Drive your life.

Active Directory Federation Services

Matthias Gessenay Matthias.gessenay@corporatesoftware.ch

Agenda n  Das Problem n  ADFS: Die Lösung n  Technischer Aufbau n  Demo n  Anwendungsbereiche

2

DAS PROBLEM

3

No Trust n  Trusts sind relativ ungranular n  Trusts sind Server- und nicht Servicebasiert n  Trusts brauchen Poooorts n  Trusts und Webservices sind nicht so smart

4

ACTIVE DIRECTORY FEDERATION SERVICES 2.0

Geneva Framework

5

ADFS n  Gibt es seit Server 2003 n  Hat mit dem Update auf 2.0 (2.1 in Server 2012) ein grosses Update

erfahren n  Modelliert im Prinzip eine beliebige Datenbasis als Authentication

Provider n  Stellt dies als Webservice bereit n  Wir kennen es alle:

o  Windows Live ID o  Facebook o  Usw.

6

ADFS – für den User die Claims-Based Identity n  Analogie: Fliegen (mit Flugzeug)

o  Check-In ist die Authentifizierung n  Credentials werden gezeigt (Pass) n  Und validiert

o  Wir erhalten eine Bordkarte (Signed Claim) n  Sitz usw. n  Kodiert

7

n  2 Begriffe o  Identität

n  Attributset, das einen User beschreibt o  Claim

n  Eine Authorität die sagt, sie kennt das Attribut und den Wert n  Beispiel: Alter

o  Facebook sagt ich bin 25 o  Das zentrale Melderegister sagt, ich bin 35

n  Trust heisst, wem ich glaube n  Daher ist eine Identität ein Set von Claims

8

Mehr als Federation n  Früher war die Federation zwischen zwei Organisationen der Treiber n  Heute hat sich gezeigt: Es ist viel nützlicher n  Live ID, Facebook-ID J n  Bring your own Identity

9

STS – Security Token Service n  Ist ein Webservice, der Security Tokens ausstellt, die die Claims

befördern (die die Identität beschreiben)

10

RP-STS: Relying Party n  Ist eine Applikation, die Claims braucht

o  “Claims aware application”

11

Sign in, so läuft es

12

Externe Domäne n  Mapping läuft auf Gruppen n  Ich habe keine Kontrolle mehr über die Nutzer n  Wichtiger: Ich kann die Userbase nicht mehr durchsuchen n  Ich kann die RPs gut kontrollieren n  Div. Verbindungen sind möglich

13

Frisch von der TechEd: Kerberos Changes in Windows Server 2012 n  There are a number of other changes to Kerberos to enhance day to day

operations o  Increase to the maximum Kerberos SSPI context buffer size o  PAC (Privilege account certificate) group compression o  Warning events for large token sizes o  Increased logging

n  Hot topics for me are claims support and delegation

Adding Claims to the Kerberos Token

PAC

User’s group memberships added to PAC Authorization based on group membership

User Groups

Claims

Device Groups

Claims

Compound ID

PAC contains a user’s group and claims

information +

Device information

Authorization based on group membership, user and device claims

TECHNISCHER HINTERGRUND

16

SAML n  Security Assertion Markup Language (2.0) n  Kann semantisch uneingeschränkte Angaben über einen Benutzer

enthalten n  Microsoft hat es standardkonform implementiert

17

Der Identity Transformer n  ADFS sind auch ein Identity Transformer n  Claims prinzipiell “übersetzbar” in X.509 und Kerberos n  1. Frage: Stammt Claim aus vertrauenswürdiger Source n  2. Frage: Passt das Format n  3. Frage: Übersetzung in das Anwendungsformat

n  Output wäre als Kerberos, aber auch als X.509 denkbar. n  Mit Regeln kann ich Übersetzungen bauen

o  Manager sind bei mir Supervisor

18

BUSINESS VALUE

19

Das ist die Zukunft! n  Man kann die Bedeutung von ADFS kaum überschätzen n  Wenn ich nur den Claim Farbe brauche, fordere ich auch nur den an:

Attribut-Diät n  Servicegedanke statt Servergedanke n  Heute gibt es viele Identitäten, Konvertierbarkeit ist wichtig n  ADFS ist das ADDS von morgen n  Standardkonform

20

DEMO

21

FRAGEN?

22