43
Donnez votre avis ! Depuis votre smartphone, sur : http://notes.mstechdays.fr De nombreux lots à gagner toutes les heures !!! Claviers, souris et jeux Microsoft… Merci de nous aider à améliorer les TechDays http://notes.mstechdays.fr

Windows Azure Active Directory, SSO étendu et services d’annuaire pour les applications Cloud et SaaS

Embed Size (px)

DESCRIPTION

Windows Server Active Directory (AD) a permis aux développeurs de se concentrer sur les fonctionnalités de leurs applications métiers plutôt que d’avoir à se préoccuper de la gestion des identités. Windows Azure Active Directory (AAD) est l’Active Directory réinventé pour le cloud, un service conçu pour résoudre pour vous les nouveaux challenges en matière d’identités organisationnelles et sociales et de contrôle des accès qui viennent avec le passage à un monde centré sur le Cloud. Assistez à cette session pour voir comment tirer parti de Windows Azure Active Directory avec vos souscriptions SaaS, dans vos applications Cloud pour proposer notamment une authentification unique (SSO) étendue avec des identités organisationnelles ou sociales. Si vous avez déjà un investissement dans Active Directory et Visual Studio, vous découvrirez comment Windows Azure AD permet de valoriser encore plus votre investissement. Si votre solution fonctionne sur différentes plates-formes, vous apprécierez la facilité avec laquelle vous pouvez vous intégrer à Windows Azure AD via la prise en charge des standards ouverts tel que les protocoles SAML 2.0 et OAuth 2 et l’API REST Directory Graph. Cette session introduira également la nouvelle API cliente Windows Azure Authentication Library (AAL) pour l’interaction avec AAD.

Citation preview

Page 1: Windows Azure Active Directory, SSO étendu et services d’annuaire pour les applications Cloud et SaaS

Donnez votre avis !

Depuis votre smartphone, sur : http://notes.mstechdays.fr

De nombreux lots à gagner toutes les heures !!!

Claviers, souris et jeux Microsoft…

Merci de nous aider à améliorer les TechDays

http://notes.mstechdays.fr

Page 2: Windows Azure Active Directory, SSO étendu et services d’annuaire pour les applications Cloud et SaaS

SEC402 Windows Azure AD, SSO étendu et services

d’annuaire pour les applications Cloud et SaaS

Philippe BeraudSébastien Brasseur

Microsoft France

Architecture / Azure / Cloud

#WindowsAzurehttp://windowsazure.com

Page 3: Windows Azure Active Directory, SSO étendu et services d’annuaire pour les applications Cloud et SaaS

Souscrivez à l’offre d’essai ou activez votre accès Azure MSDN

Présentez-vous sur le stand Azure (zone Services & Tools)

Participez au tirage au sort à 18h30 le 12 ou le 13 février

1

2

3

Gagnez une Tablette Windows 8 !

Page 4: Windows Azure Active Directory, SSO étendu et services d’annuaire pour les applications Cloud et SaaS

Les annuaires offrent le meilleur modèle pour les applications Métier

Page 5: Windows Azure Active Directory, SSO étendu et services d’annuaire pour les applications Cloud et SaaS

Les annuaires traditionnels ne fonctionnent pas des mieux avec les

applications dans le Cloud

Page 6: Windows Azure Active Directory, SSO étendu et services d’annuaire pour les applications Cloud et SaaS

Un annuaire Cloud pour chaque organisation

Page 7: Windows Azure Active Directory, SSO étendu et services d’annuaire pour les applications Cloud et SaaS

Apps Cloud et les utilisateurs des organisations

Page 8: Windows Azure Active Directory, SSO étendu et services d’annuaire pour les applications Cloud et SaaS

• Le modèle d’annuaire• Les applications SaaS avec votre annuaire Cloud• La fédération de votre annuaire Cloud avec votre

annuaire sur site• Votre annuaire et vos applications Métier dans le Cloud• Vos applications dans le Cloud avec les identités

sociales : Bring Your Own Identity (BYOI) ! • L’annuaire de votre client et vos applications SaaS le

Cloud

Notre agenda pour la session

• Sessions complémentaires– SEC308 Identity as a Service (IDaaS), un service prêt à l’usage avec Windows

Azure Active Directory

Page 9: Windows Azure Active Directory, SSO étendu et services d’annuaire pour les applications Cloud et SaaS

