palais des congrès Paris

7, 8 et 9 février 2012

Implémenter l’authentification forte pour vos environnements Cloud

Philippe BERAUDJean-Yves GRASSETConsultant ArchitecteDirection Technique et SécuritéMicrosoft France

Code Session : SEC2211

Didier PERROTCEOin-webo Technologieshttp://in-webo.com/

Florence DUBOISDirecteur R&DLogin Peoplehttp://www.loginpeople.com/

Vers une informatique fédéréeRôle central d’AD FS 2.0 pour les clients Active DirectoryPrise en charge de l’authentification forte pour les identitésApproches en termes d’authentification forte

Login People InWebo

Objectifs et sommaire de la session

PaaS

Cloud public

…IaaS

PaaS

Cloud publicVers l’informatique fédérée

Google App Engine

amazonweb servicessalesforce

…Fournisseur d’identités /

Passerelle de fédération

PaaS

SaaS

IaaS

Cloud privé

SaaS

Cloud public

Fédération d’identité

L’économie du Cloud crée l’informatique fédérée Le Cloud est ce que les fournisseurs informatiques

vendent… …Une informatique fédérée est ce que les entreprises

mettent en place

L’identité joue un rôle central pour la mise en place de cette informatique fédérée

Vers l’informatique fédérée

Le service de fédération AD FS 2.0 Expérience d'authentification unique (SSO)

Pour les accès internes ou depuis l’extérieur Vers des applications et services Web fédérés Internes, externalisés ou dans le Cloud

Service central, disponible et transparent Idem à Active Directory (AD DS) déployé aujourd’hui dans

90% des entreprises Interopérable

Fondé sur des standards protocolaires OASIS SAML-P 2.0, WS-Federation, WS-Trust

AD FS 2.0 : Service de Fédération

Les fonctions et rôles d’un serveur de fédération(FS) AD FS 2.0

Service de jetons de Sécurité (STS) Fournisseur de revendications (Claims Provider)

Authentification Windows intégrée (WIA) par défaut Partie consommatrice (Relying Party) Passerelle protocolaire de fédération

Ex. : SAML-P 2.0<->WS-Federation Gestionnaire des relations de confiance de fédération

Automatise et facilite la gestion des relations de confiance basée sur l’échange de métadonnées standardisées

AD FS 2.0 : Serveur de Fédération

Besoin : accès distant au SI fédéré depuis la maison, l’aéroport, un internet café...Solution par Extension du périmètre réseau

Connexion réseau directe via VPN, DirectAccess et RDS (Remote Desktop Services)

Mais exigences significatives en termes d’infrastructure et accès complet aux ressources (open-bar)

Solution Reverse-proxy Reverse-proxy classique

TMG (Microsoft Forefront Threat Management Gateway) ou UAG (Microsoft Forefront Unified Access Gateway) SP1

Proxy de fédération (FS-P) AD FS 2.0 Bénéfice d’un contrôle d’accès en bordure Intérêt du renforcement de l’authentification pour sécuriser les accès

entrants

Quid des utilisateurs distants ?

PaaS

…IaaS

PaaS

Authentification avec un FS-P AD FS 2.0

Fournisseur de service

/Passerelle de

fédérationPaaS

SaaS

IaaS

SaaS

DMZIntranet

FS AD FS 2.0

FS-P AD FS 2.0AD

DS

Accès à une application Web (client passif) Hébergée en interne et publiée sur l’extranet ou internet

Ex. ASP.NET avec le Framework WIF (Windows Identity Foundation) Hébergée en réseau périmétrique (DMZ) sur l’extranet ou internet Hébergée dans le Cloud

Ex. PaaS : application Web dans Windows Azure Ex. SaaS : SharePoint Online ou Outlook Web App (OWA) 2010 dans

Office 365 Hébergée dans une organisation partenaire

Clients Word 2010, Excel 2010, PowerPoint 2010 accédant à des ressources SharePoint fédérée

Boîte de dialogue avec la prise en charge des protocoles Web de fédération fondés sur les redirections (WS-Fed, SAML-P)

Pas de prise en charge directe des clients actifs (ex. Outlook, Lync)

Scénarios d’authentification FS-P AD FS 2.0

Collecte et traitement des crédentités 2FA(*) Fonction de la solution d’authentification à double facteur 4 approches de configuration/mise en œuvre des FS-P AD FS

2.0

1ère approche : Authentification forte native Authentification par carte à puces/authentifieur USB

Authentification TLS avec certificat client En « grosse maille », mêmes contraintes et possibilités que le

Smart Card Logon Prise en charge native par le FS-P

Emission d’une revendication (claim) « Strong Authentication» Possibilité d’une autorisation fondée sur la force de

l’authentification au niveau des ressources accédées

Authentification forte avec un FS-P AD FS 2.0

(*) 2FA = two-factor authentication

2ième approche : Interception du trafic FS-P par un module HTTP Module compatible avec la version d’IIS 7.x de Windows Server 2008 ou

