InfoCard, sélecteur d'identité dans un méta- système d'identité Philippe Beraud Consultant Principal Microsoft France

InfoCard, sélecteur d'identité dans un méta-système d'identité

InfoCard, sélecteur d'identité dans un méta-système d'identité

Philippe BeraudConsultant Principal

Microsoft France

Identité sur l’Internet aujourd’hui

L’Internet s’est construit sans fournir les moyens de connaître L’Internet s’est construit sans fournir les moyens de connaître sur QUI et QUOI vous êtes en train de vous connectersur QUI et QUOI vous êtes en train de vous connecter

Les menaces vis-à-vis de la sécurité en ligne ne cessent de Les menaces vis-à-vis de la sécurité en ligne ne cessent de croîtrecroître

Vol d’identité: phishing, pharming, fraudes, etc.Vol d’identité: phishing, pharming, fraudes, etc.

« Fatigue » des mots de passe« Fatigue » des mots de passe

Considérations relatives au respect de la vie privéeConsidérations relatives au respect de la vie privée

Nous avons oublié la « Couche Identité » pour l’InternetNous avons oublié la « Couche Identité » pour l’Internet

Tout ce qui est actuellement en service peut être considéré Tout ce qui est actuellement en service peut être considéré comme un contournementcomme un contournement

Aucune solution simpliste n’est réalisteAucune solution simpliste n’est réaliste

La résolution du problème de l’identité bénéficie à chacun – y La résolution du problème de l’identité bénéficie à chacun – y compris Microsoft - et cela est essentiel si nous voulons libérer compris Microsoft - et cela est essentiel si nous voulons libérer le potentiel des services de Weble potentiel des services de Web

Les leçons tirées de Passport

Passport a été conçu pour résoudre deux problèmesPassport a été conçu pour résoudre deux problèmesFournisseur d’identité sur MSNFournisseur d’identité sur MSN

+250 millions d’utilisateurs, 1 milliard de logons par jour+250 millions d’utilisateurs, 1 milliard de logons par jour

Fournisseur d’identité sur InternetFournisseur d’identité sur InternetUn échecUn échec

La leçon : la solution aux problèmes de la gestion des La leçon : la solution aux problèmes de la gestion des identités doit être différente de Passportidentités doit être différente de Passport

Méta-système d’identité

Nous avons besoin d’un « méta-système d’identité » pourNous avons besoin d’un « méta-système d’identité » pourProtéger et isoler les applications de la complexité de l’identitéProtéger et isoler les applications de la complexité de l’identité

Permettre aux utilisateurs d’utiliser leur(s) identité(s) dans un Permettre aux utilisateurs d’utiliser leur(s) identité(s) dans un monde hétérogènemonde hétérogène

Plusieurs technologies d’identitéPlusieurs technologies d’identité

Plusieurs opérateursPlusieurs opérateurs

Plusieurs implémentationsPlusieurs implémentations

Ce n’est pas la première fois où nous voyons l’émergence d’un tel Ce n’est pas la première fois où nous voyons l’émergence d’un tel besoin dans l’informatiquebesoin dans l’informatique

Emergence de TCP/IP unifiant Ethernet, Token Ring, Frame Relay, Emergence de TCP/IP unifiant Ethernet, Token Ring, Frame Relay, X.25, et même les protocoles Wifi pas encore inventésX.25, et même les protocoles Wifi pas encore inventés

Une nouvelle définition de l’identité numérique

Un ensemble de Un ensemble de claimsclaims qui caractérise une qui caractérise une personne ou une « chose » (sujet personne ou une « chose » (sujet numérique) dans le monde numériquenumérique) dans le monde numérique

Un Un claimclaim est une déclaration faite sur est une déclaration faite sur quelqu’un/quelque chose par quelqu’un/quelque chose par quelqu’un/quelque chose quelqu’un/quelque chose

Un Un claimclaim constitue une assertion de la vérité constitue une assertion de la vérité de quelqu’un/quelque chosede quelqu’un/quelque chose

Les Les claimsclaims sont exigés pour les transactions sont exigés pour les transactions dans le monde réel et en lignedans le monde réel et en ligne

Les Les claimsclaims sont véhiculés dans des jetons de sont véhiculés dans des jetons de sécurité qui transitent entre les frontières de sécurité qui transitent entre les frontières de processus, de machines, d’organisation et processus, de machines, d’organisation et de sécuritéde sécurité

Acteurs d’un méta-système d’identité

Le méta-système d’identité permet à une organisation de Le méta-système d’identité permet à une organisation de consommer les identités émises par une autreconsommer les identités émises par une autre

Dans les modèles « traditionnels », les fournisseurs et les Dans les modèles « traditionnels », les fournisseurs et les consommateurs d’identité sont confinés dans le même domaineconsommateurs d’identité sont confinés dans le même domaine

Consommateur d’identité (Relying Party ou RP)Consommateur d’identité (Relying Party ou RP)Exprime sous forme de Politique les exigences en termes d’identitéExprime sous forme de Politique les exigences en termes d’identité

Une liste de Une liste de claimsclaims

Une liste de fournisseurs d’identité admissibles Une liste de fournisseurs d’identité admissibles

Une liste des formats de jetons de sécurité recevableUne liste des formats de jetons de sécurité recevable

Fournisseur d’identité (Identity Provider ou IP) Fournisseur d’identité (Identity Provider ou IP) Produit les jetons de sécurité au travers d’un Service de Jetons de Produit les jetons de sécurité au travers d’un Service de Jetons de Sécurité (Sécurité (Security Token ServiceSecurity Token Service ou STS) ou STS)

Un service qui échange un jeton de sécurité pour un autreUn service qui échange un jeton de sécurité pour un autre

Les entrées et les sorties d’un jeton de sécurité peuvent différer Les entrées et les sorties d’un jeton de sécurité peuvent différer ((claimsclaims, nombre de , nombre de claimsclaims, émetteur, type de jeton), émetteur, type de jeton)

Définit sous forme de Politique les conditions pour produire le jetonDéfinit sous forme de Politique les conditions pour produire le jetonLes crédentiels nécessaires Les crédentiels nécessaires

Si le consommateur d’identité doit être connu Si le consommateur d’identité doit être connu

Caractéristiques clés d’un méta-système

NégociationNégociationPermet au consommateur d’identité, au sujet et au fournisseur Permet au consommateur d’identité, au sujet et au fournisseur d’identité de négocier les exigences en termes de politiques d’identité de négocier les exigences en termes de politiques techniquestechniques

