Infrastructure Architecture in a Box<br />Declarações e Identidades na Computação na Nuvem<br />Markus Christen<br />IT Ar...
Agenda<br />Computação na Nuvem<br />“FederatedIdentity Patterns”<br />Perguntas & Respostas<br />
Objetivo<br />Encorajar vocês a pensar sobre a mudança do paradigma com a chegada da “Computação na Nuvem “ e “ClaimBasedA...
Computação na Nuvem ...<br />“CloudComputing”<br />“Cloud Platform”<br />“Cloud Infrastructure”<br />“UtilityComputing”<br />
Curta Introdução á Computação na Nuvem<br />
Vocês se lembram: Inovação<br />
A grande Ideia...: Evolução<br />
Plataforma Azure da Microsoft<br />
Desafios para a Autenticação & Autorização<br />
Cenário Simples<br />Domínio de Segurança<br />Aplicação<br />Autenticação & Autorização<br />Usuário<br />Usuário e Senha...
Cenário: Múltiplas Aplicações<br />Domínio de Segurança<br />Aplicação HR<br />Aplicação CRM<br />Aplicação Autom.<br />Us...
Cenário: Integração com a Nuvem<br />Recursos na Nuvem<br />Autenticação Autorização<br />Local<br />Autenticação & Autori...
Cenário: Nuvem como uma “Bridge”<br />Acesso<br />Acesso<br />Empresa 1<br />Empresa 2<br />
Desafios atuais<br />Múltiplos domínios de segurança distribuídos<br />Múltiplos provedores de identidades<br />Múltiplos ...
“IdentityMetasystem & ClaimBasedAuthentication”<br />
As grandes questões !<br />Passaporte<br />Autenticação: Quem é você ?<br />Idade 18 ?<br />Autorização : O que você pode ...
Hoje: Autenticação e Autorização<br />Integrada & Acoplada<br />Aplicação<br />Usuário<br />Autenticação & Autorização<br ...
CBA: Autenticação e Autorização<br />“ClaimBasedAuthentication”<br />Aplicação com<br />Autorização<br />Usuário<br />Pass...
Papeis: Exemplo da Vida Real<br />Declaração (Inscrição do evento)<br />Afirmação feita por uma identidade  sobre outra id...
Token De Segurança <br />Token com Declarações<br />Declaração : Nome 		Markus	<br />Identidade<br />XXX<br />Declaração :...
Papeis no processo de  “CBA”<br />Declarações (Declaração / Sujeito)<br />Declaração feita via uma entidade sobre um sujei...
WS-Trust – Confiança<br /><ul><li>Confiança é a expressão entre duas partes aonde uma parte da relação acredita nas declar...
WS-Federation<br /><ul><li>Uma federação é uma coleção de domínios de segurança, que estabeleceram relações para compartil...
O valor de estabelecer uma federação é facilitar o uso de atributos de segurança entre vários domínio de segurança para es...
Information Cards<br />Identity Providers<br />Browser or Client<br />STS<br />STS<br />STS<br />CardSpace “Geneva”<br />I...
&quot;Information Cards&quot;<br />Contem:<br />É um arquivo XML que representa uma relação com o provedor de identidade<b...
Garantir a Interoperabilidade<br />Baseado em padrões abertos:<br />WS-Federation<br />WS-Trust<br />Protocolo: SAML 2.0<b...
Impacto para os Profissionais de TI<br />Profissionais de TI podem mudar o método de autenticação sem modificação da aplic...
“Cenários”<br />
Organização X<br />Active Directory Domain Services<br />IP/RP STS<br />5) Usar as declarações<br />Token<br />3) Obter to...
Organização X</li></ul>2) Selecione uma identidade que corresponda a essas exigências<br />Usuário<br />Enterprise: Local ...
Enterprise: Remote IP-STS<br />Organização X<br />Organização Y<br />Active Directory Domain Services<br />RP- STS<br />IP...
Organização X</li></ul>2) Selecione uma identidade que corresponda a essas exigências<br />Usuário<br />
Enterprise: Federação (Múltiplos)<br />Enterprise Organização X<br />Organização Y <br />Computação na Nuvem<br />5) Trans...
Enterprise: Federação na Nuvem<br />Computação na Nuvem Z<br />Processo de Transformação<br />Confiança<br />Confiança<br ...
Microsoft IdentitySolution<br />
Visão “Microsoft IdentitySolution”<br />Off-Premise<br />On-Premise<br />
Conclusões<br />Alterar o paradigma atual não é uma assunto de curto prazo<br />Todas os componentes necessários para apli...
Referencias<br />Introdução “Geneva”: An Overview ofthe “Geneva” Server, CardSpace “Geneva”, andthe “Geneva” Framework<br ...
Próximos SlideShares
Carregando em…5
×

