Lorsque les entreprises commencent à utiliser des services Cloud, l’authentification des utilisateurs de manière fiable constitue une exigence vitale. Les entreprises doivent ainsi relever des défis liés à l'authentification tels que la gestion des informations d'identification, la force de l'authentification (avec la prise en compte de plusieurs facteurs), etc. et mettre en œuvre des solutions rentables qui réduisent le risque de façon appropriée tout en limitant les coûts de gestion. Cette session sera l'occasion de présenter mais surtout de démontrer différentes approches de prise en charge de l’authentification forte dans ce contexte. Seront en particulier illustrées des solutions qui se dispensent de dispositifs matériels (carte à puce par ex.) et qui s’intègrent avec la technologie Active Directory Federation Services (AD FS ) 2.0.
2. Implémenter l’authentification forte pour
vos environnements Cloud
Code Session : SEC2211
Florence DUBOIS Didier PERROT Philippe BERAUD
Directeur R&D CEO Jean-Yves GRASSET
Login People in-webo Technologies Consultant Architecte
http://www.loginpeople.com/ http://in-webo.com/ Direction Technique et
Sécurité
Microsoft France
3. Objectifs et sommaire de la session
Vers une informatique fédérée
Rôle central d’AD FS 2.0 pour les clients Active Directory
Prise en charge de l’authentification forte pour les
identités
Approches en termes d’authentification forte
Login People
InWebo
5. Vers l’informatique fédérée
L’économie du Cloud crée l’informatique fédérée
Le Cloud est ce que les fournisseurs informatiques vendent…
…Une informatique fédérée est ce que les entreprises mettent en
place
L’identité joue un rôle central pour la mise en place de
cette informatique fédérée
6. AD FS 2.0 : Service de Fédération
Le service de fédération AD FS 2.0
Expérience d'authentification unique (SSO)
Pour les accès internes ou depuis l’extérieur
Vers des applications et services Web fédérés
Internes, externalisés ou dans le Cloud
Service central, disponible et transparent
Idem à Active Directory (AD DS) déployé aujourd’hui dans 90%
des entreprises
Interopérable
Fondé sur des standards protocolaires
OASIS SAML-P 2.0, WS-Federation, WS-Trust
7. AD FS 2.0 : Serveur de Fédération
Les fonctions et rôles d’un serveur de fédération(FS) AD FS 2.0
Service de jetons de Sécurité (STS)
Fournisseur de revendications (Claims Provider)
Authentification Windows intégrée (WIA) par défaut
Partie consommatrice (Relying Party)
Passerelle protocolaire de fédération
Ex. : SAML-P 2.0<->WS-Federation
Gestionnaire des relations de confiance de fédération
Automatise et facilite la gestion des relations de confiance basée
sur l’échange de métadonnées standardisées
8. Quid des utilisateurs distants ?
Besoin : accès distant au SI fédéré depuis la maison, l’aéroport, un
internet café...
Solution par Extension du périmètre réseau
Connexion réseau directe via VPN, DirectAccess et RDS (Remote Desktop
Services)
Mais exigences significatives en termes d’infrastructure et accès complet
aux ressources (open-bar)
Solution Reverse-proxy
Reverse-proxy classique
TMG (Microsoft Forefront Threat Management Gateway) ou UAG
(Microsoft Forefront Unified Access Gateway) SP1
Proxy de fédération (FS-P) AD FS 2.0
Bénéfice d’un contrôle d’accès en bordure
Intérêt du renforcement de l’authentification pour sécuriser les accès
10. Scénarios d’authentification FS-P AD FS 2.0
Accès à une application Web (client passif)
Hébergée en interne et publiée sur l’extranet ou internet
Ex. ASP.NET avec le Framework WIF (Windows Identity Foundation)
Hébergée en réseau périmétrique (DMZ) sur l’extranet ou internet
Hébergée dans le Cloud
Ex. PaaS : application Web dans Windows Azure
Ex. SaaS : SharePoint Online ou Outlook Web App (OWA) 2010 dans
Office 365
Hébergée dans une organisation partenaire
Clients Word 2010, Excel 2010, PowerPoint 2010 accédant à des
ressources SharePoint fédérée
Boîte de dialogue avec la prise en charge des protocoles Web de fédération
fondés sur les redirections (WS-Fed, SAML-P)
Pas de prise en charge directe des clients actifs (ex. Outlook, Lync)
11. Authentification forte avec un FS-P AD FS
2.0
Collecte et traitement des crédentités 2FA(*)
Fonction de la solution d’authentification à double facteur
4 approches de configuration/mise en œuvre des FS-P AD FS 2.0
1ère approche : Authentification forte native
Authentification par carte à puces/authentifieur USB
Authentification TLS avec certificat client
En « grosse maille », mêmes contraintes et possibilités que le Smart
Card Logon
