Windows Server Active Directory (AD) a permis aux développeurs de se concentrer sur les fonctionnalités de leurs applications métiers plutôt que d’avoir à se préoccuper de la gestion des identités. Windows Azure Active Directory (AAD) est l’Active Directory réinventé pour le cloud, un service conçu pour résoudre pour vous les nouveaux challenges en matière d’identités organisationnelles et sociales et de contrôle des accès qui viennent avec le passage à un monde centré sur le Cloud. Assistez à cette session pour voir comment tirer parti de Windows Azure Active Directory avec vos souscriptions SaaS, dans vos applications Cloud pour proposer notamment une authentification unique (SSO) étendue avec des identités organisationnelles ou sociales. Si vous avez déjà un investissement dans Active Directory et Visual Studio, vous découvrirez comment Windows Azure AD permet de valoriser encore plus votre investissement. Si votre solution fonctionne sur différentes plates-formes, vous apprécierez la facilité avec laquelle vous pouvez vous intégrer à Windows Azure AD via la prise en charge des standards ouverts tel que les protocoles SAML 2.0 et OAuth 2 et l’API REST Directory Graph. Cette session introduira également la nouvelle API cliente Windows Azure Authentication Library (AAL) pour l’interaction avec AAD.
Windows Azure Active Directory, SSO étendu et services d’annuaire pour les applications Cloud et SaaS
1. Donnez votre avis !
Depuis votre smartphone, sur :
http://notes.mstechdays.fr
De nombreux lots à gagner toutes les heures !!!
Claviers, souris et jeux Microsoft…
Merci de nous aider à améliorer les TechDays
http://notes.mstechdays.fr
2. SEC402 Windows Azure AD, SSO
étendu et services d’annuaire pour
les applications Cloud et SaaS
Philippe Beraud
Sébastien Brasseur
Microsoft France
Architecture / Azure / Cloud
#WindowsAzure
http://windowsazure.com
3. Souscrivez à l’offre d’essai ou activez votre
accès Azure MSDN
Présentez-vous sur le stand Azure
(zone Services & Tools)
Participez au tirage au sort
à 18h30 le 12 ou le 13 février
1
2
3
8. • Le modèle d’annuaire
• Les applications SaaS avec votre annuaire Cloud
• La fédération de votre annuaire Cloud avec votre
annuaire sur site
• Votre annuaire et vos applications Métier dans le
Cloud
• Vos applications dans le Cloud avec les identités
sociales : Bring Your Own Identity (BYOI) !
• L’annuaire de votre client et vos applications SaaS
le Cloud
Notre agenda pour la session
• Sessions complémentaires
– SEC308 Identity as a Service (IDaaS), un service prêt à l’usage avec Windows Azure Active
Directory
13. ACCÈS AU PORTAIL WINDOWS AZURE
AD AVEC UNE IDENTITÉ
D’ORGANISATION
AAD pour les organisations
14. • Provisionnement et
déprovisionnements gérés de façon
centrale
• Politiques de gestion des crédentités
• Authentification multi-facteurs
• Meilleure expérience utilisateur
– Moins d’identifiants/mots de passe à
mémoriser
Avantages de l’usage des identités
d’organisation
En un mot:
contrôle
16. • Nécessite de synchroniser les identités sur site avec
votre locataire Windows Azure AD
– Différentes approches pour créer des identités fédérées en fonction
de votre environnement
• Microsoft Azure AD Directory Synchronization Tool (DirSync)
• Connecteur Windows Azure AD pour FIM 2010 (R2)
• Cmdlets Windows PowerShell pour Windows Azure AD
– Directory Graph API ne permet pas de créer des identités fédérées
– Cf. session SEC308 Identity as a Service (IDaaS), un service prêt à
l’usage avec Windows Azure Active Directory
• Prise en charge des standards OASIS WS-
Federation/WS-Trust et SAML 2.0
Fédération avec votre annuaire sur site
17. • Permet de couvrir l’ensemble des scenarios clients
– Les scénarios d’entreprise MS Online utilisent toujours la pile WS-*
– OASIS WS-Federation fournit un support pour l’authentification
cliente web/passive et les métadonnées de fédérations (sur-
ensemble des métadonnées d’OASIS SAML 2.0)
– OASIS WS-Trust fournit un support pour l’authentification des
clients riches
• Ex. Lync 2010, Office 2013 avec une souscription Office 365
• Propriétés clés du jeton SAML 1.1
– Issuer : Utilisé pour identifier le fournisseur d’identité.