Architecture In A Box - Declarações e Identidades Na Computação Na Nuvem

836 visualizações

Publicada em

Architecture In A Box
Declarações e Identidades na Computação na nuvem

Publicada em: Tecnologia
0 comentários
0 gostaram
Estatísticas
Notas
  • Seja o primeiro a comentar

  • Seja a primeira pessoa a gostar disto

Sem downloads
Visualizações
Visualizações totais
836
No SlideShare
0
A partir de incorporações
0
Número de incorporações
77
Ações
Compartilhamentos
0
Downloads
0
Comentários
0
Gostaram
0
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide
  • Moinho de Agua
  • MultipledistribnutedsecuritydomainswithlackofintegrationbetweendiffrentresellersMultipleorganicgrowdidentityprovidersMultipletypesofsecuritypatters (.Net, Java, etc)Decicionsmadebasedon a securitypatternreflectentirelyonthedevelopmentmechanism.
  • Architecture In A Box - Declarações e Identidades Na Computação Na Nuvem

    1. 1. Infrastructure Architecture in a Box<br />Declarações e Identidades na Computação na Nuvem<br />Markus Christen<br />IT Architect Microsoft<br />blogs.technet.com/MarkusChristen<br />twitter.com/MarkusChristen<br />channel9.msdn.com/brasil<br />
    2. 2. Agenda<br />Computação na Nuvem<br />“FederatedIdentity Patterns”<br />Perguntas & Respostas<br />
    3. 3. Objetivo<br />Encorajar vocês a pensar sobre a mudança do paradigma com a chegada da “Computação na Nuvem “ e “ClaimBasedAuthentication”<br />Apresentar as principais papeis na Federação e Integração com a nuvem<br />
    4. 4. Computação na Nuvem ...<br />“CloudComputing”<br />“Cloud Platform”<br />“Cloud Infrastructure”<br />“UtilityComputing”<br />
    5. 5. Curta Introdução á Computação na Nuvem<br />
    6. 6. Vocês se lembram: Inovação<br />
    7. 7. A grande Ideia...: Evolução<br />
    8. 8. Plataforma Azure da Microsoft<br />
    9. 9. Desafios para a Autenticação & Autorização<br />
    10. 10. Cenário Simples<br />Domínio de Segurança<br />Aplicação<br />Autenticação & Autorização<br />Usuário<br />Usuário e Senha + <br />com provedor de identidades customizado<br />
    11. 11. Cenário: Múltiplas Aplicações<br />Domínio de Segurança<br />Aplicação HR<br />Aplicação CRM<br />Aplicação Autom.<br />Usuário<br />Autenticação & Autorização<br />Autenticação & Autorização<br />Directory Service<br />Autenticação & Autorização<br />
    12. 12. Cenário: Integração com a Nuvem<br />Recursos na Nuvem<br />Autenticação Autorização<br />Local<br />Autenticação & Autorização<br />Directory Service<br />
    13. 13. Cenário: Nuvem como uma “Bridge”<br />Acesso<br />Acesso<br />Empresa 1<br />Empresa 2<br />
    14. 14. Desafios atuais<br />Múltiplos domínios de segurança distribuídos<br />Múltiplos provedores de identidades<br />Múltiplos padrões de desenvolvimento<br />Acoplamento de tecnologia<br />
    15. 15. “IdentityMetasystem & ClaimBasedAuthentication”<br />
    16. 16. As grandes questões !<br />Passaporte<br />Autenticação: Quem é você ?<br />Idade 18 ?<br />Autorização : O que você pode fazer ?<br />
    17. 17. Hoje: Autenticação e Autorização<br />Integrada & Acoplada<br />Aplicação<br />Usuário<br />Autenticação & Autorização<br />Autenticação<br />Autorização<br />Recurso<br />Provedor<br />
    18. 18. CBA: Autenticação e Autorização<br />“ClaimBasedAuthentication”<br />Aplicação com<br />Autorização<br />Usuário<br />Passo 2: Autorização<br />Confiança<br />Autenticação<br />Independente da<br />Aplicação<br />Passo 1: Autenticação<br />
