Embed Size (px)
Citation preview
Philippe BeraudConsultant principalDirection Technologies et Sécurité
© 2005 Microsoft Corporation
Fédération d’identitéFédération d’identité
1
2
Qu’est-ce que l’identité numérique ?Qu’est-ce que l’identité numérique ?
Un ensemble de claims qui caractérise une Un ensemble de claims qui caractérise une personne ou une « chose » (sujet personne ou une « chose » (sujet numérique) dans le monde numériquenumérique) dans le monde numérique
Une claim est une déclaration faite sur Une claim est une déclaration faite sur quelqu’un/quelque chose par quelqu’un/quelque chose par quelqu’un/quelque chose quelqu’un/quelque chose
Une claim constitue une assertion de la Une claim constitue une assertion de la vérité de quelqu’un/quelque chosevérité de quelqu’un/quelque chose
Les claims sont exigées pour les Les claims sont exigées pour les transactions dans le monde réel et en lignetransactions dans le monde réel et en ligne
Les claims sont véhiculées dans des jetons Les claims sont véhiculées dans des jetons de sécurité qui transitent entre les frontières de sécurité qui transitent entre les frontières de processus et de machinesde processus et de machines
3
Les leçons tirées de PassportLes leçons tirées de Passport
Passport a été conçu pour résoudre deux problèmesPassport a été conçu pour résoudre deux problèmesFournisseur d’identité sur MSNFournisseur d’identité sur MSN
+250 millions d’utilisateurs, 1 milliard de logons par jour+250 millions d’utilisateurs, 1 milliard de logons par jour
Fournisseur d’identité sur InternetFournisseur d’identité sur InternetUn échecUn échec
La leçon : la solution aux problèmes de la gestion des La leçon : la solution aux problèmes de la gestion des identités doit être différente de Passportidentités doit être différente de Passport
4
Quelques leçons du passéQuelques leçons du passé
Une technologie unique avec un fournisseur unique de Une technologie unique avec un fournisseur unique de solution ne constitue pas une approche que le marché est solution ne constitue pas une approche que le marché est prêt à accepterprêt à accepter
Une technologie unique avec de multiples fournisseurs n’a Une technologie unique avec de multiples fournisseurs n’a pas, à ce jour, été déployée de manière universellepas, à ce jour, été déployée de manière universelle
Plusieurs fournisseurs avec plusieurs technologies implique Plusieurs fournisseurs avec plusieurs technologies implique immanquablement peu d’interopérabilitéimmanquablement peu d’interopérabilité
N’y a-t-il aucune solution envisageable ?N’y a-t-il aucune solution envisageable ?
5
Les 7 lois de l’identitéLes 7 lois de l’identité
1.1. Contrôle et consentement de l’utilisateurContrôle et consentement de l’utilisateur
2.2. Divulgation minimale pour un usage définiDivulgation minimale pour un usage défini
3.3. Présence justifiée des parties en présencePrésence justifiée des parties en présence
4.4. Support d’identités publiques et privéesSupport d’identités publiques et privées
5.5. Pluralisme des opérateurs et des technologiesPluralisme des opérateurs et des technologies
6.6. Prise en compte de l’humainPrise en compte de l’humain
7.7. Expérience cohérente entre les contextesExpérience cohérente entre les contextes
Rejoignez les discussions surRejoignez les discussions sur
http://http://www.identityblog.com www.identityblog.com
Etablies au travers d’une dialogue avec l’industrieEtablies au travers d’une dialogue avec l’industrie
6
Notion de méta-système d’identitéNotion de méta-système d’identité
Aujourd’hui : de multiples identités… et de multiples Aujourd’hui : de multiples identités… et de multiples formatsformats
Un méta-système d’identité est un cadre de travail qui Un méta-système d’identité est un cadre de travail qui unifie le monde deunifie le monde de
Plusieurs technologies d’identitéPlusieurs technologies d’identité
Plusieurs opérateursPlusieurs opérateurs
Plusieurs implémentationsPlusieurs implémentations
Un méta-système d’identité permet aux utilisateurs de Un méta-système d’identité permet aux utilisateurs de gérer et de choisir leur(s) identité(s) dans un monde gérer et de choisir leur(s) identité(s) dans un monde hétérogènehétérogène
Choix de la technologie Choix de la technologie
Choix du fournisseur (soi-même, entreprise privée, état, etc.)Choix du fournisseur (soi-même, entreprise privée, état, etc.)