EncapsulationEncapsulationMécanisme Mécanisme agnostique agnostique d’échange des politiques et des d’échange des politiques et des claimsclaims d’identités entre fournisseur et consommateur d’identitéd’identités entre fournisseur et consommateur d’identité

Transformation des Transformation des claimsclaimsMécanisme de confiance pour échanger un jeu de Mécanisme de confiance pour échanger un jeu de claimsclaims d’identité en un autre indépendamment du format des jetons d’identité en un autre indépendamment du format des jetons d’identitéd’identité

Expérience utilisateurExpérience utilisateur

Interface homme – machine cohérente quels que soient les Interface homme – machine cohérente quels que soient les systèmes et les technologiessystèmes et les technologies

Respect des 7 « lois de l’identité » établies au travers d’une dialogue Respect des 7 « lois de l’identité » établies au travers d’une dialogue avec l’industrie…avec l’industrie…

Les 7 lois de l’identité

1.1. Contrôle et consentement de l’utilisateurContrôle et consentement de l’utilisateur

2.2. Divulgation minimale pour un usage définiDivulgation minimale pour un usage défini

3.3. Présence justifiée des parties en présencePrésence justifiée des parties en présence

4.4. Support d’identités publiques et privéesSupport d’identités publiques et privées

5.5. Pluralisme des opérateurs et des technologiesPluralisme des opérateurs et des technologies

6.6. Prise en compte de l’humainPrise en compte de l’humain

7.7. Expérience cohérente entre les contextesExpérience cohérente entre les contextes

Rejoindre les discussions surRejoindre les discussions sur

http://http://www.identityblog.com www.identityblog.com

Contrôle d’accès basé sur les claims

ConsommateConsommateur d’identitéur d’identité

ClientClient

« Passer une « Passer une commande » requiert le commande » requiert le claimclaim {Acheteur} {Acheteur}

1.1. Lecture de la Lecture de la politique pour politique pour « Passer une « Passer une commande »commande »

2.2. Appel de « Passer une Appel de « Passer une commande » avec un jeton de commande » avec un jeton de sécurité comprenant le sécurité comprenant le claimclaim {{Acheteur=Acheteur=True}True}

{{Acheteur=Acheteur=TruTrue}e}


ClientClient ConsommateConsommateur d’identitéur d’identité

FournisseurFournisseurd’identitéd’identité

STS_ASTS_A

« Passer une « Passer une commande » requiert le commande » requiert le claimclaim {Rôle} émis par {Rôle} émis par STS_ASTS_A

1.1. Lecture de la politique Lecture de la politique pour « Passer une pour « Passer une commande »commande »

2.2. Lecture de la Lecture de la politique pour politique pour demander un jeton demander un jeton de sécuritéde sécurité

{Rôle} requiert comme {Rôle} requiert comme crédentiel [Nom/Mot de crédentiel [Nom/Mot de passe]passe]

3.3. Demande d’un jeton de Demande d’un jeton de sécurité en passant sécurité en passant [Jean,****][Jean,****]


ClientClientConsommateConsommateur d’identitéur d’identité


STS_ASTS_A

« Passer une « Passer une commande » requiert le commande » requiert le claimclaim {Rôle} émis par {Rôle} émis par STS_ASTS_A

{Rôle} requiert comme {Rôle} requiert comme crédentiel [Nom/Mot de crédentiel [Nom/Mot de passe]passe]

Mappage :Mappage :[Jean,****] [Jean,****] {Rôle=Acheteur}{Rôle=Acheteur}

5.5. Appel de « Passer une Appel de « Passer une commande » avec un commande » avec un jeton de sécuritéjeton de sécurité

4.4. Demande d’un jeton de Demande d’un jeton de sécurité en passant sécurité en passant [Jean,****][Jean,****]

{Rôle=Acheteu{Rôle=Acheteur}r}

signé par signé par STS_STS_AA


signé par signé par STS_STS_AA


ClientClient


« Passer une commande » « Passer une commande » requiert {Passer une requiert {Passer une commande} émis par commande} émis par STS_AuthZSTS_AuthZ

Fournisseur de Fournisseur de claimsclaims d’identitéd’identité

Fournisseur Fournisseur d’identitéd’identité

STS_IdentitéSTS_Identité

{Rôle} requiert comme {Rôle} requiert comme crédentiel [jeton Kerberos] crédentiel [jeton Kerberos] ou [Nom/Mot de passe]ou [Nom/Mot de passe]


STS_AuthZSTS_AuthZ

Fournisseur de Fournisseur de claimsclaims d’autorisationd’autorisation

{Passer une commande} {Passer une commande} requiert un requiert un claimclaim {Rôle} {Rôle} émis par STS_Identitéémis par STS_Identité

1.1. Lecture de la politique Lecture de la politique pour « Passer une pour « Passer une commande »commande »

2.2. Lecture de la Lecture de la politique pour politique pour demander un demander un jeton de jeton de sécuritésécurité

3.3. Lecture de la Lecture de la politique pour politique pour demander un demander un jeton de jeton de sécuritésécurité

4.4. Demande d’un Demande d’un jeton de jeton de sécurité en sécurité en passant [jeton passant [jeton Kerberos de Kerberos de Jean]Jean]


ClientClient


{Passer une {Passer une commande=Vracommande=Vra

i}i}signé par signé par

STS_AuthZSTS_AuthZ

« Passer une commande » « Passer une commande » requiert {Passer une requiert {Passer une commande} émis par commande} émis par STS_AuthZSTS_AuthZ

{Passer une commande} {Passer une commande} requiert {Rôle} émis par requiert {Rôle} émis par STS_IdentitéSTS_Identité


STS_AuthZSTS_AuthZ

Mappage :Mappage :{Rôle=Acheteur} {Rôle=Acheteur} {Passer {Passer une commande=Vrai}une commande=Vrai}

Mappage :Mappage :Jean Jean {Rôle=Acheteur} {Rôle=Acheteur}

Fournisseur Fournisseur d’identitéd’identité

STS_IdentitéSTS_Identité


signé par signé par STS_IdentitéSTS_Identité


signé par signé par STS_IdentitéSTS_Identité

{Passer une {Passer une commande=Vracommande=Vra

i}i}signé par signé par

STS_AuthZSTS_AuthZ

Appel de « Passer une commande »Appel de « Passer une commande »

Quelques scénarios d’utilisation…

11 Prénom, Nom, @ mèlPrénom, Nom, @ mèl

Carte Carte auto-auto-

généréegénérée jeux-en-jeux-en-ligne.comligne.com

bouquins.cobouquins.comm

RPRP

RPRP

IPIP

InternauteInternaute

22

IPIP

RPRPFabrikam, Fabrikam, Inc.Inc.