Prise en charge native par le FS-P
Emission d’une revendication (claim) « Strong Authentication»
Possibilité d’une autorisation fondée sur la force de l’authentification
au niveau des ressources accédées (*) 2FA = two-factor authentication
12. Authentification forte avec un FS-P AD FS
2.0 2ième approche : Interception du trafic FS-P par un module HTTP
Module compatible avec la version d’IIS 7.x de Windows Server 2008 ou
Windows Server 2008 R2
Doit être installé sur chaque FS-P
Ex. Prise en charge des authentifieurs RSA SecureID
AD FS 2.0 Step-by-Step Guide: Integration with RSA SecurID in the
Extranet
RSA Authentication Agent 7.0 for Web IIS 7
Cinématique :
Avant de laisser passer le trafic intercepté, redirection vers le service 2FA
Fourniture des crédentités 2FA qui sont validées par le service 2FA
Après authentification réussie auprès du service 2FA, redirection vers le FS-
P, traitement du trafic par le FS-P et authentification au niveau du FS-P
Fourniture des crédentités AD au niveau de la page de connexion du FS-P
Redirection multiples et au moins deux demandes de saisie pour les
crédentités (2FA puis AD)
Pas de revendication (claim) « Strong Authentication» possible
13. Authentification forte avec un FS-P AD FS
2.0 ième
3 approche :Personnalisation de la page d’authentification AD
FS 2.0
Nécessité au niveau du service 2FA d’une interface invocable par
code pour authentifier les crédentités 2FA
Idéalement via WS-Trust
Optimal en termes d’expérience utilisateur
1 seule page personnalisée pour les crédentités 2FA et AD
Emission possible d’une revendication « Strong Authentication »
selon implémentation
Implémentation : Voir SDK AD FS 2.0
Illustration avec la solution Login People tout de suite après…
14. Authentification forte avec AD FS 2.0
4ième approche : Fournisseur de jetons 2FA
Redirection via la déclaration d’un fournisseur de jetons (Claim
Provider) au niveau AD FS 2.0
Le service 2FA prend en charge WS-Fed ou SAML-P
Redirection protocolaire au sens de la fédération d’identité
Consommation du jeton émis par le service 2FA par AD FS 2.0
Présence d’une revendication (claim) « Authentification forte » en
fonction des possibilités du service 2FA
Illustration avec la solution In-Webo tout de suite après…
15. Login People : « L’Authentification forte pour
tous »
Startup française basée à Sophia Antipolis
L’ADN du Numérique® : technologie brevetée
Points clés du Digital DNA Server, serveur d’authentification
forte
Zéro-Déploiement - vous possédez déjà les équipements
d’authentification (PC, clé USB, téléphone mobile, …)
Simplicité - facilité d’utilisation, facile à administrer
Multi-Supports - clients Web et clients riches
Multi-Facteurs - 2FA et plus : combinaison sans limite
Intégration dans le SI avec les annuaires d’entreprise
Compatibilité avec de nombreux produits (accès VPN...) via RADIUS
Réduction significative du TCO
16. Solution Login People : STS
Digital DNA Server, serveur d’authentification
Fournit un STS (Service de jetons de sécurité) WS-Trust [Claims
Provider]
Synchronisation des utilisateurs depuis un Active Directory
Page de Login Spécifique, déployée sur AD FS 2.0
Approche 3 décrite précédemment
Embarque la logique d’authentification ADN du Numérique
Fait le lien entre AD FS et le STS du Digital DNA Server
AD FS 2.0
Transforme le jeton SAML générique fourni par le STS en jeton
spécifique pour les applications cibles
Active Directory
Source authentique des profils utilisateurs
Source principale d’information pour AD FS et pour le DDNA Server
17. Authentification avec un FS-P AD FS 2.0
Accès à l’application cible et redirection vers
page d’authentification AD FS 2.0
Demande d’un challenge
… Authentification : nom + mot de passe +
réponse au challenge basé sur l’ADN
Digital DNA Server : Génération d’un jeton
SAML (#1) par le Digital DNA Server
z AD FS 2.0: Traitement du jeton #1 et émission
d’un jeton SAML #2 à destination de
l’application ciblée
Accès à l’application cible
u
Prérequis :
x
• Synchronisation depuis AD
v DS
• Enrôlement des ADN
w
y
19. InWebo Technologies (http://inwebo.com)
Solutions sécurisées de connexion et d’accès, depuis
2008, acteur Français, pure-player, pour les Entreprises et
les Fournisseurs de Services
Authentification multi-facteurs dématérialisée, multi-terminaux
OTP-Generator : application mobile locale (tous téléphones et smartphones du
marché)
Connexion sécurisée depuis les navigateurs (IE, FF, Chrome, Safari)
Connexion sécurisée depuis les applications
(tablettes, smartphones, ordinateurs, etc.)