Annuaires

Votre locataire AAD

Page 10: Windows Azure Active Directory, SSO étendu et services d’annuaire pour les applications Cloud et SaaS

Gestion Authentification

L’approche graphe de l’annuaire AAD

MemberOf

Page 11: Windows Azure Active Directory, SSO étendu et services d’annuaire pour les applications Cloud et SaaS

Anatomie d’AAD

AG

Locataire AAD Contoso

Windows Azure Active Directory

Portail de gestion

Interface RESTful

Graph API

Cmdlets Windows PowerShell pour AAD

OAuth2

SAML-P

Metadata

WS-Federation

Synchronisation + Fédération

Page 12: Windows Azure Active Directory, SSO étendu et services d’annuaire pour les applications Cloud et SaaS

AAD pour les organisations

Votre locataire AAD

Page 13: Windows Azure Active Directory, SSO étendu et services d’annuaire pour les applications Cloud et SaaS

demoACCÈS AU PORTAIL WINDOWS AZURE AD AVEC UNE IDENTITÉ D’ORGANISATION

AAD pour les organisations

Page 14: Windows Azure Active Directory, SSO étendu et services d’annuaire pour les applications Cloud et SaaS

• Provisionnement et déprovisionnements gérés de façon centrale

• Politiques de gestion des crédentités

• Authentification multi-facteurs• Meilleure expérience utilisateur

– Moins d’identifiants/mots de passe à mémoriser

Avantages de l’usage des identités d’organisation

En un mot:

contrôle

Page 15: Windows Azure Active Directory, SSO étendu et services d’annuaire pour les applications Cloud et SaaS

Fédération avec votre annuaire sur site

Votre locataire AAD

SynchronisationET fédération

Page 16: Windows Azure Active Directory, SSO étendu et services d’annuaire pour les applications Cloud et SaaS

• Nécessite de synchroniser les identités sur site avec votre locataire Windows Azure AD– Différentes approches pour créer des identités fédérées en

fonction de votre environnement• Microsoft Azure AD Directory Synchronization Tool (DirSync)• Connecteur Windows Azure AD pour FIM 2010 (R2)• Cmdlets Windows PowerShell pour Windows Azure AD

– Directory Graph API ne permet pas de créer des identités fédérées– Cf. session SEC308 Identity as a Service (IDaaS), un service prêt à

l’usage avec Windows Azure Active Directory

• Prise en charge des standards OASIS WS-Federation/WS-Trust et SAML 2.0

Fédération avec votre annuaire sur site

Page 17: Windows Azure Active Directory, SSO étendu et services d’annuaire pour les applications Cloud et SaaS

• Permet de couvrir l’ensemble des scenarios clients– Les scénarios d’entreprise MS Online utilisent toujours la pile WS-*– OASIS WS-Federation fournit un support pour l’authentification

cliente web/passive et les métadonnées de fédérations (sur-ensemble des métadonnées d’OASIS SAML 2.0)

– OASIS WS-Trust fournit un support pour l’authentification des clients riches• Ex. Lync 2010, Office 2013 avec une souscription Office 365

• Propriétés clés du jeton SAML 1.1– Issuer : Utilisé pour identifier le fournisseur d’identité. Globalement

unique– ImmutableID : Identifiant unique de l’utilisateur, lié à son

provisionnement– UPN : UPN de l’utilisateur, lié à la valeur fournie durant le

provisionnement

• Cf. livre blanc "Office 365 Single Sign-On with AD FS 2.0"

Fédération AAD basée sur WS-*

Page 18: Windows Azure Active Directory, SSO étendu et services d’annuaire pour les applications Cloud et SaaS

• Aujourd’hui avec Shibboleth 2• Permet de couvrir certains scénarios clients

– Support des clients Web/passifs à travers le profil SAML 2.0 Web SSO• "Post Redirect bindings" supportés : HTTP-POST, HTTP-POST-

SimpleSign• Pas de support pour Office 2013

– Support de client actif (Outlook) avec ECP (Enhanced Client Profile)

• Propriétés clés du jeton SAML 2.0– Issuer : Utilisé pour identifier le fournisseur d’identité.