    19. 19. Papeis: Exemplo da Vida Real<br />Declaração (Inscrição do evento)<br />Afirmação feita por uma identidade sobre outra identidade<br />Token de segurança (Crachá do evento)<br />Documento encapsulado que contém as declarações<br />Criado pelo serviço de token de segurança <br />STS: Serviço de token de segurança (Portaria)<br />A tarefa básica de um STS é autenticar os usuários e criar um token de segurança<br />Aplicação ciente de declarações (Segurança área VIP)<br />Declarações aplicadas quando usuário acessa a aplicação<br />Aplicação requer declarações para definir usuários<br />Autenticação<br />Autorização<br />
    20. 20. Token De Segurança <br />Token com Declarações<br />Declaração : Nome Markus <br />Identidade<br />XXX<br />Declaração : Sobrenome Christen <br />Declaração : Cargo Arquiteto<br />Declaração : Alias Markusc<br /> Token Signature<br /> Autorização<br />Declaração Alias = Markusc<br />Declaração Cargo: Arquiteto<br />Entrega <br />Aplicação<br />
    21. 21. Papeis no processo de “CBA”<br />Declarações (Declaração / Sujeito)<br />Declaração feita via uma entidade sobre um sujeito<br />Exemplo: Markus idade 38<br />SAML (Security AssertionMarkupLanguage)<br />Padrão baseado em XML para troca de dados entre o “STS” e o consumidor (Recurso)<br />Secure Token (Token & Declarações)<br />Documento XML encapsulando as declarações <br />Exemplo: Documento RG<br />Security Token Service (STS / Issuer)<br />Web Service com a tarefa básica de criar token de segurança com as declarações <br />Exemplo: Policia Federal<br />
    22. 22. WS-Trust – Confiança<br /><ul><li>Confiança é a expressão entre duas partes aonde uma parte da relação acredita nas declarações da outra parte; ele é baseado em evidências – históricas, experiência, documentos, etc. – e a tolerância de risco pessoal </li></li></ul><li>Especificação: WS-Trust<br />Secure Token Service<br />Criação do Token<br />Account <br />Attribute Store<br />Autenticação<br />Requisita token de segurança<br />Lista de STS<br />Resposta :Token com Declarações<br />WS-Trust <br />Confiança<br />“RelyingParty”<br />Aplicação<br />STS com Confiança<br />Verificação<br />das declarações<br />Information<br />Card<br />Acesso<br />Browser ou Cliente<br />(Token com as Declarações<br />Autorização<br />
    23. 23. WS-Federation<br /><ul><li>Uma federação é uma coleção de domínios de segurança, que estabeleceram relações para compartilhar recursos de segurança.
    24. 24. O valor de estabelecer uma federação é facilitar o uso de atributos de segurança entre vários domínio de segurança para estabelecer um contexto de Federação.</li></li></ul><li>WS-Federation<br />IP-STS<br />Federação<br />Account <br />Attribute Store<br />RP-STS<br />Lista de STS<br />Entrega Token( SAML)<br />Requisita token de segurança<br />Retorna Token (SAML)<br />Retorna Token (SAML)<br />Confiança<br />STS com Confiança<br />Verificação<br />das declarações<br />Verificação na Lista de Confiança<br />Autenticação<br />Acesso<br />Aplicação (RelyingParty)<br />(Token - SAML)<br />Autorização<br />Browser ou Cliente<br />Information<br />Card<br />
    25. 25. Information Cards<br />Identity Providers<br />Browser or Client<br />STS<br />STS<br />STS<br />CardSpace “Geneva”<br />Information Card 1<br />Information Card 2<br />Information Card 3<br />Information Card 4<br />User<br />
    26. 26. &quot;Information Cards&quot;<br />Contem:<br />É um arquivo XML que representa uma relação com o provedor de identidade<br />Ele contém o que é necessário para solicitar um token para uma identidade particular<br />Não contêm:<br />Declarações da Identidade<br />Tudo o que é necessário para se &quot;autenticar&quot; no provedor de identidade<br />
    27. 27. Garantir a Interoperabilidade<br />Baseado em padrões abertos:<br />WS-Federation<br />WS-Trust<br />Protocolo: SAML 2.0<br />