Approche cohérente vis-à-vis de l’utilisation de multiples Approche cohérente vis-à-vis de l’utilisation de multiples systèmes d’identitésystèmes d’identité
Supprime les frictions sans pour autant requérir que tout le Supprime les frictions sans pour autant requérir que tout le monde s’accorde sur une unique technologie d’identité monde s’accorde sur une unique technologie d’identité quelque soit l’usagequelque soit l’usage
Capitalise sur les succès présentsCapitalise sur les succès présents
Offre un chemin de migration simple du passé au futurOffre un chemin de migration simple du passé au futur
7
Caractéristiques d’un méta-systèmeCaractéristiques d’un méta-système
Possibilité de Possibilité de négociationnégociation
EncapsulationEncapsulation
Transformation des Transformation des claims claims
ExpérienceExpérienceutilisateurutilisateur
Permet au consommateur d’identité, au Permet au consommateur d’identité, au sujet et au fournisseur d’identité de sujet et au fournisseur d’identité de négocier les exigences en termes de négocier les exigences en termes de politiques techniquespolitiques techniques
Mécanisme Mécanisme agnostique agnostique d’échange d’échange des politiques et des preuves des politiques et des preuves d’identités entre fournisseur et d’identités entre fournisseur et consommateur d’identitéconsommateur d’identité
Mécanisme de confiance pour Mécanisme de confiance pour échanger les claims d’identités échanger les claims d’identités quel que soit les formats des jetons quel que soit les formats des jetons d’identitéd’identité
Interface homme – machine cohérente Interface homme – machine cohérente quels que soient les systèmes et les quels que soient les systèmes et les technologiestechnologies
Besoins d’un méta-système d’identitéBesoins d’un méta-système d’identité
8
WS-*, une architecture pour un méta-système d’identitéWS-*, une architecture pour un méta-système d’identité
Architecture composable pour les services WebArchitecture composable pour les services WebLarge participation de l’industrieLarge participation de l’industrie
Architecture ouverte fondée sur des standardsArchitecture ouverte fondée sur des standards
Disponible sans royaltiesDisponible sans royalties
Neutralité par rapport aux formats de jetons de sécuritéNeutralité par rapport aux formats de jetons de sécuritéLa spécification OASIS WS-Security 2004 constitue la baseLa spécification OASIS WS-Security 2004 constitue la base
x509, Kerberos, SAML 1.1, 1.2, 2.0, XrML, etc.x509, Kerberos, SAML 1.1, 1.2, 2.0, XrML, etc.
Système dynamique pour échanger des claimsSystème dynamique pour échanger des claimsWS-MetadataExchange, WS-SecurityPolicy, etc.WS-MetadataExchange, WS-SecurityPolicy, etc.