API et « connecteurs » de sécurité
Radius : contrôle d’accès périmétrique (par ex. VPN, reverse-proxy)
Services Web : contrôle d’accès sur pages web (par ex. FS-P pour approches 2
et 3)
SAML-P 2.0 (par ex. pour approche 4)
Compatibilité complète Moyens d’authentification <-> Connecteurs
Outils de provisioning et d’administration, mise en œuvre immédiate
21. Mise en œuvre en « 4 clics »
Fédération des applications avec l’AD FS 2.0
Déclaration de l’IDP InWebo dans l’AD FS 2.0
Import du fichier de méta-data fourni dans la console InWebo
Configuration d’une règle dans l’AD FS 2.0
Mode d’invocation de l’IDP InWebo : systématique, uniquement si
utilisateur distant, etc. (exemples de règles fournis)
Création des crédentités dans l’IDP InWebo
Palette d’outils fournis par InWebo : API de provisioning, outil de
synchronisation AD, console de gestion
Pluralité de moyens d’authentification multi-facteurs
23. En guise de conclusion
La fédération d’identité joue un rôle central dans
l’informatique fédérée
AD FS 2.0 tire parti des investissements de l’entreprise
dans AD DS pour mettre à disposition une solution
interopérable de fournisseur d’identité/passerelle
(protocolaire) de fédération(/fournisseur de service)
Des solutions existent pour apporter une solution
d’authentification forte souple pour la fédération d’identité
et AD FS 2.0
24. Pour aller au-delà
AD FS 2.0
http://www.microsoft.com/adfs
AD FS 2.0 RTW
http://www.microsoft.com/download/en/details.aspx?id=10909
AD FS 2.0 Update Rollup 1
http://support.microsoft.com/kb/2607496
SDK AD FS 2.0
http://msdn.microsoft.com/en-us/library/ee895355.aspx
Carte du contenu AD FS 2.0
http://social.technet.microsoft.com/wiki/contents/articles/2735.aspx
25. Pour aller au-delà
Sessions Microsoft TechDays 2011
http://www.microsoft.com/france/mstechdays/showcase/default.aspx
Session ARC203 "Architecture des applications et des services fondés
sur la fédération d'identité et les revendications : une introduction"
Session SEC2306 "Utiliser Active Directory Federation Services 2.0
pour une authentification unique interopérable entre organisations et
dans le Cloud"
Identity Developer Training
http://bit.ly/cWyWZ2
A Guide to Claims-based Identity And Access Control 2nd Edition
http://bit.ly/uHsywx
27. Plus d’informations
Portail Microsoft France Interopérabilité
http://www.microsoft.com/france/interop/
Portail US
http://www.microsoft.com/interop/
Portail Microsoft Spécifications Ouvertes
http://www.microsoft.com/openspecifications
Portail Port 25
http://port25.technet.com/
Portail "Interop Vendor Alliance"
http://interopvendoralliance.com/
Portail "Interoperability Bridges and Labs Center"
http://www.interoperabilitybridges.com/
Weblog Interoperability@Microsoft
http://blogs.msdn.com/b/interoperability/
28. Plus d’informations
Groupe "Forum des architectures applicatives Microsoft"
http://bit.ly/archiappms
Ce forum regroupe des architectes en informatique qui ont des choix de technologies à faire dans les projets pour lesquels ils
travaillent.
L’architecte applicatif, en situation de projet, travaille typiquement aux côtés de la direction de projet pour choisir et assumer des
choix techniques en fonction des contraintes du projet (fonctionnalités, délais, ressources). Pour effectuer ces choix à bon escient, il
doit connaître ce que le marché offre en termes de technologies. Cela peut prend typiquement deux formes : veille technologique
continue, recherches dans le cadre du projet.
L’architecte applicatif a aussi pour rôle de faire le lien entre les équipes de développement et les équipes d’infrastructure et
d’exploitation de la future application. Il doit également veiller à ce que ses choix soient bien mis en œuvre pendant le
développement.
Ce forum, à l’initiative de Microsoft France, a pour but d’aider les architectes applicatifs
• A faciliter la connaissance de l’offre de Microsoft pour les projets en entreprise (envoi de liens vers des
présentations, documents, webcasts, conférences, etc.), mais également
• A échanger sur des problématique d’architecture ayant un rapport, même partiel, avec la plateforme Microsoft (est-ce que AD FS
2.0 fonctionne dans un environnement SAML-P 2.0, comment se passe la réversibilité d’une application développée pour le
Cloud, quelles sont les implications d’un déploiement sur une ferme Web, etc.).
Cet espace est le vôtre, faites le vivre, nous sommes aussi et surtout là pour vous lire.