SETEMBRO, 2010 | SÃO PAULO<br />
CÓDIGO DA SESSÃO:APPI309<br />Cenários do mundo real para uma arquitetura de autenticação e autorização no ambiente corpor...
Objetivos da Sessão<br />Desafios atuais para Autenticação em aplicações<br />Uma introdução sobre Claims-Based Authentica...
Plataforma de AplicaçõesArquitetura Básica<br />Serviços de Infraestrutura<br />Armazenamento<br />Ferramentas de Desenvol...
Plataforma de AplicaçõesModelo Genérico <br />Pilares da Plataforma de Aplicações<br />Serviços de Desenvolvimento<br />Se...
Desafios<br />Autenticação& Autorização<br />
Arquitetura de Autenticação e Autorização Modelo Genérico <br />Domínio de Segurança<br />Aplicação<br />Autenticação & Au...
Arquitetura de Autenticação e Autorização Modelo Repositório Único<br />Domínio de Segurança<br />Aplicação HR<br />Aplica...
Arquitetura de Autenticação e Autorização Modelo integração com recursos na nuvem<br />Recursos na Nuvem<br />Autenticação...
Arquitetura de Autenticação e Autorização Resumindo os desafios <br />Múltiplos domínios de segurança distribuídos<br />Mú...
Algunsconceitosimportantes…<br />TOKENS, CLAIMS, ISSUERS,…<br />
Arquitetura de Autenticação e Autorização As Grandes Questões !<br />Passaporte<br />Autenticação: Quem é você ?<br />Idad...
Arquitetura de Autenticação e Autorização As Grandes Questões !<br />Uma identidade é um conjunto de informaçõessobrealgum...
Arquitetura de Autenticação e Autorização Claim Based Authentication<br />“ClaimBasedAuthentication”<br />Aplicação com<br...
Arquitetura de Autenticação e Autorização Exemplo da vida real<br />Declaração (Inscrição do evento)<br />Afirmação feita ...
Arquitetura de Autenticação e Autorização Token de Segurança<br />Token com Declarações<br />Declaração : Nome 		Markus	<b...
Arquitetura de Autenticação e Autorização Papéis no processo CBA<br />Declarações (Declaração / Sujeito)<br />Declaração f...
Arquitetura de Autenticação e Autorização Definição: Token e Declarações<br />Um tokené um conjunto de bytes queexpressain...
Arquitetura de Autenticação e Autorização Definição: Security Token Service e Identity Provider <br />Um identity provider...
Claims-Based Identity PrincipaisTecnologias Microsoft<br />Active Directory Federation Services (AD FS) 2.0<br />A nova ve...
Claims-Based Identity Principais Tecnologias Microsoft<br />Active Directory Federation Services (AD FS) 2.0<br />A nova v...
Claims-Based Identity Principais Tecnologias Microsoft<br />Windows Identity Foundation (WIF) 1.0<br />Pronuncia-se “W-I-F...
Arquitetura de Autenticação e Autorização Especificação: WS -Trust<br />Confiança é a expressão entre duas partes, onde um...
Arquitetura de Autenticação e Autorização Especificação: WS -Trust<br />Secure Token Service<br />Criação do Token<br />Ac...
Arquitetura de Autenticação e Autorização Especificação: WS-Federation<br />Uma federação é uma coleção de domínios de seg...
Arquitetura de Autenticação e Autorização Especificação: WS-Federation<br />IP-STS<br />Federação<br />Account <br />Attri...
Cenários de uso de<br />CLAIM-BASED IDENTITY<br />
Arquitetura de Autenticação e Autorização Cenário - Enterprise: Local IP-STS<br />Active Directory Domain Services<br />Or...
Organização X</li></ul>2) Selecione uma identidade que corresponda a essas exigências<br />Usuário<br />
Migrando uma aplicação paraCBA com autenticação AD FS v2<br />
Arquitetura de Autenticação e Autorização Cenário - Enterprise: Múltiplos STS’s<br />Organização X<br />Organização Y<br /...
Organização X</li></ul>2) Selecione uma identidade que corresponda a essas exigências<br />Usuário<br />
Arquitetura de Autenticação e Autorização Cenário - Enterprise: Federation<br />Organização Y <br />Enterprise Organização...