Contoso Contoso Corp.Corp.

Employé Employé Fabrikam, Fabrikam,

Inc.Inc.

Identité signée Identité signée parpar Fabrikam, Fabrikam,

Inc.Inc.

44

IPIP

RPRP

MembreMembre

Soleil Soleil ClubClub

Membre de Membre de Soleil Club ?Soleil Club ?

bon-bon-plans.complans.com

33

IPIP

RPRP

CitoyenCitoyen

Plus de Plus de 18 ans ?18 ans ?

GouvernemenGouvernementt

permis.copermis.comm

Une architecture pour un méta-système d’identité

La pile de spécification/protocoles WS-répond aux besoins d’un La pile de spécification/protocoles WS-répond aux besoins d’un méta-système d’identitéméta-système d’identité

STAR pour STAR pour SecureSecure, , TransactionalTransactional, , AsynchronousAsynchronous, , ReliableReliable« « An Introduction to the Web Services Architecture and Its An Introduction to the Web Services Architecture and Its SpecificationsSpecifications » »

http://msdn.microsoft.com/library/en-us/dnwebsrv/html/introwsa.asphttp://msdn.microsoft.com/library/en-us/dnwebsrv/html/introwsa.asp

Large participation de l’industrie à sa définitionLarge participation de l’industrie à sa définitionActional, BEA, CA, IBM, Layer 7, Microsoft, Oblix, OpenNetwork, Ping Actional, BEA, CA, IBM, Layer 7, Microsoft, Oblix, OpenNetwork, Ping Identity, Reactivity, RSA, SAP, Sun, VeriSign, WebMethods, etc.Identity, Reactivity, RSA, SAP, Sun, VeriSign, WebMethods, etc.

Architecture ouverte et disponible sans royaltiesArchitecture ouverte et disponible sans royalties« « Web Services Protocol Workshops Process OverviewWeb Services Protocol Workshops Process Overview » »

http://msdn.microsoft.com/library/en-us/dnwebsrv/html/http://msdn.microsoft.com/library/en-us/dnwebsrv/html/wkshopprocess.aspwkshopprocess.asp

Neutralité par rapport aux formats de jetons de sécuritéNeutralité par rapport aux formats de jetons de sécuritéLa spécification OASIS WS-Security constitue la baseLa spécification OASIS WS-Security constitue la baseAgnosticité par rapport aux jetonsAgnosticité par rapport aux jetonsx509, Kerberos, SAML 1.1, 1.2, 2.0, XrML, etc.x509, Kerberos, SAML 1.1, 1.2, 2.0, XrML, etc.

Une architecture pour un méta-système d’identité

Protocole d’encapsulation et transformation des Protocole d’encapsulation et transformation des claimsclaimsLa spécification « Web Services Trust Language » (WS-Trust) La spécification « Web Services Trust Language » (WS-Trust)

Définit une composante clé, le Service de Jetons de Sécurité (Security Définit une composante clé, le Service de Jetons de Sécurité (Security Token Services ou STS)Token Services ou STS)Ainsi qu’un mécanisme simple pour demander des Ainsi qu’un mécanisme simple pour demander des claimsclaims dans des dans des jetons de sécurité à l’aide de SOAP et de XMLjetons de sécurité à l’aide de SOAP et de XML

Request for Security TokenRequest for Security Token (RST) (RST)Request for Security Token ResponseRequest for Security Token Response (RSTR) (RSTR)

Est extensibleEst extensiblePeut être « profilé » pour supporter tout jeton de sécurité répondant au Peut être « profilé » pour supporter tout jeton de sécurité répondant au modèle basé sur les modèle basé sur les claimsclaims

Permet de connecter des systèmes dissemblablesPermet de connecter des systèmes dissemblablesDéfinit les moyens par lesquels un jeu de Définit les moyens par lesquels un jeu de claimsclaims peut être transformé peut être transformé en un autre jeu de en un autre jeu de claimsclaimsLes fournisseurs et les consommateurs peuvent s’appuyer sur un Les fournisseurs et les consommateurs peuvent s’appuyer sur un nombre N de STS nombre N de STS

Une architecture pour un méta-système d’identitéSystème dynamique pour échanger des Système dynamique pour échanger des claimsclaims

La spécification La spécification « « Web Services Security Policy LanguageWeb Services Security Policy Language » ( » (WS-WS-SecurityPolicySecurityPolicy) ) permet d’exprimer des exigences de sécurité à permet d’exprimer des exigences de sécurité à travers l’expression d’une politique de sécuritétravers l’expression d’une politique de sécurité

La spécification « La spécification « Web Services Metadata ExchangeWeb Services Metadata Exchange » ( » (WS-WS-MetadataExchangeMetadataExchange) permet notamment de consulter une politique ) permet notamment de consulter une politique de sécuritéde sécurité

Toutes ces spécifications sont des standards de l’OASIS ou en Toutes ces spécifications sont des standards de l’OASIS ou en cours de standardisation au niveau de l’OASIScours de standardisation au niveau de l’OASIS

Sélecteur d’identité InfoCard

Permet à l’utilisateur de participer dans le méta-système Permet à l’utilisateur de participer dans le méta-système d’identitéd’identité

Abstraction utilisateur simple pour l’identité numérique sous forme de Abstraction utilisateur simple pour l’identité numérique sous forme de cartescartes

Fondé sur la métaphore du monde réel des cartes physiquesFondé sur la métaphore du monde réel des cartes physiquesCarte d’identité, permis de conduire, carte bancaire, carte de membre, etc. Carte d’identité, permis de conduire, carte bancaire, carte de membre, etc. InfoCard est un sélecteur d’identité pour l’utilisateurInfoCard est un sélecteur d’identité pour l’utilisateur

Plus sûrPlus sûrDialogue de crédentiels Windows communDialogue de crédentiels Windows commun

Sélection aisée des crédentiels - indépendamment de la technologie de Sélection aisée des crédentiels - indépendamment de la technologie de sécurité sous-jacentesécurité sous-jacente

Implémenté comme sous-système Windows sécuriséImplémenté comme sous-système Windows sécuriséInterface protégée et « Durci » contre les altérations et les intrusionsInterface protégée et « Durci » contre les altérations et les intrusions