Windows Server 2008 R2 Doit être installé sur chaque FS-P Ex. Prise en charge des authentifieurs RSA SecureID

AD FS 2.0 Step-by-Step Guide: Integration with RSA SecurID in the Extranet

RSA Authentication Agent 7.0 for Web IIS 7 Cinématique :

Avant de laisser passer le trafic intercepté, redirection vers le service 2FA Fourniture des crédentités 2FA qui sont validées par le service 2FA Après authentification réussie auprès du service 2FA, redirection vers le FS-P,

traitement du trafic par le FS-P et authentification au niveau du FS-P Fourniture des crédentités AD au niveau de la page de connexion du FS-P

Redirection multiples et au moins deux demandes de saisie pour les crédentités (2FA puis AD)

Pas de revendication (claim) « Strong Authentication» possible

Authentification forte avec un FS-P AD FS 2.0

3ième approche :Personnalisation de la page d’authentification AD FS 2.0

Nécessité au niveau du service 2FA d’une interface invocable par code pour authentifier les crédentités 2FA

Idéalement via WS-Trust Optimal en termes d’expérience utilisateur

1 seule page personnalisée pour les crédentités 2FA et AD Emission possible d’une revendication «  Strong

Authentication » selon implémentation Implémentation : Voir SDK AD FS 2.0

Illustration avec la solution Login People tout de suite après…

Authentification forte avec un FS-P AD FS 2.0

4ième approche : Fournisseur de jetons 2FA Redirection via la déclaration d’un fournisseur de jetons

(Claim Provider) au niveau AD FS 2.0 Le service 2FA prend en charge WS-Fed ou SAML-P

Redirection protocolaire au sens de la fédération d’identité Consommation du jeton émis par le service 2FA par AD FS

2.0 Présence d’une revendication (claim) « Authentification forte »

en fonction des possibilités du service 2FA

Illustration avec la solution In-Webo tout de suite après…

Authentification forte avec AD FS 2.0

Startup française basée à Sophia AntipolisL’ADN du Numérique® : technologie brevetéePoints clés du Digital DNA Server, serveur d’authentification forte

Zéro-Déploiement - vous possédez déjà les équipements d’authentification (PC, clé USB, téléphone mobile, …)

Simplicité - facilité d’utilisation, facile à administrer Multi-Supports - clients Web et clients riches Multi-Facteurs - 2FA et plus : combinaison sans limite Intégration dans le SI avec les annuaires d’entreprise Compatibilité avec de nombreux produits (accès VPN...) via RADIUS

Login People : « L’Authentification forte pour tous »

Réduction significative du TCO

Digital DNA Server, serveur d’authentification Fournit un STS (Service de jetons de sécurité) WS-Trust [Claims Provider] Synchronisation des utilisateurs depuis un Active Directory

Page de Login Spécifique, déployée sur AD FS 2.0 Approche 3 décrite précédemment Embarque la logique d’authentification ADN du Numérique Fait le lien entre AD FS et le STS du Digital DNA Server

AD FS 2.0 Transforme le jeton SAML générique fourni par le STS en jeton spécifique

pour les applications cibles

Active Directory Source authentique des profils utilisateurs Source principale d’information pour AD FS et pour le DDNA Server

Solution Login People : STS

DMZ

Intranet

Authentification avec un FS-P AD FS 2.0

… Application Cible

FS AD FS 2.0

FS-P AD FS 2.0AD

DS

Accès à l’application cible et redirection vers page d’authentification AD FS 2.0

Demande d’un challengeAuthentification : nom + mot de passe +

réponse au challenge basé sur l’ADNDigital DNA Server : Génération d’un

jeton SAML (#1) par le Digital DNA Server

AD FS 2.0: Traitement du jeton #1 et émission d’un jeton SAML #2 à destination de l’application ciblée

Accès à l’application cibleDigital DNA Server

v

Prérequis :• Synchronisation depuis

AD DS• Enrôlement des ADN

w

x

y

u

z

Authentification forte avec AD FS 2.0

AD FS 2.0 et l’ADN du Numérique®

Démonstration

Solutions sécurisées de connexion et d’accès, depuis 2008, acteur Français, pure-player, pour les Entreprises et les Fournisseurs de ServicesAuthentification multi-facteurs dématérialisée, multi-terminaux

OTP-Generator : application mobile locale (tous téléphones et smartphones du marché)

Connexion sécurisée depuis les navigateurs (IE, FF, Chrome, Safari) Connexion sécurisée depuis les applications (tablettes, smartphones,

ordinateurs, etc.)