Transformation de jetons et de claimsTransformation de jetons et de claimsWS-Trust WS-Trust définit une composante clé, le service de jetons de définit une composante clé, le service de jetons de sécurité (sécurité (Security Token ServicesSecurity Token Services ou STS) ou STS)
Toutes les spécifications principales sont des standards de Toutes les spécifications principales sont des standards de l’OASIS (ou du W3C) ou sur le point de l’êtrel’OASIS (ou du W3C) ou sur le point de l’être
9
Consommateur d’identitéConsommateur d’identité
S’identifie via un mécanisme cryptographique certainS’identifie via un mécanisme cryptographique certainL’utilisateur peut décider si le consommateur d’identité est bien L’utilisateur peut décider si le consommateur d’identité est bien celui que l’utilisateur s’attend à êtrecelui que l’utilisateur s’attend à être
Les claims communiquées sont explicitement chiffrées à Les claims communiquées sont explicitement chiffrées à destination de cette identitédestination de cette identité
Exprime les exigences en termes d’identité pour un serviceExprime les exigences en termes d’identité pour un serviceUne liste de claimsUne liste de claims
Une liste de fournisseurs d’identité admissibles (y compris les Une liste de fournisseurs d’identité admissibles (y compris les auto-générés)auto-générés)
Une liste des formats de jetons recevablesUne liste des formats de jetons recevables
Pour s’insérer dans le méta-système d’identitéPour s’insérer dans le méta-système d’identitéDéfinir une politique à l’aide de Définir une politique à l’aide de WS-SecurityPolicyWS-SecurityPolicy
Supporter la consultation de la politique via le protocole Supporter la consultation de la politique via le protocole WS-WS-MetadataExchangeMetadataExchange
Véhiculer les jetons de sécurité dans le protocole applicatif via le Véhiculer les jetons de sécurité dans le protocole applicatif via le protocole WS-Securityprotocole WS-Security
10
Fournisseur d’identitéFournisseur d’identité
Produit les jetons de sécuritéProduit les jetons de sécuritéDéfinit les conditions pour produire le jeton, à savoir les Définit les conditions pour produire le jeton, à savoir les crédentiels nécessaires, si le consommateur d’identité doit être crédentiels nécessaires, si le consommateur d’identité doit être nomménommé
Pour s’insérer dans le méta-système d’identitéPour s’insérer dans le méta-système d’identitéImplémenter un service de jetons de sécuritéImplémenter un service de jetons de sécurité
Supporter le protocole WS-TrustSupporter le protocole WS-Trust
Request for Security TokenRequest for Security Token (RST) (RST)
Request for Security Token ResponseRequest for Security Token Response (RSTR) (RSTR)
Peut s’intégrer avec un système d’identité existantPeut s’intégrer avec un système d’identité existantS’adapter à un système SAML existantS’adapter à un système SAML existant
S’adapter à un déploiement de cartes à puces existantS’adapter à un déploiement de cartes à puces existant
Peut s’exécuter sur n’importe quel périphériquePeut s’exécuter sur n’importe quel périphériqueServeurs, PCs, périphériques mobilesServeurs, PCs, périphériques mobiles
11
Sélecteur d’identitéSélecteur d’identité
Affiche l’identité du consommateur d’identitéAffiche l’identité du consommateur d’identitéFacilite l’authentification à 2 sensFacilite l’authentification à 2 sens
Obtient les exigences du consommateur d’identitéObtient les exigences du consommateur d’identitéAffiche la politique d’usage du consommateur d’identitéAffiche la politique d’usage du consommateur d’identité
Affiche les identités numériques disponibles vis-à-vis des Affiche les identités numériques disponibles vis-à-vis des consommateurs d’identité (depuis les fournisseurs d’identité) consommateurs d’identité (depuis les fournisseurs d’identité) sous forme de cartesous forme de carte
Fondé sur la métaphore du monde réel des cartes physiquesFondé sur la métaphore du monde réel des cartes physiquesCarte d’identité, permis de conduire, carte bancaire, carte de membre, Carte d’identité, permis de conduire, carte bancaire, carte de membre, etc.etc.