Usage de la cryptographie pour atténuer le risque de fraude et d’attaques Usage de la cryptographie pour atténuer le risque de fraude et d’attaques de phishing de phishing

Quand et où ?Quand et où ?Composant de WinFX, utilisable par n’importe quelle application Composant de WinFX, utilisable par n’importe quelle application (Smart client et Browser) (Smart client et Browser)

Support dans Windows Vista et IE 7.0Support dans Windows Vista et IE 7.0

Protocoles publics que chacun peut consulterProtocoles publics que chacun peut consulterPing Identity et d’autres ont annoncé le support sur Linux, Unix, Apache, et Ping Identity et d’autres ont annoncé le support sur Linux, Unix, Apache, et d’autres plateformesd’autres plateformes

Expérience utilisateur

Deux types d’InfoCardDeux types d’InfoCardCartes « auto-émises » signées Cartes « auto-émises » signées par l’utilisateurpar l’utilisateur

Cartes « gérées » signées par une Cartes « gérées » signées par une autorité externe autorité externe

Représentation visuel d’une Représentation visuel d’une identité numériqueidentité numérique

Une carte n’est PAS un jeton de Une carte n’est PAS un jeton de sécuritésécurité

Une carte contient des Une carte contient des métadonnées pour l’obtention métadonnées pour l’obtention d’un jeton de sécurité auprès d’un d’un jeton de sécurité auprès d’un fournisseur d’identitéfournisseur d’identité

Le jeton de sécurité émis par le Le jeton de sécurité émis par le fournisseur d’identité est soumis fournisseur d’identité est soumis au consommateur d’identité par au consommateur d’identité par l’utilisateurl’utilisateur

Fait de l’utilisateur un participant Fait de l’utilisateur un participant actif de l’utilisation d’identitéactif de l’utilisation d’identité

DémonstrationDémonstration

Microsoft eCompany Store

Bénéfices

Expérience utilisateur cohérente en termes de contrôle vis-à-vis de Expérience utilisateur cohérente en termes de contrôle vis-à-vis de la communication à des tiers d’information personnellela communication à des tiers d’information personnelle

A travers les cartes « auto-émises » et « gérées »A travers les cartes « auto-émises » et « gérées »

A travers les scénarios « A la maison » et « Au travail » (domaine et no-A travers les scénarios « A la maison » et « Au travail » (domaine et no-domaine)domaine)

Aider les utilisateurs à évaluer les risques et à réduire l’expositionAider les utilisateurs à évaluer les risques et à réduire l’expositionValider l’identité du site/service, la réputation du site/service (optionnel)Valider l’identité du site/service, la réputation du site/service (optionnel)

Distinguer une première visite d’une visite de retourDistinguer une première visite d’une visite de retour

Établir la confiance mutuelle entre les utilisateurs et les Établir la confiance mutuelle entre les utilisateurs et les sites/servicessites/services

Authentification du site/service auprès de l'utilisateur, de Authentification du site/service auprès de l'utilisateur, de l'utilisateur auprès du site/servicel'utilisateur auprès du site/service

Atténuer le phishing et le vol d’identitéAtténuer le phishing et le vol d’identité

Solution Solution commune, basée sur la plateformecommune, basée sur la plateformeEviter la litanie des barres d’outils par-site ou des solutions spécifiques Eviter la litanie des barres d’outils par-site ou des solutions spécifiques à une applicationà une application

PrédictiblePrédictible, , expérience utilisateur côté client non sous le contrôle de expérience utilisateur côté client non sous le contrôle de l’attaquantl’attaquant – – Augmente la barre en termes de difficultés d’attaqueAugmente la barre en termes de difficultés d’attaque

Qu’est-ce qu’une carte ?


STSSTS

FabrikamFabrikam, , Inc.Inc.

Les valeurs des Les valeurs des preuves sont preuves sont

détenues par le détenues par le fournisseur fournisseur d’identitéd’identité

Name: Name: DupontDupont’s Id Card’s Id CardExpires: Expires: 99//1515/2006/2006ImageImageIssuer: FabrikamIssuer: FabrikamSupported Claims: {Supported Claims: {

GivenNameGivenNameLastNameLastNameAddressAddressCityCity… … }}

Issuer Token Service EPRsIssuer Token Service EPRsSupported Token Type: {Supported Token Type: { SAML 1.1 } SAML 1.1 }

……

Dupont’s Id CardDupont’s Id Card

Exp 9/15/2006Exp 9/15/2006

Jean DuponJean Dupontt

1306 - 25231306 - 2523

Fabrikam, Inc.Fabrikam, Inc.

InfoCard

<Signature xmlns=“http://www.w3.org/2000/09/xmldsig#”> …

<Object Id=“_Object_InfoCard”> <InfoCard xmlns:ic= “http://schemas.microsoft.com/ws/2005/05/identity” >

<ic:InfoCardReference> <ic:CardId>…</ic:CardId> </ic:InfoCardReference> <ic:CardName>…</wsid:CardName> <ic:CardImage>…Mmq95KmzT=ZxVp…</ic:CardImage> <ic:IssuerName>…</ic:IssuerName> <ic:TimeIssued>…</ic:TimeIssued> <ic:TokenServiceReference>

<ic:TokenService> … [EPR][,[Auth]]… </ic:TokenService> </ic:TokenServiceReference> <ic:InfoCardPolicy> <SupportedTokenTypes> <TokenType Uri= “…” /> <SupportedTokenTypes> <SupportedClaims> <Claim Uri= “http://schemas.microsoft.com/ws/2005/05/identity/xxx” />… <Claim …/> <SupportedClaims> </ic:InfoCardPolicy> </ic:InfoCard > </Object> </Signature>

Inclus le certificat et la Inclus le certificat et la valeur de la signaturevaleur de la signature

L’image de la carte L’image de la carte image apparaît dans image apparaît dans

« InfoCard »« InfoCard »

EPRs STS et comment EPRs STS et comment s’authentifiers’authentifier

Comment tout cela fonctionne-t-il ?