Conclusões<br />
Conclusões<br />Avaliaros claims queseu STS disponibilizapara a Relying Part (AplicaçãoClaims-aware).<br />Para desenvolvi...
Referências<br />Algumas referências importantes…<br />
Referênciasimportantes – Instalação<br />Windows Identity Foundation <br />http://www.microsoft.com/downloads/details.aspx...
Referênciasimportantes – Estudo<br />A Guide to Claims-Based Identity and Access Control — Book Download <br />http://www....
Conteúdo relacionado<br />SIA304 - Melhores práticas para implantar e gerenciar o Active Directory Federation Services 2.0...
Próximos SlideShares
Carregando em…5
×

Cenários do mundo real para uma arquitetura de autenticação e autorização no ambiente corporativo

1.530 visualizações

Publicada em

Publicada em: Tecnologia
0 comentários
0 gostaram
Estatísticas
Notas
  • Seja o primeiro a comentar

  • Seja a primeira pessoa a gostar disto

Sem downloads
Visualizações
Visualizações totais
1.530
No SlideShare
0
A partir de incorporações
0
Número de incorporações
1
Ações
Compartilhamentos
0
Downloads
28
Comentários
0
Gostaram
0
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide
  • MultipledistribnutedsecuritydomainswithlackofintegrationbetweendiffrentresellersMultipleorganicgrowdidentityprovidersMultipletypesofsecuritypatters (.Net, Java, etc)Decicionsmadebasedon a securitypatternreflectentirelyonthedevelopmentmechanism.
  • Cenários do mundo real para uma arquitetura de autenticação e autorização no ambiente corporativo

    1. 1. SETEMBRO, 2010 | SÃO PAULO<br />
    2. 2. CÓDIGO DA SESSÃO:APPI309<br />Cenários do mundo real para uma arquitetura de autenticação e autorização no ambiente corporativo<br />Markus Christen<br />Arquiteto de Infraestrutura | Microsoft<br />markusc@microsoft.com<br />WaldemirCambiucci<br />Arquiteto de Soluções | Microsoft<br />wcamb@microsoft.com<br />
    3. 3. Objetivos da Sessão<br />Desafios atuais para Autenticação em aplicações<br />Uma introdução sobre Claims-Based Authentication (CBA)<br />Cenários de mundo real com Claims-Based Authentication (CBA)<br />
    4. 4. Plataforma de AplicaçõesArquitetura Básica<br />Serviços de Infraestrutura<br />Armazenamento<br />Ferramentas de Desenvolvimento<br />Integração<br />Identidades<br />Aplicação<br />. . .<br />Aplicações e Serviços<br />Suporte local<br />Sistema Operacional<br />Serviços<br />Fundamento<br />Usuários<br />
    5. 5. Plataforma de AplicaçõesModelo Genérico <br />Pilares da Plataforma de Aplicações<br />Serviços de Desenvolvimento<br />Serviços de Segurança<br />Plataforma de Aplicações<br />Serviços de Integração<br />Serviços de Armazenamento e BI<br />Serviços de Segurança<br />Serviços de Hospedagem<br />Serviços de Gerenciamento<br />
    6. 6. Desafios<br />Autenticação& Autorização<br />
    7. 7. Arquitetura de Autenticação e Autorização Modelo Genérico <br />Domínio de Segurança<br />Aplicação<br />Autenticação & Autorização<br />Usuário<br />Usuário e Senha com provedor de identidades customizado<br />
    8. 8. Arquitetura de Autenticação e Autorização Modelo Repositório Único<br />Domínio de Segurança<br />Aplicação HR<br />Aplicação CRM<br />Aplicação Autom.<br />Usuário<br />Autenticação & Autorização<br />Autenticação & Autorização<br />Directory Service<br />Autenticação & Autorização<br />
    9. 9. Arquitetura de Autenticação e Autorização Modelo integração com recursos na nuvem<br />Recursos na Nuvem<br />Autenticação Autorização<br />Local<br />Autenticação & Autorização<br />Directory Service<br />
    10. 10. Arquitetura de Autenticação e Autorização Resumindo os desafios <br />Múltiplos domínios de segurança distribuídos<br />Múltiplos provedores de identidades<br />Múltiplos padrões de desenvolvimento<br />Acoplamento de tecnologia<br />