Globalement unique– NameID : Identifiant unique de l’utilisateur, lié à son

provisionnement– IDPEmail : UPN de l’utilisateur, lié à la valeur fournie durant le

provisionnement

• Cf. livre blanc "Office 365 Single Sign-On with Shibboleth 2"

Fédération AAD basée sur SAML 2.0

Page 19: Windows Azure Active Directory, SSO étendu et services d’annuaire pour les applications Cloud et SaaS

demoFÉDÉRATION AVEC UN IDP SAML 2.0Fédération avec votre annuaire sur site

Page 20: Windows Azure Active Directory, SSO étendu et services d’annuaire pour les applications Cloud et SaaS

Vos applications dans le Cloud

Votre locataire AAD Locataires AAD

Page 21: Windows Azure Active Directory, SSO étendu et services d’annuaire pour les applications Cloud et SaaS

Comment une application Cloud se connecte a un annuaire Cloud?

?

??

Votre locataire AAD

Page 22: Windows Azure Active Directory, SSO étendu et services d’annuaire pour les applications Cloud et SaaS

Anatomie d’une application Cloud classique

Les clients peuvent provenir de tout types de terminaux/langages/plateformes

Les applications serveurs utilisent une grande variété de plateformes/langages

Navigateur

Application mobile

Application serveur

Page 23: Windows Azure Active Directory, SSO étendu et services d’annuaire pour les applications Cloud et SaaS

Un utilisateur autorisé crée dans l’annuaire un Principal représentant l’application, l’autorisant à accéder à l’annuaire en l’associant avec le bon rôle

Utilisateur autorisé

Utilisateur final

Locataire AAD Contoso

Authentification utilisateur

Connecter votre application LOB à Windows Azure AD

Page 24: Windows Azure Active Directory, SSO étendu et services d’annuaire pour les applications Cloud et SaaS

L’utilisateur final s’authentifie auprès de l’annuaire pour obtenir un jeton de sécurité à inclure dans les requêtes vers l’application CloudUtilisateur autorisé

Utilisateur final

Locataire AAD Contoso

Authentification utilisateur

Connecter votre application LOB à Windows Azure AD

Page 25: Windows Azure Active Directory, SSO étendu et services d’annuaire pour les applications Cloud et SaaS

demoUTILISER LES OUTILS ASP.NET POUR SE CONNECTER A WINDOWS AZURE AD

Vos applications dans le Cloud

Page 26: Windows Azure Active Directory, SSO étendu et services d’annuaire pour les applications Cloud et SaaS

Windows Azure Active Directory

OAuth2

SAML-P

WS-Federation

Metadata

Portail de gestion

Cmdlets Windows PowerShell pour AAD

Interface RESTful

Graph API

Connecter votre application LOB à Windows Azure AD

Locataire AAD Contoso

Page 27: Windows Azure Active Directory, SSO étendu et services d’annuaire pour les applications Cloud et SaaS

• Interface RESTful vers Windows Azure Active Directory• Compatible avec OData V3• Utilises OAuth 2.0 pour l’authentification et l’assignement de rôles aux

applications et utilisateurs pour la gestion des autorisations• Accès programmatique à Windows Azure Active Directory• Objets tels que Users, Groups, Contacts, Tenant Information, Licensing, Roles• Relations entre les objets telles que Member, memberOf, Manager,

DirectReport• Requêtes différentielles

• Les requêtes sont basées sur les verbes HTTP standards• GET, POST, PUT, DELETE pour lire, créer, mettre à jour ou effacer des objets de

l’annuaire• Formats XML ou JSON pour les réponses et codes HTTP standards

Directory Graph API

Page 28: Windows Azure Active Directory, SSO étendu et services d’annuaire pour les applications Cloud et SaaS

L’application Cloud obtient un jeton et accède à la Graph API en utilisant ce jeton.