    28. 28. Impacto para os Profissionais de TI<br />Profissionais de TI podem mudar o método de autenticação sem modificação da aplicação<br />Profissionais de TI podem providenciar “Single Sign-On”entre aplicações que usam acesso baseado em declarações<br />Profissionais de TI providenciam o processo de Autenticação.<br />
    29. 29. “Cenários”<br />
    30. 30. Organização X<br />Active Directory Domain Services<br />IP/RP STS<br />5) Usar as declarações<br />Token<br />3) Obter token para a identidade selecionada<br />Aplicação<br />4) Submeter token<br />Token<br />Framework<br />Browser ou Cliente<br />1) Acessar o aplicativo e aprender os requisitos tokens<br />CardSpace<br />Confiança STS’s:<br /><ul><li>Organização Y
    31. 31. Organização X</li></ul>2) Selecione uma identidade que corresponda a essas exigências<br />Usuário<br />Enterprise: Local IP-STS<br />
    32. 32. Enterprise: Remote IP-STS<br />Organização X<br />Organização Y<br />Active Directory Domain Services<br />RP- STS<br />IP STS<br />5) Usar as declarações<br />Token<br />3) Obter token para a identidade selecionada<br />Aplicação<br />4) Submeter token<br />Token<br />Framework<br />Browser ou Cliente<br />1) Acessar o aplicativo e aprender os requisitos tokens<br />CardSpace<br />Confiança STSs:<br /><ul><li>Organização Y
    33. 33. Organização X</li></ul>2) Selecione uma identidade que corresponda a essas exigências<br />Usuário<br />
    34. 34. Enterprise: Federação (Múltiplos)<br />Enterprise Organização X<br />Organização Y <br />Computação na Nuvem<br />5) Transformação do token<br />Directory Domain Services<br />Confiança STS’s:<br /><ul><li>Organização X</li></ul>Confiança<br />IP STS<br />ACS <br />RP- STS<br />8) Usar as declarações<br />Token<br />Token<br />4) Submeter token<br />6) Receber token<br />3) Obter token para a identidade selecionada<br />Token<br />Aplicação<br />7) Submeter token<br />Browser ou Cliente<br />Token<br />Framework<br />1) Acessar o aplicativo e aprender os requisitos tokens<br />CardSpace<br />Confiança STSs:<br /><ul><li>Organização Y</li></ul>2) Selecione uma identidade que corresponda a essas exigências<br />Usuário<br />
    35. 35. Enterprise: Federação na Nuvem<br />Computação na Nuvem Z<br />Processo de Transformação<br />Confiança<br />Confiança<br />Confiança<br />Acesso<br />Confiança STS’s:<br /><ul><li>Organização X & Y</li></ul>ACS <br />RP- STS<br />Usar as declarações<br />Enterprise Organização Q<br />Enterprise Organização X<br />Enterprise Organização Y<br />Directory Domain Services<br />Directory Domain Services<br />RP STS<br />IP STS<br />IP STS<br />Aplicação<br />Confiança STS’s:<br /><ul><li>Organização Z</li></ul>Framework<br />
    36. 36. Microsoft IdentitySolution<br />
    37. 37. Visão “Microsoft IdentitySolution”<br />Off-Premise<br />On-Premise<br />
    38. 38. Conclusões<br />Alterar o paradigma atual não é uma assunto de curto prazo<br />Todas os componentes necessários para aplicar a autenticação baseada em declarações:<br />ADFS 2.0<br />CardSpace “Geneva”<br />Windows Identity Foundation<br />
    39. 39. Referencias<br />Introdução “Geneva”: An Overview ofthe “Geneva” Server, CardSpace “Geneva”, andthe “Geneva” Framework<br />http://download.microsoft.com/download/7/d/0/7d0b5166-6a8a-418a-addd-95ee9b046994/GenevaBeta1_Whitepaper_Chappell.docx<br />Markus Christen Blog sobre “ClaimBasedAuthentication”<br />http://blogs.technet.com/markuschristen/archive/tags/Geneva/<br />Channel 9 Brasil sobre Geneva Framework<br />http://channel9.msdn.com/posts/Markus+Christen/ArqCast-Brasil-Windows-Identity-Framework--ADFS-20/<br />Keith Brown’s “Geneva” Framework White Paper for Developers<br />http://download.microsoft.com/download/7/d/0/7d0b5166-6a8a-418a-addd-95ee9b046994/GenevaFrameworkWhitepaperForDevelopers.pdf<br />

    ×