Globalement unique
– ImmutableID : Identifiant unique de l’utilisateur, lié à son
provisionnement
– UPN : UPN de l’utilisateur, lié à la valeur fournie durant le
provisionnement
• Cf. livre blanc "Office 365 Single Sign-On with AD FS
2.0"
Fédération AAD basée sur WS-*
18. • Aujourd’hui avec Shibboleth 2
• Permet de couvrir certains scénarios clients
– Support des clients Web/passifs à travers le profil SAML 2.0
Web SSO
• "Post Redirect bindings" supportés : HTTP-POST, HTTP-POST-
SimpleSign
• Pas de support pour Office 2013
– Support de client actif (Outlook) avec ECP (Enhanced Client
Profile)
• Propriétés clés du jeton SAML 2.0
– Issuer : Utilisé pour identifier le fournisseur d’identité.
Globalement unique
– NameID : Identifiant unique de l’utilisateur, lié à son
provisionnement
– IDPEmail : UPN de l’utilisateur, lié à la valeur fournie durant le
provisionnement
• Cf. livre blanc "Office 365 Single Sign-On with
Shibboleth 2"
Fédération AAD basée sur SAML 2.0
27. • Interface RESTful vers Windows Azure Active Directory
• Compatible avec OData V3
• Utilises OAuth 2.0 pour l’authentification et l’assignement de rôles aux applications
et utilisateurs pour la gestion des autorisations
• Accès programmatique à Windows Azure Active Directory
• Objets tels que Users, Groups, Contacts, Tenant Information, Licensing, Roles
• Relations entre les objets telles que Member, memberOf, Manager, DirectReport
• Requêtes différentielles
• Les requêtes sont basées sur les verbes HTTP standards
• GET, POST, PUT, DELETE pour lire, créer, mettre à jour ou effacer des objets de
l’annuaire
• Formats XML ou JSON pour les réponses et codes HTTP standards
Directory Graph API
30. Protocoles pour se connecter avec AAD
Protocol Objectifs Détails
REST/HTTP Créer, lire, mettre à jour ou effacer des
objets et relations de l’annuaire
Compatible avec OData V3
Authentification avec OAuth 2.0
OAuth 2.0 Authentification service à service
Accès délégué
Format de jeton JWT
Open ID Connect Authentification d’application Web
Authentification de clients riches
En cours d’investigation
Format de jeton JWT
SAML 2.0 Authentification d’application Web Format de jeton SAML 2.0
WS-Federation 1.3 Authentification d’application Web Format de jeton SAML 1.1
Format de jeton SAML 2.0
Format de jeton JWT
39. • Inscrivez-vous pour un locataire
http://g.microsoftonline.com/0AX00en/5
Version Preview autonome disponible :)
40. • Livre blanc "Active Directory
from on-premises to the Cloud"
Pour plus d’information
41. • Regarder les annonces sur le blog Windows Azure
– http://blogs.msdn.com/windowsazure
– Reimagining Active Directory for the Social Enterprise (Part 1)
– Reimagining Active Directory for the Social Enterprise (Part 2)
– Announcing the Developer Preview of Windows Azure Active
Directory
– Enhancements to Windows Azure Active Directory Preview
Pour aller d’informations
42. • Documentation TechNet
http://technet.microsoft.com/en-us/library/hh967619.aspx
• Documentation MSDN
http://msdn.microsoft.com/en-us/library/windowsazure/jj673460.aspx
– Exemples et tutoriels
https://activedirectory.windowsazure.com/develop/
– Forum
http://social.msdn.microsoft.com/Forums/en-US/WindowsAzureAD/
Pour aller plus loin
43. Formez-vous en ligne
Retrouvez nos évènements
Faites-vous accompagner
gratuitement
Essayer gratuitement nos
solutions IT
Retrouver nos experts
Microsoft
Pros de l’ITDéveloppeurs
www.microsoftvirtualacademy.comhttp://aka.ms/generation-app
http://aka.ms/evenements-
developpeurs http://aka.ms/itcamps-france
Les accélérateurs
Windows Azure, Windows Phone,
Windows 8
http://aka.ms/telechargements
La Dev’Team sur MSDN
http://aka.ms/devteam
L’IT Team sur TechNet
http://aka.ms/itteam
Notas do Editor
Notation
Office 365 Single Sign-On with AD FS 2.0: http://www.microsoft.com/en-us/download/details.aspx?id=28971
Use third-party identity providers to implement single sign-on: http://technet.microsoft.com/en-us/library/jj679342.aspxWeb SSO to Office 365 Using PingFederate from Ping Identity: https://www.pingidentity.com/products/pingfederate/sso-for-microsoft-environments.cfm
Office 365 Single Sign-On with Shibboleth 2 : http://www.microsoft.com/en-hk/download/details.aspx?id=35464
MSDN Windows Azure Active Directory: http://msdn.microsoft.com/en-us/library/dd630118