ApplicationApplicationclientecliente


PoliPolitiqutiquee


Service de Service de jetons jetons

de sécuritéde sécuritéPoliPolitiqutiqu

ee

2

Lecture de la politique Lecture de la politique définissant les preuves définissant les preuves requises et les fournisseurs requises et les fournisseurs d’identité : « d’identité : « Je Je souhaiterais recevoir un souhaiterais recevoir un jeton contenant jeton contenant givenName et lastName givenName et lastName dont le tokenType est dont le tokenType est SAML 1.1, émis par SAML 1.1, émis par n’importe quin’importe qui » »

6

Le fournisseur Le fournisseur d’identité produit d’identité produit le jeton de le jeton de sécurité sécurité contenant les contenant les preuves requises preuves requises

JetonJeton 1

Accès à la Accès à la RessourceRessource

7

L’application L’application relaye le jeton relaye le jeton de sécurité au de sécurité au

consommateur consommateur d’identitéd’identité

4 L’utilisateur sélectionne une carte depuis L’utilisateur sélectionne une carte depuis la liste des identités appropriées dans le la liste des identités appropriées dans le sélecteur d’identitésélecteur d’identité

3 Filtrage des cartes qui pourraient satisfaire Filtrage des cartes qui pourraient satisfaire les exigences du consommateur d’identitéles exigences du consommateur d’identité

5

Le sélecteur Le sélecteur d’identité d’identité

présente les présente les crédentiels au crédentiels au

fournisseur fournisseur d’identité et d’identité et

demande un jeton demande un jeton de sécuritéde sécurité

CrédentielCrédentielss

Protocoles utilisés


STSSTS


PoliPolitiqutiquee

ApplicationApplicationclientecliente

PoliPolitiqutiquee

WS-WS-SecurityPolicySecurityPolicy

WS-WS-SecurityPolicySecurityPolicy

WS-WS-MetadataExchange,MetadataExchange,

WS-SecurityWS-Security

WS-WS-MetadataExchange,MetadataExchange,

WS-SecurityWS-Security,,WS-TrustWS-Trust

Implémentation MicrosoftComplètement interopérable avec les protocoles publiésComplètement interopérable avec les protocoles publiés

Avec d’autres implémentations de sélecteur d’identitéAvec d’autres implémentations de sélecteur d’identitéConsultation de la politique exposée par le consommateur d’identité à Consultation de la politique exposée par le consommateur d’identité à l’aide de l’aide de WS-MetadataExchangeWS-MetadataExchangeDemande de jetons au fournisseur d’identité à l’aide de WS-TrustDemande de jetons au fournisseur d’identité à l’aide de WS-Trust

Avec d’autres implémentations de consommateur d’identitéAvec d’autres implémentations de consommateur d’identitéDéfinition d’une politique à l’aide de Définition d’une politique à l’aide de WS-SecurityPolicyWS-SecurityPolicySupport du protocole Support du protocole WS-MetadataExchangeWS-MetadataExchange pour la consultation de la pour la consultation de la politiquepolitiqueSupport du protocole WS-Security pour véhiculer les jetons de sécuritéSupport du protocole WS-Security pour véhiculer les jetons de sécurité

Avec d’autres implémentations de fournisseur d’identitéAvec d’autres implémentations de fournisseur d’identitéSupport du protocole WS-Trust et implémentation d’un service de jetons de Support du protocole WS-Trust et implémentation d’un service de jetons de sécurité (STS)sécurité (STS)

Co-publication avec Ping Identity d’un guide de mise en œuvre Co-publication avec Ping Identity d’un guide de mise en œuvre détaillédétaillé

« « A Guide to Integrating with InfoCard v1.0 A Guide to Integrating with InfoCard v1.0 »»http://download.microsoft.com/download/6/c/3/6c3c2ba2-e5f0-4fe3-be7f-http://download.microsoft.com/download/6/c/3/6c3c2ba2-e5f0-4fe3-be7f-c5dcb86af6de/infocard-guide-beta2-published.pdfc5dcb86af6de/infocard-guide-beta2-published.pdf

« « A Technical Reference for InfoCard v1.0 in Windows A Technical Reference for InfoCard v1.0 in Windows »»http://download.microsoft.com/download/5/4/0/54091e0b-464c-4961-a934-http://download.microsoft.com/download/5/4/0/54091e0b-464c-4961-a934-d47f91b66228/infocard-techref-beta2-published.pdfd47f91b66228/infocard-techref-beta2-published.pdf

« « A Platform-Independent Guide to Supporting InfoCard v1.0 within A Platform-Independent Guide to Supporting InfoCard v1.0 within Web Applications and BrowsersWeb Applications and Browsers » »

Bientôt publié sur Bientôt publié sur http://msdn.microsoft.com/winfx/building/infocardhttp://msdn.microsoft.com/winfx/building/infocard

Dialogue Réputation, Identité, Politique (RIP)

L’utilisateur prend la décision de faire confiance au L’utilisateur prend la décision de faire confiance au consommateur d’identité ou au fournisseur d’identitéconsommateur d’identité ou au fournisseur d’identité

Cas du consommateur d’identité : lorsque l’utilisateur visite le Cas du consommateur d’identité : lorsque l’utilisateur visite le consommateur d’identité pour la première foisconsommateur d’identité pour la première fois

Cas du fournisseur d’identité : lorsque l’utilisateur importe une Cas du fournisseur d’identité : lorsque l’utilisateur importe une carte carte « gérée » « gérée » émise par le fournisseur d’identitéémise par le fournisseur d’identité

Données présentées à l’utilisateurDonnées présentées à l’utilisateurSujet et émetteur du certificat, qui peuvent inclure des logosSujet et émetteur du certificat, qui peuvent inclure des logos

Déclaration d’usage des données utilisateurDéclaration d’usage des données utilisateur

L’utilisateur peut faire les choix suivantsL’utilisateur peut faire les choix suivantsNe pas faire confiance au consommateur d’identitéNe pas faire confiance au consommateur d’identité

Faire confiance au consommateur d’identitéFaire confiance au consommateur d’identité

Annuler la transactionAnnuler la transaction


Dialogue Réputation, Identité, Politique (RIP)

ClientClient

HTTP/GETHTTP/GET22

Web SiteWeb SiteSite(s) WebSite(s) Web

Obtention de Obtention de la politiquela politique

PoliPolitiqutiquee

11Vérification Vérification des condensésdes condensés

33

Affichage du Affichage du dialogue RIPdialogue RIP

44

Logo du sujet

Logo de l’émetteur

……1.3.6.1.5.5.7.1.12:1.3.6.1.5.5.7.1.12:http://.../ecstore.gif + http://.../ecstore.gif + condensécondenséhttp://.../verisign.gif + http://.../verisign.gif + condensécondensé……