L’utilisateur sélectionne la carte à présenter au consommateur L’utilisateur sélectionne la carte à présenter au consommateur d’identité d’identité
Expérience cohérente et prédictible quels que soient les Expérience cohérente et prédictible quels que soient les fournisseurs et consommateurs d’identitéfournisseurs et consommateurs d’identité
L’utilisateur doit donner son consentement avant de divulguer L’utilisateur doit donner son consentement avant de divulguer ses claimsses claims
« « Contrôle et consentement de l’utilisateur Contrôle et consentement de l’utilisateur » » – – 1ère Loi de 1ère Loi de l’identitél’identité
12
CarteCarte
FournisseurFournisseurd’identitéd’identité
Service de Service de jetons jetons
de sécuritéde sécurité
FabrikamFabrikam
Les valeurs des Les valeurs des claims sont claims sont
détenues au niveau détenues au niveau du fournisseur du fournisseur
d’identitéd’identité
Name: JeanName: Jean’s Card’s CardExpires: 9/15/2006Expires: 9/15/2006ImageImageIssuer: FabrikamIssuer: FabrikamSupported Claims: {Supported Claims: {
GivenNameGivenNameLastNameLastNameAddressAddressCityCity… … }}
Issuer Token Service EPRsIssuer Token Service EPRsSupported Token Type: {Supported Token Type: { SAML 1.1 } SAML 1.1 }
……
Jean DupondJean Dupond
1306 - 25231306 - 2523
Exp 9/15/2006Exp 9/15/2006
Jean’s CardJean’s Card
FabrikamFabrikam
13
CarteCarteReprésentation visuel d’une identité numériqueReprésentation visuel d’une identité numérique
Une carte n’est PAS un jeton de sécuritéUne carte n’est PAS un jeton de sécuritéArtefact qui représente la relation de délivrance d’un jeton entre Artefact qui représente la relation de délivrance d’un jeton entre l’utilisateur et le fournisseur d’identité correspondantl’utilisateur et le fournisseur d’identité correspondant
Une carte contient des métadonnées pour l’obtention d’un jeton de Une carte contient des métadonnées pour l’obtention d’un jeton de sécurité d’un fournisseur d’identitésécurité d’un fournisseur d’identité
Type de jetons de sécurité, Claims supportés, Adresse du fournisseur Type de jetons de sécurité, Claims supportés, Adresse du fournisseur d’identité, Crédentiels exigésd’identité, Crédentiels exigés
Le jeton de sécurité délivré par le fournisseur d’identité est soumis Le jeton de sécurité délivré par le fournisseur d’identité est soumis au consommateur d’identité par l’utilisateur au consommateur d’identité par l’utilisateur
Fait de l’utilisateur un participant actif de l’utilisation d’identitéFait de l’utilisateur un participant actif de l’utilisation d’identitéConsentement et contrôleConsentement et contrôle
Etablit une confiance mutuelle entre l’utilisateur et les services accédésEtablit une confiance mutuelle entre l’utilisateur et les services accédés
Atténue le risque de phishing et de vol d’identitéAtténue le risque de phishing et de vol d’identité
Expérience utilisateur cohérenteExpérience utilisateur cohérenteEntre les cartes auto-générées et les cartes géréesEntre les cartes auto-générées et les cartes gérées
Entre les scénarios « A la maison » et « Au travail » (domaine and sans Entre les scénarios « A la maison » et « Au travail » (domaine and sans domaine)domaine)
14
Comment tout cela fonctionne-t-il ?Comment tout cela fonctionne-t-il ?
