TechNet TechNet Plus :Plus :

Versions d’éval + 2 incidents Versions d’éval + 2 incidents supportsupport