Certificat inclus comme composante de la politique

Données InfoCardInfoCard n’est PAS un jeton de sécurité mais un artefact qui InfoCard n’est PAS un jeton de sécurité mais un artefact qui représente la relation de délivrance d’un jeton entre représente la relation de délivrance d’un jeton entre l’utilisateur et le fournisseur d’identité correspondantl’utilisateur et le fournisseur d’identité correspondantDonnées stockées avec chaque carteDonnées stockées avec chaque carte

Information représentant la carte pour l’affichage dans l’interfaceInformation représentant la carte pour l’affichage dans l’interfaceNom, ID, logo, noms des preuves disponibles (pas les valeurs)Nom, ID, logo, noms des preuves disponibles (pas les valeurs)

Liste des références vers les fabriques de jetonsListe des références vers les fabriques de jetonsAdresse du fournisseur d’identité, type d’authentificationAdresse du fournisseur d’identité, type d’authentification

Données stockées au niveau du fournisseur d’identité Local Données stockées au niveau du fournisseur d’identité Local pour les cartes « auto-émises » pour les cartes « auto-émises »

Nom, adresse, adresse mèl, téléphone, âge, sexeNom, adresse, adresse mèl, téléphone, âge, sexeL’utilisateur doit participerL’utilisateur doit participer

Données stockées au niveau de l’historique de navigation Données stockées au niveau de l’historique de navigation ((ledgerledger))

Relation Carte-vers-site et enregistrement des PII communiquésRelation Carte-vers-site et enregistrement des PII communiqués

Données InfoCard non visibles des applicationsDonnées InfoCard non visibles des applicationsStockées dans des fichiers chiffrés avec une clé systèmeStockées dans des fichiers chiffrés avec une clé systèmeExécution de l’interface utilisateur dans un bureau distinctExécution de l’interface utilisateur dans un bureau distinct

Les fournisseurs d’identité sont susceptibles de stocker Les fournisseurs d’identité sont susceptibles de stocker l’information nécessaire à la génération des l’information nécessaire à la génération des claimsclaims

Sécurité InfoCardObjectif : empêcher la révélation de données et de clés Objectif : empêcher la révélation de données et de clés personnelles à du code malveillant s’exécutant sur le clientpersonnelles à du code malveillant s’exécutant sur le client

ImplémentationImplémentationService système s’exécutant à un privilège élevéService système s’exécutant à un privilège élevé

Stockage chiffré des données InfoCard accessible uniquement par Stockage chiffré des données InfoCard accessible uniquement par le service systèmele service système

Agent de session utilisateur s’exécutant sur un bureau distinct Agent de session utilisateur s’exécutant sur un bureau distinct non invocable directementnon invocable directement

Affichage des secrets utilisateurs gérés par le système Affichage des secrets utilisateurs gérés par le système uniquement dans l’interface de l’agent de sessionuniquement dans l’interface de l’agent de session

Interaction utilisateur requise pour « libérer » des informations Interaction utilisateur requise pour « libérer » des informations personnellespersonnelles

L’utilisateur est pleinement conscient de l’utilisation faite de ses L’utilisateur est pleinement conscient de l’utilisation faite de ses données personnellesdonnées personnelles

Fournisseur d’identité Local

Composante d’InfoCard pour les cartes « auto-émises »Composante d’InfoCard pour les cartes « auto-émises »

Service de jetons de sécurité localService de jetons de sécurité local

Permet aux utilisateurs d’auto-revendiquer une identité sous la Permet aux utilisateurs d’auto-revendiquer une identité sous la forme de jetons de sécurité auto-émis dans les contextes forme de jetons de sécurité auto-émis dans les contextes d’interactions où cela est recevabled’interactions où cela est recevable

Les données sont fournies par l’utilisateurLes données sont fournies par l’utilisateur

Support d’un jeu limité de Support d’un jeu limité de claimsclaims comme givenName, LastName, comme givenName, LastName, emailAddress, phoneNumber, etc.emailAddress, phoneNumber, etc.

Les données sont stockées et chiffrées sur le disque dur localLes données sont stockées et chiffrées sur le disque dur localLa carte « auto-émise » peut facilement être itinéranteLa carte « auto-émise » peut facilement être itinérante

Recours à une authentification basée sur la cryptographie Recours à une authentification basée sur la cryptographie asymétriqueasymétrique

L’utilisateur ne divulgue pas de mots de passe aux consommateurs L’utilisateur ne divulgue pas de mots de passe aux consommateurs d’identitéd’identité

La clé utilisée pour la signature intègre une fonction de respect de la La clé utilisée pour la signature intègre une fonction de respect de la vie privéevie privée

Clé de signature des cartes « auto-émises »

Clé Maître par carteClé Maître par carteBi-Clé unique dérivée pour chaque site/service (aucun suivi possible)Bi-Clé unique dérivée pour chaque site/service (aucun suivi possible)

A et B ne peuvent pas s’entendre sur la base de la clé de signatureA et B ne peuvent pas s’entendre sur la base de la clé de signature

+ = = GraineGraine

Clé Clé MaîtreMaître

+ = = GraineGraine

ConsommateConsommateur d’identité Aur d’identité A

ConsommateConsommateur d’identité Bur d’identité B

Paire de clésPaire de clés

Paire de clésPaire de clés

Certificat Certificat X509X509

Certificat Certificat X509X509

utilisée pour la utilisée pour la signature dusignature du

JetonJeton

utilisée pour la utilisée pour la signature dusignature du

JetonJeton

Jetons de sécurité

Une collection de Une collection de claimsclaims sur un sur un sujet signée par un émetteursujet signée par un émetteur

Dans l’environnement InfoCard, le Dans l’environnement InfoCard, le jeton soumis au consommateur jeton soumis au consommateur d’identité est chiffréd’identité est chiffré

InfoCard est agnostique en termes InfoCard est agnostique en termes de jetonsde jetons

Il n’interprète jamais un jeton émis Il n’interprète jamais un jeton émis par un fournisseur d’identitépar un fournisseur d’identité

Peut inclure une preuve de Peut inclure une preuve de possession (clé du confirmation du possession (clé du confirmation du sujet) pour le client afin de sujet) pour le client afin de démontrer la possession du jetondémontrer la possession du jeton

Le consommateur d’identité peut Le consommateur d’identité peut spécifier dans sa politique ses spécifier dans sa politique ses exigences en termes de type de exigences en termes de type de jeton, de taille de la clé, de jeu de jeton, de taille de la clé, de jeu de claimsclaims