ApplicationApplicationclientecliente
ConsommateConsommateur d’identitéur d’identité
PoliPolitiqutiquee
FournisseurFournisseurd’identitéd’identité
Service de Service de jetons jetons
de sécuritéde sécuritéPoliPolitiqutiqu
ee
2
Lecture de la politique Lecture de la politique définissant les preuves définissant les preuves requises et les fournisseurs requises et les fournisseurs d’identité : « d’identité : « Je Je souhaiterais recevoir un souhaiterais recevoir un jeton contenant jeton contenant givenName et lastName givenName et lastName dont le tokenType est dont le tokenType est SAML 1.1, émis par SAML 1.1, émis par n’importe quin’importe qui » »
Sélecteur Sélecteur d’identitéd’identité
3 Filtrage des cartes qui pourraient satisfaire Filtrage des cartes qui pourraient satisfaire les exigences du consommateur d’identitéles exigences du consommateur d’identité
4 L’utilisateur sélectionne une carte depuis L’utilisateur sélectionne une carte depuis la liste des identités appropriées dans le la liste des identités appropriées dans le sélecteur d’identitésélecteur d’identité
6
Le fournisseur Le fournisseur d’identité produit d’identité produit le jeton de le jeton de sécurité sécurité contenant les contenant les preuves requises preuves requises
JetonJeton 1
Accès à la Accès à la RessourceRessource
7
L’application L’application relaye le jeton relaye le jeton de sécurité au de sécurité au
consommateur consommateur d’identitéd’identité
5
Le sélecteur Le sélecteur d’identité d’identité
présente les présente les crédentiels au crédentiels au
fournisseur fournisseur d’identité et d’identité et
demande un jeton demande un jeton de sécuritéde sécurité
CrédentielCrédentielss
15
Protocoles utilisésProtocoles utilisés
FournisseurFournisseurd’identitéd’identité
Service de Service de jetons jetons
de sécuritéde sécurité
ConsommateConsommateur d’identitéur d’identité
PoliPolitiqutiquee
ApplicationApplicationclientecliente
PoliPolitiqutiquee
WS-WS-SecurityPolicySecurityPolicy
WS-WS-SecurityPolicySecurityPolicy
WS-WS-MetadataExchange,MetadataExchange,
WS-SecurityWS-Security
WS-WS-MetadataExchange,MetadataExchange,
WS-SecurityWS-Security,,WS-TrustWS-Trust
Sélecteur Sélecteur d’identitéd’identité
16
« InfoCard » comme sélecteur d’identité« InfoCard » comme sélecteur d’identitéPermet à l’utilisateur de participer dans le méta-système Permet à l’utilisateur de participer dans le méta-système d’identitéd’identitéComposant de Composant de Windows Communication FoundationWindows Communication Foundation (WCF) dans (WCF) dans WinFXWinFX
Utilisable par n’importe quelle application, implémenté comme sous-Utilisable par n’importe quelle application, implémenté comme sous-système sécurisésystème sécuriséDialogue de crédentiels Windows communDialogue de crédentiels Windows commun
Axes de conceptionAxes de conceptionRespect des Respect des « Lois de l’identité »« Lois de l’identité »
http://msdn.microsoft.com/library/en-us/dnwebsrv/html/lawsofidentity.asphttp://msdn.microsoft.com/library/en-us/dnwebsrv/html/lawsofidentity.asp
Respect de la vie privéeRespect de la vie privéePar défaut, le fournisseur d’identité n’apprend rien des habitudes d’un Par défaut, le fournisseur d’identité n’apprend rien des habitudes d’un utilisateur entre les différents services et sitesutilisateur entre les différents services et sitesL’utilisateur est conscient de l’utilisation faite de ses donnéesL’utilisateur est conscient de l’utilisation faite de ses données
SécuritéSécuritéChiffrement du stockageChiffrement du stockageChiffrement du jeton à destination du consommateur d’identitéChiffrement du jeton à destination du consommateur d’identitéExécution dans un bureau distinctExécution dans un bureau distinct