    11. 11. Algunsconceitosimportantes…<br />TOKENS, CLAIMS, ISSUERS,…<br />
    12. 12. Arquitetura de Autenticação e Autorização As Grandes Questões !<br />Passaporte<br />Autenticação: Quem é você ?<br />Idade 18 ?<br />Autorização : O que você pode fazer ?<br />
    13. 13. Arquitetura de Autenticação e Autorização As Grandes Questões !<br />Uma identidade é um conjunto de informaçõessobrealgumaentidade, como um usuário.<br />A maioria das aplicaçõestrabalha com identidades<br />Direitos de acesso de um usuárioouserviço.<br />Modocomoumaaplicaçãointerage com o usuário.<br />Existemdiversosdesafios no tratamento de identidades<br />Diferentestecnologias, cenários, ambientes.<br />
    14. 14. Arquitetura de Autenticação e Autorização Claim Based Authentication<br />“ClaimBasedAuthentication”<br />Aplicação com<br />Autorização<br />Usuário<br />Passo 2: Autorização<br />Confiança<br />Autenticação<br />Independente da<br />Aplicação<br />Passo 1: Autenticação<br />
    15. 15. Arquitetura de Autenticação e Autorização Exemplo da vida real<br />Declaração (Inscrição do evento)<br />Afirmação feita por uma identidade sobre outra identidade<br />Token de segurança (Crachá do evento)<br />Documento encapsulado que contém as declarações<br />Criado pelo serviço de token de segurança <br />STS: Serviço de token de segurança (Portaria)<br />A tarefa básica de um STS é autenticar os usuários e criar um token de segurança<br />Aplicação ciente de declarações (Segurança área VIP)<br />Declarações aplicadas quando usuário acessa a aplicação<br />Aplicação requer declarações para definir usuários<br />Autenticação<br />Autorização<br />
    16. 16. Arquitetura de Autenticação e Autorização Token de Segurança<br />Token com Declarações<br />Declaração : Nome Markus <br />Identidade<br />XXX<br />Declaração : Sobrenome Christen <br />Declaração : Cargo Arquiteto<br />Declaração : Alias Markusc<br /> Token Signature<br /> Autorização<br />Declaração Alias = Markusc<br />Declaração Cargo: Arquiteto<br />Entrega <br />Aplicação<br />
    17. 17. Arquitetura de Autenticação e Autorização Papéis no processo CBA<br />Declarações (Declaração / Sujeito)<br />Declaração feita via uma entidade sobre um sujeito<br />Exemplo: Markus idade 38<br />SAML (Security AssertionMarkupLanguage)<br />Padrão baseado em XML para troca de dados entre o “STS” e o consumidor (Recurso)<br />Secure Token (Token & Declarações)<br />Documento XML encapsulando as declarações <br />Exemplo: Documento RG<br />Security Token Service (STS / Issuer)<br />Web Service com a tarefa básica de criar token de segurança com as declarações <br />Exemplo: Policia Federal<br />
    18. 18. Arquitetura de Autenticação e Autorização Definição: Token e Declarações<br />Um tokené um conjunto de bytes queexpressainformaçõessobreumaidentidade<br />Essasinformaçõesconsistem de umaoumaisdeclarações (claims)<br />Cadaclaimcontéminformaçõessobre a entidadepara a qual o tokense aplica.<br />
    19. 19. Arquitetura de Autenticação e Autorização Definição: Security Token Service e Identity Provider <br />Um identity provider (ouissuer/emissor) é umaautoridadequefazdeclarações (claims) sobreumaentidade.<br />Emumaredecorporativa: a empresa<br />Na internet: Windows Live ID<br />Um identity provider podeimplementar um security token service (STS)<br />Serviçoresponsávelpelaemissão de tokens<br />Requisições de tokens sãofeitas via WS-Trust<br />Existemdiversosformatos de token<br />O formatoSAMLé o mais popular<br />