API et « connecteurs » de sécurité Radius : contrôle d’accès périmétrique (par ex. VPN, reverse-proxy) Services Web : contrôle d’accès sur pages web (par ex. FS-P pour approches 2 et

3) SAML-P 2.0 (par ex. pour approche 4) Compatibilité complète Moyens d’authentification <-> Connecteurs

Outils de provisioning et d’administration, mise en œuvre immédiate

InWebo Technologies (http://inwebo.com)

Authentification forte avec AD FS 2.0

… Application Cible

DMZIntranet

FS AD FS 2.0

FS-P AD FS 2.0AD

DS

Identity ProviderInWebo (SAML)

1- Demande de connexion

2- Demande de jeton(redirection du

navigateur)

3- Demande de jeton(redirection du

navigateur)

4- Authentification

5- Connexion(redirection du

navigateur)

Fédération des applications avec l’AD FS 2.0Déclaration de l’IDP InWebo dans l’AD FS 2.0

Import du fichier de méta-data fourni dans la console InWebo

Configuration d’une règle dans l’AD FS 2.0 Mode d’invocation de l’IDP InWebo : systématique,

uniquement si utilisateur distant, etc. (exemples de règles fournis)

Création des crédentités dans l’IDP InWebo Palette d’outils fournis par InWebo : API de provisioning, outil

de synchronisation AD, console de gestion Pluralité de moyens d’authentification multi-facteurs

Mise en œuvre en « 4 clics »

Solution InWebo

Authentification forte avec AD FS 2.0

La fédération d’identité joue un rôle central dans l’informatique fédéréeAD FS 2.0 tire parti des investissements de l’entreprise dans AD DS pour mettre à disposition une solution interopérable de fournisseur d’identité/passerelle (protocolaire) de fédération(/fournisseur de service) Des solutions existent pour apporter une solution d’authentification forte souple pour la fédération d’identité et AD FS 2.0

En guise de conclusion

AD FS 2.0 http://www.microsoft.com/adfs AD FS 2.0 RTW

http://www.microsoft.com/download/en/details.aspx?id=10909

AD FS 2.0 Update Rollup 1 http://support.microsoft.com/kb/2607496

SDK AD FS 2.0 http://msdn.microsoft.com/en-us/library/ee895355.aspx

Carte du contenu AD FS 2.0 http://social.technet.microsoft.com/wiki/contents/articles/27

35.aspx

Pour aller au-delà

Sessions Microsoft TechDays 2011 http://www.microsoft.com/france/mstechdays/showcase/default.aspx Session ARC203 "Architecture des applications et des services fondés

sur la fédération d'identité et les revendications : une introduction" Session SEC2306 "Utiliser Active Directory Federation Services 2.0

pour une authentification unique interopérable entre organisations et dans le Cloud"

Identity Developer Training http://bit.ly/cWyWZ2

A Guide to Claims-based Identity And Access Control 2nd Edition

http://bit.ly/uHsywx

Pour aller au-delà

Spécifications OASIS OASIS SAML 2.0

http://www.oasis-open.org/standards#samlv2.0 OASIS WS-Trust 1.4

http://www.oasis-open.org/standards#wstrustv1.4 OASIS WS-Federation 1.2

http://www.oasis-open.org/standards#wsfedv1.2

Plus d’informations

Portail Microsoft France Interopérabilité http://www.microsoft.com/france/interop/ Portail US

http://www.microsoft.com/interop/

Portail Microsoft Spécifications Ouvertes  http://www.microsoft.com/openspecifications

Portail Port 25 http://port25.technet.com/

Portail "Interop Vendor Alliance" http://interopvendoralliance.com/

Portail "Interoperability Bridges and Labs Center" http://www.interoperabilitybridges.com/

Weblog Interoperability@Microsoft http://blogs.msdn.com/b/interoperability/

Plus d’informations

Groupe "Forum des architectures applicatives Microsoft"

http://bit.ly/archiappms

Plus d’informations

Ce forum regroupe des architectes en informatique qui ont des choix de technologies à faire dans les projets pour lesquels ils travaillent. L’architecte applicatif, en situation de projet, travaille typiquement aux côtés de la direction de projet pour choisir et assumer des choix techniques en fonction des contraintes du projet (fonctionnalités, délais, ressources). Pour effectuer ces choix à bon escient, il doit connaître ce que le marché offre en termes de technologies. Cela peut prend typiquement deux formes : veille technologique continue, recherches dans le cadre du projet.

L’architecte applicatif a aussi pour rôle de faire le lien entre les équipes de développement et les équipes d’infrastructure et d’exploitation de la future application. Il doit également veiller à ce que ses choix soient bien mis en œuvre pendant le développement. Ce forum, à l’initiative de Microsoft France, a pour but d’aider les architectes applicatifs • A faciliter la connaissance de l’offre de Microsoft pour les projets en entreprise (envoi de liens vers des

présentations, documents, webcasts, conférences, etc.), mais également • A échanger sur des problématique d’architecture ayant un rapport, même partiel, avec la plateforme Microsoft

(est-ce que AD FS 2.0 fonctionne dans un environnement SAML-P 2.0, comment se passe la réversibilité d’une application développée pour le Cloud, quelles sont les implications d’un déploiement sur une ferme Web, etc.).

Cet espace est le vôtre, faites le vivre, nous sommes aussi et surtout là pour vous lire.

Microsoft France39, quai du président Roosevelt

92130 Issy-Les-Moulineaux

www.microsoft.com/france