OuvertureOuvertureUtilisation de protocoles standards et ouvertsUtilisation de protocoles standards et ouvertsNeutralité par rapport aux formats de jetons de sécurité de façon à Neutralité par rapport aux formats de jetons de sécurité de façon à faciliter les rendez-vous entre consommateurs et fournisseurs d’identitéfaciliter les rendez-vous entre consommateurs et fournisseurs d’identitéJeu de claims extensibleJeu de claims extensible
17
InfoCard en actionInfoCard en action
ConsommateuConsommateur d’identitér d’identité
Runti
me
Runti
me
W
CF
WC
F
Application Application ClientClientee
((AppApp WCF) WCF)
IHello:Say() +
Retourne : « Hello World, Jean! »
JetonJeton
Depuis « InfoCard »
WS-Mex : WSDL, Politique
WSDL + Politique
Le message est sécurisé via le certificat
Certificat organisationnel pour afficher les logos sujet et émetteur
Poin
t de
Poin
t de
Term
inais
on
Term
inais
on
Poin
t de
Poin
t de
Term
inais
on
Term
inais
on
Mex
Mex
18
Implémentation MicrosoftImplémentation MicrosoftComplètement interopérable avec les protocoles publiésComplètement interopérable avec les protocoles publiés
Avec d’autres implémentations de sélecteur d’identitéAvec d’autres implémentations de sélecteur d’identitéAvec d’autres implémentations de consommateur d’identitéAvec d’autres implémentations de consommateur d’identitéAvec d’autres implémentations de fournisseur d’identitéAvec d’autres implémentations de fournisseur d’identité
Disponibilité d’un guide de mise en œuvre détaillé co-publié Disponibilité d’un guide de mise en œuvre détaillé co-publié avec Ping Identityavec Ping Identity
« « A Guide to Integrating with InfoCard v1.0 A Guide to Integrating with InfoCard v1.0 »», , AoûtAoût 2005 2005http://download.microsoft.com/download/6/c/3/6c3c2ba2-e5f0-4fe3-be7http://download.microsoft.com/download/6/c/3/6c3c2ba2-e5f0-4fe3-be7f-c5dcb86af6de/infocard-guide-beta2-published.pdff-c5dcb86af6de/infocard-guide-beta2-published.pdf
« « A Technical Reference for InfoCard v1.0 in Windows A Technical Reference for InfoCard v1.0 in Windows »», , AoûtAoût 2005 2005http://download.microsoft.com/download/5/4/0/54091e0b-464c-4961-a9http://download.microsoft.com/download/5/4/0/54091e0b-464c-4961-a934-d47f91b66228/infocard-techref-beta2-published.pdf34-d47f91b66228/infocard-techref-beta2-published.pdf
Ping Identity et d’autres ont annoncé le support sur Linux, Ping Identity et d’autres ont annoncé le support sur Linux, Unix, Apache, et d’autres plateformesUnix, Apache, et d’autres plateformes
PingSTSPingSTShttp://www.pingidentity.com/products/pingstshttp://www.pingidentity.com/products/pingsts
33
http://www.microsoft.com/downloads/details.aspx?http://www.microsoft.com/downloads/details.aspx?FamilyID=66734401-4988-4ded-9876-FamilyID=66734401-4988-4ded-9876-3dc10223052c&displaylang=en3dc10223052c&displaylang=en
« Microsoft Federated Identity and Access Resource Kit
for Sept 2005 Community Technology Preview »
38
Implémentation Microsoft des services de jetons de sécuritéImplémentation Microsoft des services de jetons de sécurité
Service de jetons de sécurité localService de jetons de sécurité local InfoCard InfoCardEmetteur Emetteur : : http://schemas.microsoft.com/ws/2005/05/identity/issuer/selfhttp://schemas.microsoft.com/ws/2005/05/identity/issuer/self
Type auto-généré, stocké localementType auto-généré, stocké localement
Type de jeton supporté Type de jeton supporté : SAML 1.1: SAML 1.1
Claims supportés : 12 claimsClaims supportés : 12 claims
Type de preuve de possession : symétrique, asymétriqueType de preuve de possession : symétrique, asymétrique
Fonctionnalité de respect de la vie privé : La clé de signature varie Fonctionnalité de respect de la vie privé : La clé de signature varie d’un consommateur d’identité à un autred’un consommateur d’identité à un autre