    20. 20. Claims-Based Identity PrincipaisTecnologias Microsoft<br />Active Directory Federation Services (AD FS) 2.0<br />A nova versão do AD FS<br />Windows Identity Foundation (WIF) 1.0<br />Pronuncia-se “W-I-F”<br />CardSpace 2.0<br />A nova versão do CardSpace<br />
    21. 21. Claims-Based Identity Principais Tecnologias Microsoft<br />Active Directory Federation Services (AD FS) 2.0<br />A nova versão do AD FS 2.0<br />Deve-se instalar os pacotes:<br />Windows 2008 o major<br />IIS 7.0 , II 7.5<br />SQL Server 2005 (Express, Standard, Enterprise), SQL Server 2008 (Express, Standard, Enterprise) <br /> .NET 3.5 Framework<br />
    22. 22. Claims-Based Identity Principais Tecnologias Microsoft<br />Windows Identity Foundation (WIF) 1.0<br />Pronuncia-se “W-I-F”<br />Para desenvolvimento, deve-se instalar os pacotes:<br />VS2008 SP1 e .NET 3.5 SP1 ou<br />VS2010 e .NET 4.0<br />WIF RunTime<br />WIF SDK .NET 3.5 ou .NET 4.0<br />Não é recomendado o side-by-side SDK 3.5 / SDK 4.0 <br />Identity Training Kit / Março 2010<br />
    23. 23. Arquitetura de Autenticação e Autorização Especificação: WS -Trust<br />Confiança é a expressão entre duas partes, onde uma parte da relação acredita nas declarações da outra parte; <br />Confiança é baseada em evidências – históricas, experiência, documentos, etc. – e a tolerância arisco pessoal.<br />
    24. 24. Arquitetura de Autenticação e Autorização Especificação: WS -Trust<br />Secure Token Service<br />Criação do Token<br />Account <br />Attribute Store<br />Autenticação<br />Requisita token de segurança<br />Lista de STS<br />Resposta :Token com Declarações<br />WS-Trust <br />Confiança<br />“RelyingParty”<br />Aplicação<br />STS com Confiança<br />Verificação<br />das declarações<br />Information<br />Card<br />Acesso<br />Browser ou Cliente<br />(Token com as Declarações<br />Autorização<br />
    25. 25. Arquitetura de Autenticação e Autorização Especificação: WS-Federation<br />Uma federação é uma coleção de domínios de segurança, que estabeleceram relações para compartilhar recursos de segurança. <br />O valor de estabelecer uma federação é facilitar o uso de atributos de segurança entre vários domínio de segurança para estabelecer um contexto de Federação.<br />
    26. 26. Arquitetura de Autenticação e Autorização Especificação: WS-Federation<br />IP-STS<br />Federação<br />Account <br />Attribute Store<br />RP-STS<br />Lista de STS<br />Entrega Token( SAML)<br />Requisita token de segurança<br />Retorna Token (SAML)<br />Retorna Token (SAML)<br />Confiança<br />STS com Confiança<br />Verificação<br />das declarações<br />Verificação na Lista de Confiança<br />Autenticação<br />Acesso<br />Aplicação (RelyingParty)<br />(Token - SAML)<br />Autorização<br />Browser ou Cliente<br />Information<br />Card<br />
    27. 27. Cenários de uso de<br />CLAIM-BASED IDENTITY<br />
    28. 28. Arquitetura de Autenticação e Autorização Cenário - Enterprise: Local IP-STS<br />Active Directory Domain Services<br />Organização X<br />IP/RP STS<br />5) Usar as declarações<br />Token<br />Aplicação<br />3) Obter token para a identidade selecionada<br />4) Submeter token<br />Token<br />Framework<br />Browser ou Cliente<br />CardSpace<br />1) Acessar o aplicativo e aprender os requisitos tokens<br />Confiança STS’s:<br /><ul><li>Organização Y
    29. 29. Organização X</li></ul>2) Selecione uma identidade que corresponda a essas exigências<br />Usuário<br />
    30. 30. Migrando uma aplicação paraCBA com autenticação AD FS v2<br />
    31. 31. Arquitetura de Autenticação e Autorização Cenário - Enterprise: Múltiplos STS’s<br />Organização X<br />Organização Y<br />Active Directory Domain Services<br />RP- STS<br />IP STS<br />5) Usar as declarações<br />Token<br />3) Obter token para a identidade selecionada<br />Aplicação<br />4) Submeter token<br />Token<br />Framework<br />Browser ou Cliente<br />1) Acessar o aplicativo e aprender os requisitos tokens<br />CardSpace<br />Confiança STSs:<br /><ul><li>Organização Y