Utilisateur autorisé

Utilisateur final

Locataire AAD Contoso

Authentification déléguée

Interface RESTful

Connecter votre application LOB à Windows Azure AD

Page 29: Windows Azure Active Directory, SSO étendu et services d’annuaire pour les applications Cloud et SaaS

demoUTILISER LE GRAPHE SOCIAL D’ENTREPRISE

Vos applications dans le Cloud

Page 30: Windows Azure Active Directory, SSO étendu et services d’annuaire pour les applications Cloud et SaaS

Protocoles pour se connecter avec AADProtocol Objectifs Détails

REST/HTTP Créer, lire, mettre à jour ou effacer des objets et relations de l’annuaire

Compatible avec OData V3Authentification avec OAuth 2.0

OAuth 2.0 Authentification service à serviceAccès délégué

Format de jeton JWT

Open ID Connect Authentification d’application WebAuthentification de clients riches

En cours d’investigationFormat de jeton JWT

SAML 2.0 Authentification d’application Web Format de jeton SAML 2.0

WS-Federation 1.3

Authentification d’application Web Format de jeton SAML 1.1Format de jeton SAML 2.0Format de jeton JWT

Page 31: Windows Azure Active Directory, SSO étendu et services d’annuaire pour les applications Cloud et SaaS

Vos applications dans le Cloud avec le BYOI

Votre locataire AAD Locataires AAD

Page 32: Windows Azure Active Directory, SSO étendu et services d’annuaire pour les applications Cloud et SaaS

demoSE CONNECTER AVEC UNE IDENTITÉ FACEBOOK

Vos applications dans le Cloud avec le BYOI

Page 33: Windows Azure Active Directory, SSO étendu et services d’annuaire pour les applications Cloud et SaaS

Vos applications SaaS dans le Cloud

Votre locataire AAD Locataires AAD

Page 34: Windows Azure Active Directory, SSO étendu et services d’annuaire pour les applications Cloud et SaaS

demoCONSENTEMENT TRANSPARENT POUR LES APPLICATIONS SAAS

Vos applications SaaS dans le Cloud

Page 35: Windows Azure Active Directory, SSO étendu et services d’annuaire pour les applications Cloud et SaaS

La chaîne de publication d’une application

Visual Studio Seller Dashboard App

Portail Windows Azure ADModifier votre application pour :• Admettre de multiples locataires• Gérer les messages de

consentement

Enregistrer votre application auprès du Seller Dashboard• Créer les clés et entrées du

catalogue…• Copier les clés dans le code de

l’application

Page 36: Windows Azure Active Directory, SSO étendu et services d’annuaire pour les applications Cloud et SaaS

demoCYCLE DE PUBLICATION D’UNE APPLICATION SAAS

Vos applications SaaS dans le Cloud

Page 37: Windows Azure Active Directory, SSO étendu et services d’annuaire pour les applications Cloud et SaaS

Windows Azure Active Directory

Graph API

OAuth2

SAML-P

WS-Federation

Métadonnées

Portail de gestion

Interface RESTful

STS

Multi-location et chaîne de consentement

Locataire AAD Contoso

Locataire AAD Fabrikam

Page 38: Windows Azure Active Directory, SSO étendu et services d’annuaire pour les applications Cloud et SaaS

Un annuaire Cloud pour chaque organisation

Votre locataire AAD Locataires AAD

Page 39: Windows Azure Active Directory, SSO étendu et services d’annuaire pour les applications Cloud et SaaS

• Inscrivez-vous pour un locataire http://g.microsoftonline.com/0AX00en/5

Version Preview autonome disponible :)

Page 42: Windows Azure Active Directory, SSO étendu et services d’annuaire pour les applications Cloud et SaaS

• Documentation TechNethttp://technet.microsoft.com/en-us/library/hh967619.aspx

• Documentation MSDNhttp://msdn.microsoft.com/en-us/library/windowsazure/jj673460.aspx– Exemples et tutoriels

https://activedirectory.windowsazure.com/develop/

– Forumhttp://social.msdn.microsoft.com/Forums/en-US/WindowsAzureAD/

Pour aller plus loin

Page 43: Windows Azure Active Directory, SSO étendu et services d’annuaire pour les applications Cloud et SaaS

Formez-vous en ligne

Retrouvez nos évènements

Faites-vous accompagner gratuitement

Essayer gratuitement nos solutions IT

Retrouver nos experts Microsoft

Pros de l’ITDéveloppeurs

www.microsoftvirtualacademy.com

http://aka.ms/generation-app

http://aka.ms/evenements-developpeurs http://aka.ms/itcamps-france

Les accélérateursWindows Azure, Windows Phone,

Windows 8

http://aka.ms/telechargements

La Dev’Team sur MSDNhttp://aka.ms/devteam

L’IT Team sur TechNethttp://aka.ms/itteam