FuturFutur : Active Directory STS : Active Directory STSActive Directory Federation Service (ADFS) Active Directory Federation Service (ADFS) dede Windows Server Windows Server 2003 R2 2003 R2 préfigurepréfigure AD-STS AD-STS
39
Active Directory Federation Services (ADFS)Active Directory Federation Services (ADFS)Intégrer aujourd’hui le browser (client passif) dans le méta-Intégrer aujourd’hui le browser (client passif) dans le méta-système d’identitésystème d’identité
Web Single Sign-OnWeb Single Sign-On Intranet, Extranet et fédéré Intranet, Extranet et fédéréApplications « Applications « Claims-awareClaims-aware » »Applications nécessitant un jeton NTApplications nécessitant un jeton NT
Fonctionne avec les déploiements AD, AD/AM existantsFonctionne avec les déploiements AD, AD/AM existants
Extensible et interopérableExtensible et interopérableUtilise WS-Trust pour la transformation des jetonsUtilise WS-Trust pour la transformation des jetonsSupporte les jetons Kerberos, X.509 et SAML 1.1Supporte les jetons Kerberos, X.509 et SAML 1.1S’intègre avec les autorisations S’intègre avec les autorisations Authorization Manager (AzMan)Authorization Manager (AzMan)
Bel exemple de méta-systèmes d’identité pour les clients passifsBel exemple de méta-systèmes d’identité pour les clients passifsFournisseur/Consommateur d’identité interopérableFournisseur/Consommateur d’identité interopérable
Aujourd’hui : BMC Federated Identity Manager/Web Access Manager, IBM Aujourd’hui : BMC Federated Identity Manager/Web Access Manager, IBM Tivoli Federated Identity Manager, Oracle COREid Federation, Ping Tivoli Federated Identity Manager, Oracle COREid Federation, Ping Identity PingFederateIdentity PingFederateCourant 2006 : Citrix Access SuiteCourant 2006 : Citrix Access Suite, , Computer Associates Identity Computer Associates Identity Federation Solutions, d'Internet2 Shibboleth et RSA Federated Identity Federation Solutions, d'Internet2 Shibboleth et RSA Federated Identity Manager/ClearTrustManager/ClearTrust
Consommateur d’identité interopérableConsommateur d’identité interopérableQuest VSJ, Centrify Direct Control, BMCQuest VSJ, Centrify Direct Control, BMC
Disponible ce moisDisponible ce mois
40
[1] HTTP GET par le browser à destination du serveur Web (WS)
[1][1]
Web SSO fédéré avec ADFS
FS-A
FS-P R
WS
FS-R
Forêt intranet Forêt
DMZ
Fédération
Pare-feu Pare-feu
Pare-feu
Pare-feu
Client
Relation de confiance établie « Relation de confiance établie « out-of-bandout-of-band » par l’échange de certificats » par l’échange de certificats X.509 et de politiques de X.509 et de politiques de claimsclaims
Articulation de l’ensemble de l’authentification autour du client pour les Articulation de l’ensemble de l’authentification autour du client pour les clients Browserclients Browser
FS-PA (int)
FS-PA (ext)
[2] Redirection HTTP 302 vers FS-P R Découverte du Royaume d’Appartenance
[2][2]
[3] Redirection HTTP 302 vers FS-P A (int) Authentification de l’utilisateur et demande de jeton
[3][3]
[4] Obtention des attributs par FS-A et construction du jeton(A)
[4][4]
[5][5]
[5] Renvoi par FS-P A (int) du jeton(A) au browser HTTP POST par le browser du jeton(A) vers FS-P R
[6][6]
[6] Demande de validation du jeton par FS-P R Construction par FS-R d’un jeton(R) à partir du jeton(A)
[7][7]
[7] Renvoi par FS-P R du jeton(R) au browser HTTP POST par le browser du jeton(R) à WS
[8][8]
[8] Renvoi par WS de la page
41
Web SSO fédéré avec ADFSWeb SSO fédéré avec ADFS
41
42
43
© 2005 Microsoft Corporation. Tous droits réservés.
This presentation is for informational purposes only. MICROSOFT MAKES NO WARRANTIES, EXPRESS OR IMPLIED, IN THIS SUMMARY.
