In Sammlung (en) In der gespeicherten
  1. Keine Kategorie

Windows Azure PaaS

Werbung 
| Basel
Federated Identities und
SSO mit Windows Azure
Tom Hofmann
Cambridge Technology Partners
Tom Hofmann / Senior Consultant
Identity and Access Managment
Identity Federation and SSO
Cloud Security
Public Key Infrastructure
Mobile Device Management / BYOD
Ein Überblick
Identity Federation
Agenda
Federation & Azure
Use Cases
| Basel
Ein Überblick
Wo stehen wir heute?
o
Einmaliges anmelden
o
SingleSignOn durch Kerberos
o
Authorisierung via AD Gruppen
o
Lokales Identity and Access Management
Neue Anforderungen
o Cloud Services
o Mobile Devices
o Wachsende Zusammenarbeit
(Identity Federation)
o Mobilität und Vernetzung
und neue Herausforderungen
o User und Account Management (3rd Parties in meinem AD?)
o Umgang mit mobilen Endgeräten
o Sicherheit
wo liegen meine Userinformationen? welche
Passwordrichtlinien gelten? Auditing? Logging?
o Integration der Cloud Dienste
o SingleSignOn, unabhängig von Gerät, Dienst und Lokation
o Öffnung hin zu sozialen Diensten (Facebook, Yahoo, Google,
etc.)
benötigen neue Lösungen
Cambridge Technology Partners entwickelt eine Testplatform
in der Cloud, solutions-for-clouds.ch
o 100% Cloud basierend (IaaS, PaaS, SaaS)
o Integration unterschiedlichster Cloud Dienste
o Unterstützung neuer form factor devices
(Smartphones, Tablets)
o
solutions-for-clouds.ch
o
o
o
o
o
o
Implementation einer virtualisierten Firmeninfrastruktur mit
Windows Azure IaaS
AD FS als Cloud Service mit Windows Azure PaaS
Integration der UC Struktur via Office 365 SaaS
Vollständige DNS Integration
Erweiterung durch 3rd Party SaaS Angebote
Mobile Device Unterstützung
Architekturübersicht
Microsoft Azure
Virtual Network
Active Directory DS
Public Key
Infrastructure
Trust
SharePoint
2013
Foundation
AD FS
Server 2012
DirSync
Office365
Trust
AD FS
Server 2012R2
Virtual Loadbalancer
Trust
SAP
Salesforce.com
Azure Überblick
Hands on
| Basel
Ein Einstieg
Identity Federation
Was ist Identity Federation
o
o
o
o
o
o
1 digitale Identität für beliebig viele Anwendungen
Unabhängig davon wo bzw. durch wen die Anwendung
betrieben wird.
SingleSignOn Funktionalität
Einbindung der Identitäten von Partnern und Kunden
Einbindung sozialer Identitäten (Facebook, Google, etc.)
Nutzung unterschiedlicher Protokolle (SAML, WS-*, OpenID)
Wie funktioniert Federation?
App (Reliying Party)
User
Federation Service
1 Access request
3 Redirect user to federation service
2 Unauthenticated user
4 Get federation login page
5 Present user forms based login
6 Send user credentials
8 Send user information
9 Build claim and send it to user
10 Send token to relaying party
12 Grant access to user
7 Verify credentials
11 Verify token
AD
Ein Beispiel
Authentifizierungsflow zwischen
Client, Federation Service und SharePoint
Ausgestelltes SAML Token
mit UPN, emailadress und role claims
Features durch Identity Federation
o Trennung Applikation und Authentisierung
o Standortunabhängig (on-premise, cloud, partner)
o Anwendungsspezifische Informationen (Claims)
o Flexibilität innerhalb der Claims (AD, SQL, Custom Store)
o Unabhängig vom Identity Provider (AD, Facebook, Google)
o Credentials werden nicht exponiert, sondern bleiben
innerhalb der Firma
o Keine 3rd Party Software benötigt
o Device unabhänig (Laptops, Tablets, Mobiles)
| Basel
Der Federation Service mit solutions-for-clouds.ch
Federation & Azure
Federation Service & Azure
o Federation Service werden über eine
URL eindeutig identifizierbar
(login.sts.solutions-for-clouds.ch)
o CNAME der Firmendomain enthält
pointer auf den Azure Cloud Service
(-> solutions-sts.cloudapp.net)
o 2 unabhängige AD FS Server mit
lokaler Datenbank (1x Server 2012, 1x
Server 2012R2 Preview)
o Beide Server werden durch den Azure
eigenen Load Balancer verwaltet
Die Vorteile...