Member ID:Member ID: MS-62A-8421MS-62A-8421

Since:Since: May 1998May 1998

ExpirationExpiration May 2006 May 2006 Member LevelMember Level PlatinumPlatinum

Accumulated Points:Accumulated Points: 7,901 7,901

Jeton – Chiffré à destination du Jeton – Chiffré à destination du consommateur d’identitéconsommateur d’identité

Révélation de l’identité du consommateur d’identité

Jeton ouvert sans périmètreJeton ouvert sans périmètre (Unscoped Token) (Unscoped Token)L’identité du consommateur d’identité n’est PAS révélée au L’identité du consommateur d’identité n’est PAS révélée au fournisseur d’identitéfournisseur d’identité

Comportement par défautComportement par défaut

Jeton avec périmètre (Scoped Token)Jeton avec périmètre (Scoped Token)Le consommateur d’identité (ou un autre fournisseur d’identité) Le consommateur d’identité (ou un autre fournisseur d’identité) peut demander à ce que son identité soit communiquée à un peut demander à ce que son identité soit communiquée à un fournisseur d’identitéfournisseur d’identité

<RequireAppliesTo /> <RequireAppliesTo /> dans le schéma InfoCarddans le schéma InfoCard

Le fournisseur d’identité est alors en position de suivre les Le fournisseur d’identité est alors en position de suivre les usages des jetons pour l’utilisateurusages des jetons pour l’utilisateur

L’utilisateur est notifié que l’identité du consommateur L’utilisateur est notifié que l’identité du consommateur d’identité sera transmise au fournisseur d’identitéd’identité sera transmise au fournisseur d’identité

De façon indifférente, le jeton est chiffré à destination du De façon indifférente, le jeton est chiffré à destination du consommateur d’identitéconsommateur d’identité

Jeton ouvert sans périmètre


Demande d’un Demande d’un jeton de sécurité jeton de sécurité (RST)(RST)


Génère un Génère un message de message de

réponseréponse (RSTR) (RSTR) Chiffré avec la clé du client

Réponse

pour

le jeto

n d

e s

écu

rité

Réponse

pour

le jeto

n d

e s

écu

rité

Déch

iffre

Déch

iffre

Jeton Jeton

Chiffré avec la clé du RP

Génère un messageGénère un message

Envoie le Envoie le message au message au


Exigences jetonExigences jeton

Génère un jetonGénère un jeton

Jeton Jeton

Signé avec la clé de l’émetteur. Le jeton n’est PAS chiffré; la clé du RP n’étant pas connue

Jeton avec périmètre

Peuvent avoir établi Peuvent avoir établi une relation OOBune relation OOB


Identité du RP incluse dans la requête


Réponse

pour

le jeto

n d

e s

écu

rité

Réponse

pour

le jeto

n d

e s

écu

rité


Déch

iffre

Déch

iffre

Chiffré avec la clé du client

Génère un Génère un message de message de

réponseréponse (RSTR) (RSTR)

Génère un jetonGénère un jeton

Jeton Jeton

Signé avec la clé de l’IP. Le jeton EST chiffré avec la clé du RP; la clé du RP est connue

Exigences jetonExigences jetonRequireAppliesTRequireAppliesToo




Clé preuve

Clé de confirmation du sujetClé de confirmation du sujetLe propriétaire du jeton (client) doit prouver la propriété Le propriétaire du jeton (client) doit prouver la propriété légitime au destinataire (consommateur d’identité)légitime au destinataire (consommateur d’identité)Clé symétriqueClé symétrique

Le fournisseur d’identité génère aléatoirement une clé symétrique, Le fournisseur d’identité génère aléatoirement une clé symétrique, l’intègre dans le jeton et la transmet au client avec le jetonl’intègre dans le jeton et la transmet au client avec le jetonLe client, après obtention du jeton et de la clé symétrique, envoie Le client, après obtention du jeton et de la clé symétrique, envoie un message contenant le jeton signé avec la clé preuve au un message contenant le jeton signé avec la clé preuve au consommateur d’identitéconsommateur d’identité

Clé asymétriqueClé asymétriqueLe client génère une paire de clésLe client génère une paire de clésLe client inclut Le client inclut une cléune clé comme partie du message RST comme partie du message RSTLe fournisseur d’identité intègre Le fournisseur d’identité intègre cette clé dans le cette clé dans le jetonjeton et transmet et transmet le jeton au clientle jeton au clientLe client, après obtention du jeton, envoie un message contenant le Le client, après obtention du jeton, envoie un message contenant le jeton signé avec l’autre clé au consommateur d’identitéjeton signé avec l’autre clé au consommateur d’identité


Signé avec la clé preuve

Jeton preuve : Clé symétrique

Réponse

pour

le jeto

n d

e s

écu

rité

Réponse

pour

le jeto

n d

e s

écu

rité

Vérifie la Vérifie la signatursignatur

eeFournisseurFournisseurd’identitéd’identité



Génère une clé (128 bits)Génère une clé (128 bits)

Déch

iffre

Déch

iffre

Exigences jetonExigences jetonType de clé: Type de clé: SymétriqueSymétriqueLongueur de clé: 128 Longueur de clé: 128

Type de jeton : Type de jeton : SAML1.1SAML1.1

Génère un jeton (SAML)Génère un jeton (SAML)

Inclus dans le jeton

Jeton Jeton

Génère un Génère un message message

de de réponseréponse (RSTR)(RSTR)

Inclus comme preuve de possession

dans le message

Chiffré avec la clé du Client



Jeton preuve : Clé asymétrique

Exigences jetonExigences jetonType de clé: Type de clé: asymétriqueasymétriqueLongueur de clé: Longueur de clé: 2048 2048 Type de jeton : Type de jeton : SAML1.1SAML1.1



Génère une Génère une paire de cléspaire de clés

Inclus dans la demande


Génère un jeton (SAML)Génère un jeton (SAML)

Inclus dans le jeton

Jeton Jeton

Répo

nse

pour

le

Répo

nse

pour

le

jeto

n de

séc

urité

jeto

n de

séc

urité

Signé avec l’autre clé

comme preuve du jeton

Génère un messageGénère un messageD

éch

iffre

Déch

iffre

Vérifie la Vérifie la signatursignatur

ee



Génère un Génère un message message

de de réponseréponse (RSTR)(RSTR)

Chiffré avec la clé du Client

Autres composants Microsoft

Implémentation Microsoft du service de jetons de sécuritéImplémentation Microsoft du service de jetons de sécuritéFournisseur d’identité InfoCard pour les cartes « auto-émises » Fournisseur d’identité InfoCard pour les cartes « auto-émises »