    32. 32. Organização X</li></ul>2) Selecione uma identidade que corresponda a essas exigências<br />Usuário<br />
    33. 33. Arquitetura de Autenticação e Autorização Cenário - Enterprise: Federation<br />Organização Y <br />Enterprise Organização X<br />5) Transformação do token<br />Directory Domain Services<br />Confiança STS’s:<br /><ul><li>Organização X</li></ul>Confiança<br />IP STS<br />RP- STS<br />8) Usar as declarações<br />Token<br />Token<br />4) Submeter token<br />6) Receber token<br />3) Obter token para a identidade selecionada<br />Token<br />Aplicação<br />7) Submeter token<br />Browser ou Cliente<br />Token<br />Framework<br />1) Acessar o aplicativo e aprender os requisitos tokens<br />CardSpace<br />Confiança STSs:<br /><ul><li>Organização Y</li></ul>2) Selecione uma identidade que corresponda a essas exigências<br />Usuário<br />
    34. 34. Conclusões<br />
    35. 35. Conclusões<br />Avaliaros claims queseu STS disponibilizapara a Relying Part (AplicaçãoClaims-aware).<br />Para desenvolvimento, podemostrabalhar com um STS local, criadopelo WIF / Visual Studio.<br />Uma aplicaçãoqueacessatokens/claims, podefazerautorização via claimstambém.<br />Utilizar a classeClaimsAuthorizationManager<br />
    36. 36. Referências<br />Algumas referências importantes…<br />
    37. 37. Referênciasimportantes – Instalação<br />Windows Identity Foundation <br />http://www.microsoft.com/downloads/details.aspx?FamilyID=eb9c345f-e830-40b8-a5fe-ae7a864c4d76&displaylang=en<br />Windows Identity Foundation SDK <br />http://www.microsoft.com/downloads/details.aspx?FamilyID=c148b2df-c7af-46bb-9162-2c9422208504&displaylang=en#filelist<br />Identity Developer Training Kit - March 2010<br />http://www.microsoft.com/DOWNLOADS/details.aspx?familyid=C3E315FA-94E2-4028-99CB-904369F177C0&displaylang=en<br />
    38. 38. Referênciasimportantes – Estudo<br />A Guide to Claims-Based Identity and Access Control — Book Download <br />http://www.microsoft.com/downloads/details.aspx?FamilyID=4c09ffe4-43dd-4fcc-be35-c897c9bc4386&displaylang=en<br />A Guide to Claims-Based Identity and Access Control – Code Samples <br />http://www.microsoft.com/downloads/details.aspx?FamilyID=33829bcf-f5ea-4650-b807-57c63a753753&displaylang=en<br />Fabrikam Shipping Sample <br />http://code.msdn.microsoft.com/FabrikamShipping<br />Claims Based Identity & Access Control Guide <br />http://claimsid.codeplex.com/<br />
    39. 39.
    40. 40. Conteúdo relacionado<br />SIA304 - Melhores práticas para implantar e gerenciar o Active Directory Federation Services 2.0<br />Palestrantes: Josué Vidal e Hélio Panissa<br />SIA303 - Visão Geral do Windows Identity Foundation (WIF)<br />Palestrante: Israel Aece<br />
    41. 41. © 2008 Microsoft Corporation.Todos os direitos reservados.Microsoft, Windows, Windows Vista e outros nomes de produtos são ou podem ser marcas registradas e/ou marcas comerciais nos EUA e/ou outros países.<br />Este documento é meramente informativo e representa a visão atual da Microsoft Corporation a partir da data desta apresentação.Como a Microsoft deve atender a condições de mercado em constante alteração, este documento não deve ser interpretado como um compromisso por parte da Microsoft, e a Microsoft não pode garantir a precisão de qualquer informação fornecida após a data desta apresentação.A MICROSOFT NÃO DÁ QUALQUER GARANTIA, SEJA ELA EXPRESSA, IMPLÍCITA OU ESTATUTÁRIA, REFERENTE ÀS INFORMAÇÕES DESTA APRESENTAÇÃO.<br />
    42. 42. Por favor preencha a avaliação<br />

    ×