o
o
o
o
o
o
o
o
Eine Federation URL, ein Cloud Service, many servers
Extrem hohe Verfügbarkeit
Flexibilität (einfacher Ausbau der Farm)
Skalierbarkeit (Scale by metric, scale by schedule)
Easy to use Pre-Production Umgebung
Einbindung weiterer PaaS Dienste (SQL Server)
PowerShell management (config, backup, restore)
Lokale Integration mit Hybrid Cloud Szenarien
Federation as Cloud
Service
Hands on
| Basel
Use Cases
Federation mit “traditionellen” Geräten
FedAuth
Zugriff auf eine lokale SharePoint app
o Initialer request
o Redirect an den Federation Service
o Verifizierung der Credentials und Erstellung des
Tokens
o Token wird an den SharePoint internen STS
übergeben
o Der STS erstellt das FedAuth Cookie und
leitet den Browser auf die ursprünglich
angeforderte Seite
SharePoint
STS
Active Directory
Verify Credentials and
gather information
ADFS
ADFS
SharePoint 2013
Foundation
Virtual Loadbalancer
Return SAML token
Redirect for
authentication
Initial Request
Portal App
Federation SSO mit SaaS Applikationen
SingleSignOn über mehrere Anwendung und
Provider hinweg
o Initialer request
o Redirect an den Federation Service, zusammen
mit den MSISAuth und MSISAuthenticated
Cookies zur Validierung
o ADFS prüft die Gültigkeit der Session und den
Identifier der anfragenden Applikation (wtrealm)
o Anhand der Claim Rules wird das neue,
anwendungsspezifische Token erstellt
o Der Client schickt das Token an die Applikation
und erhält Zugriff
Active Directory
Retrieve app specific
informations
ADFS
Office365
ADFS
Session validation
Virtual Loadbalancer
Return SAML token
Provide cookies
Initial Request
SAP
Salesforce
Federation mit Social IdPs
Redirect user to
Google login page
Zugriff auf die SP Portal app wird über den lokalen ADFS gesteuert:
o
o
o
o
o
o
o
o
o
o
Initialer request
Redirect an den Federation Service
User wählt «Social IdPs» auf der HomeRealmDiscovery Seite des
ADFS
Redirect auf die HomeRealmDiscovery Seite des Windows Azure
Access Control Service
User wählt Google als IdP
Login mit Google Credentials
Google erstellt ein OpenID Token, welches an Azure ACS
zurückgeliefert wird
Azure ACS erhält das OpenID Token, evaluiert mögliche Claim
Rules und erstellt ein neues SAML Token an den ADFS Server
Das ADFS Token wird an den SharePoint internen STS übergeben
Der STS erstellt das FedAuth Cookie und
leitet den Browser auf die ursprünglich angeforderte Seite
FedAuth
SharePoint
STS
OpenID token
Access Control Service
SharePoint 2013
Foundation
ACS SAML token
ADFS
Redirect user to ACS
HomeRealmDiscovery
ADFS SAML token
Redirect for
authentication
Initial Request
Portal App
Federation mit mobile devices
FedAuth
Zugriff auf Applikationen via Federation über mobile
devices (WLAN, 4G, 3G, etc.)
o Initialer request durch Browser app
o Redirect an den Federation Service
o Verifizierung der Credentials und Erstellung des
Tokens
o Token wird an den SharePoint internen STS
übergeben
o Der STS erstellt das FedAuth Cookie und
leitet den Browser auf die ursprünglich
angeforderte Seite
o SSO Funktionalität ist ebenfalls gegeben
SharePoint
STS
Active Directory
Verify Credentials and
gather information
ADFS
ADFS
SharePoint 2013
Foundation
Virtual Loadbalancer
Return SAML token
Redirect for
authentication
Initial Request
Portal App
Federation mit mobile apps
Zugriff auf Applikationen via native mobile apps.
Office365 mit OWA und SkyDrivePro for iOS.
o App prüft beim start cached credentials
o Redirect an den Federation Service zur
Authentifizierung
o Verifizierung der Credentials und Erstellung des
Tokens
o Zustellung des Tokens an die App
o Überprüfen des Tokens und Zugriffsvalidierung
o Ablage der Zugangsinformationen im lokalen
App Cache für SingleSignOn
Active Directory
Verify Credentials and
gather information
ADFS
ADFS
Virtual Loadbalancer
Return SAML token
Redirect for
authentication
Send token
Zusammenfassung
o
Heutige Anforderungen und Herausforderungen durch die Cloud
o
Ein Einblick, was ist Federation
o
Welche Möglichkeiten bieten sich für solche Dienste in Verbindung
mit Windows Azure
o
Integration von mobilen Endgeräten
o
Einbindung sozialer Identitäten
Q&A
Vielen Dank für Ihr
Interesse
Für Fragen und weitere Informationen
[email protected]
vCard
Zugehörige Unterlagen
System Engineers
System Engineers
Imperva Incapsula ab sofort im Microsoft Azure - Profil
Imperva Incapsula ab sofort im Microsoft Azure - Profil
70-583 - PRO: Windows Azure Application Designing and Developing
70-583 - PRO: Windows Azure Application Designing and Developing
NET Software Entwickler u. Architekt JAVA Software Entwickler u
NET Software Entwickler u. Architekt JAVA Software Entwickler u
(Webserver/Sharepoint) in Berlin
(Webserver/Sharepoint) in Berlin
PowerPoint-Präsentation
PowerPoint-Präsentation
SharePoint – Wir suchen mehrere Mitarbeiter für Administration
SharePoint – Wir suchen mehrere Mitarbeiter für Administration
2016-014 Windows-Administrator (m_w)
2016-014 Windows-Administrator (m_w)
SharePoint / .NET Entwickler (m/w)
SharePoint / .NET Entwickler (m/w)
CSI GER-Hamburg 1988
CSI GER-Hamburg 1988
Kostenloses Datenblatt - Intershop Communications AG
Kostenloses Datenblatt - Intershop Communications AG
Wachstum sichern – Textblöcke - Smart Partner Marketing
Wachstum sichern – Textblöcke - Smart Partner Marketing
Herunterladen
Werbung