Futur : Service de jetons de sécurité gérés Active DirectoryFutur : Service de jetons de sécurité gérés Active DirectoryInsérer les utilisateurs Active Directory dans le méta-systèmeInsérer les utilisateurs Active Directory dans le méta-système

Ensemble complet de contrôle de politique afin de gérer l’utilisation des Ensemble complet de contrôle de politique afin de gérer l’utilisation des identités simples et des identités Active Directoryidentités simples et des identités Active Directory

Windows Communication Foundation (Runtime)Windows Communication Foundation (Runtime)Pour le développement d’applications distribuées et Pour le développement d’applications distribuées et l’implémentation de services de jetons de sécurité et de services l’implémentation de services de jetons de sécurité et de services consommateurs d’identitéconsommateurs d’identité

« « Microsoft Federated Identity and Access Resource Kit for Sept 2005 Microsoft Federated Identity and Access Resource Kit for Sept 2005 Community Technology PreviewCommunity Technology Preview » »

http://www.microsoft.com/downloads/details.aspx?familyid=66734401-http://www.microsoft.com/downloads/details.aspx?familyid=66734401-4988-4ded-9876-3dc10223052c&displaylang=en 4988-4ded-9876-3dc10223052c&displaylang=en

Démonstration InfoCard Live


« Hello World, InfoCard! »



Intégration dans Internet Explorer 7.0

En conclusion

Les acteurs peuvent s’insérer dans le méta-système comme Les acteurs peuvent s’insérer dans le méta-système comme fournisseur, consommateur ou sélecteur d’identitéfournisseur, consommateur ou sélecteur d’identité

WS-* rend possible un méta-système d’identité fondé sur des WS-* rend possible un méta-système d’identité fondé sur des protocoles publiés largement adoptésprotocoles publiés largement adoptés

L’implémentation Microsoft vise à fournir un support complet L’implémentation Microsoft vise à fournir un support complet d’un méta-système d’identité ouvert dans Windowsd’un méta-système d’identité ouvert dans Windows

Microsoft n’est pas en train de lancer le fils de PassportMicrosoft n’est pas en train de lancer le fils de Passport

Pour plus d’informations sur InfoCardPage d’accueil InfoCard sur MSDNPage d’accueil InfoCard sur MSDN

http://msdn.microsoft.com/windowsvista/building/infocard/default.aspxhttp://msdn.microsoft.com/windowsvista/building/infocard/default.aspx

« « The Laws of IdentityThe Laws of Identity »»http://msdn.microsoft.com/library/en-us/dnwebsrv/html/lawsofidentity.asphttp://msdn.microsoft.com/library/en-us/dnwebsrv/html/lawsofidentity.asp

« « Microsoft's Vision for an Identity MetasystemMicrosoft's Vision for an Identity Metasystem »»http://msdn.microsoft.com/library/en-us/dnwebsrv/html/identitymetasystem.http://msdn.microsoft.com/library/en-us/dnwebsrv/html/identitymetasystem.aspasp

« « A Guide to Integrating with InfoCard v1.0A Guide to Integrating with InfoCard v1.0 »»http://download.microsoft.com/download/6/c/3/6c3c2ba2-e5f0-4fe3-be7f-c5dhttp://download.microsoft.com/download/6/c/3/6c3c2ba2-e5f0-4fe3-be7f-c5dcb86af6de/infocard-guide-beta2-published.pdfcb86af6de/infocard-guide-beta2-published.pdf

« « A Technical Reference for InfoCard v1.0 in WindowsA Technical Reference for InfoCard v1.0 in Windows »»http://download.microsoft.com/download/5/4/0/54091e0b-464c-4961-a934-dhttp://download.microsoft.com/download/5/4/0/54091e0b-464c-4961-a934-d47f91b66228/infocard-techref-beta2-published.pdf47f91b66228/infocard-techref-beta2-published.pdf

« « A Platform-Independent Guide to Supporting InfoCard v1.0 within Web A Platform-Independent Guide to Supporting InfoCard v1.0 within Web Applications and BrowsersApplications and Browsers » »

Bientôt publié sur Bientôt publié sur http://msdn.microsoft.com/winfx/building/infocardhttp://msdn.microsoft.com/winfx/building/infocard

« « Using InfoCards for User-Centered IdentityUsing InfoCards for User-Centered Identity »»http://msdn.microsoft.com/msdntv/episode.aspx?xml=episodes/en/http://msdn.microsoft.com/msdntv/episode.aspx?xml=episodes/en/20060209InfoCardKC/manifest.xml 20060209InfoCardKC/manifest.xml

Blog d’Andy Harjanto sur InfoCardBlog d’Andy Harjanto sur InfoCard http://blogs.msdn.com/andyharhttp://blogs.msdn.com/andyhar

RRejoignez les discussions surejoignez les discussions sur http://www.identityblog.comhttp://www.identityblog.com

http://msdn.microsoft.com/windowsvista/building/infocard/default.aspx

http://msdn.microsoft.com/library/en-us/dnwebsrv/html/lawsofidentity.asp

http://msdn.microsoft.com/library/en-us/dnwebsrv/html/identitymetasystem.asp

http://msdn.microsoft.com/library/en-us/dnwebsrv/html/identitymetasystem.asp

http://download.microsoft.com/download/6/c/3/6c3c2ba2-e5f0-4fe3-be7f-c5dcb86af6de/infocard-guide-beta2-published.pdf

http://download.microsoft.com/download/6/c/3/6c3c2ba2-e5f0-4fe3-be7f-c5dcb86af6de/infocard-guide-beta2-published.pdf

http://download.microsoft.com/download/5/4/0/54091e0b-464c-4961-a934-d47f91b66228/infocard-techref-beta2-published.pdf

http://download.microsoft.com/download/5/4/0/54091e0b-464c-4961-a934-d47f91b66228/infocard-techref-beta2-published.pdf

http://blogs.msdn.com/andyhar

http://www.identityblog.com/

Microsoft FranceMicrosoft France18, avenue du Québec18, avenue du Québec

91 957 Courtaboeuf Cedex91 957 Courtaboeuf Cedex

www.microsoft.com/france

0 825 827 8290 825 827 829

[email protected]@microsoft.com

http://www.microsoft.com/france

Documents

InfoCard, sélecteur d'identité dans un méta- système d'identité Philippe Beraud Consultant Principal Microsoft France