1. 新一代身份驗證機制 - Windows Card Space 曹祖聖 台灣微軟資深講師 [email_address] http://teacher.allok.com.tw MCP, MCP+I, MCSA, MCSE,MCDBA, MCAD, MCSD, MCT, MVP

9. IIS 7.0 身份驗證流程 NTLM Basic Anonymous IIS Server Core Kerberos Digest Request received by IIS Authentication Providers Passport

10. Client IIS 伺服器 default.htm Web 瀏覽器 匿名驗證流程

12. 基本驗證流程 IIS 伺服器 default.htm Web 瀏覽器 Base64 編碼的 使用者名稱和密碼 401 Error

18. NTLM 的驗證過程 Get /Default.HTM Get /Default.HTM w/ AuthNTLM Get /Default.HTM w/ AuthNTLM Hashed 401 – WWW Auth: NTLM 200 - OK 401 – Access Denied Client Client IIS Server IIS Server

21. Kerberos 運作機制 IIS 啓動後，當伺服器跟 KDC 做驗證成功後，會取得 ticket Ticket Granting Services Domain Controller (KDC) IIS Server

22. Kerberos 運作機制 用戶端向 KDC 要求 存取 IIS 的的 ticket 如果 IIS 是 AD 成員， KDC 會發出 shared key 用戶端使用匿名身份連線至 IIS IIS 回傳 401 錯誤，加上 WWWAuth 標頭，要求進行協調 用戶端使用這支 shared key 來建立雜湊碼，並且傳送到 IIS IIS 使用 shared key 來檢查密碼是否正確 Shared Domain Controller (KDC) IIS Server

23. 摘要式驗證流程 IIS 伺服器 網域控制站 Active Directory 資料庫 Web 瀏覽器

27. IIS 7.0 驗證比較表

28. IIS 與 ASP.NET 身份驗證流程 IIS Web 瀏覽器 允許該 IP address 和 domain? 使用者身份驗證通過 ? 否 是 是 否 有 有設定 ASP.NET impersonation ? 沒有 ACL 檢查通過 ? 否 是 ASP.NET 執行 ASP.NET 程式 拒絕存取 使用指定帳號 允許存取 使用應用 程式集區帳號

35. demo 管理 Windows CardSpace

37. 真實世界的 STS STS token token STS token token RP

38. CardSpace 運作流程 Identity Provider (IP) Security Token Service (STS) Relying Party (RP) Client 使用者要存取某項資源 RP 提出身份識別要求 1 2 使用者 3 檢查那些 IPs 可以滿足要求 ? 使用者選擇 IP 4 5 向該 IP 要求 token 6 根據 RP 要需求傳回 token 7 使用者決定可以送出 token 8 Token 送交給 RP

40. demo 使用 Windows CardSpace 登入網站

42. Federation by STS Fabrikam Contoso AD/STS Contosoisa Fabrikam App Linux STS “ 能不能幫我 …” “ 先從 Fabrikam STS 拿到 token 再說 !” “ 請給我一個 Fabrikam token !” “ 請出示您的身份 !” “ 請給我一個 token !” “ 請出示您的身份 !” “ Lisa 您好，有什麼可以為您服務的嗎 ?” SAML SAML Fabrikam Fabrikam

43. 網站應用 前端 Web 網站 網站 Identity Provider STS Relying Party HTTP/GET ( 保護頁面 )   轉向到登入頁面 1 HTTP/GET ( 登入頁面 )  2 登入頁面 (HTML) + x-informationcard 標籤 5 HTTP/GET|POST 目標頁面 + token 透過 WS-Mex 與 WS-Trust 取得 token 4 客戶資料庫 6 使用者選擇卡片 3

44. 網站應用 – 減少對網站的影響 前端 Web 網站 STS 網站 Identity Provider STS Relying Party HTTP/GET ( 保護的頁面 )   轉向到登入頁面 1 傳出登入頁面 HTML HTTP/GET ( 登入頁面 )  2 HTTP/GET|POST 目標頁面 + token 8 3 WS-Mex 透過 WS-Trust/RST 傳送 token 透過 WS-Trust/RSTR 取得 token 6 5 透過 WS-Mex 與 WS-Trust 取得 token 客戶資料庫 7 使用者選擇卡片 4

46. Login Page < button onclick =&quot;javascript:return infocardlogin.submit();&quot;> Sign in with your Information Card </ button > < form name =&quot;infocardlogin&quot; target =&quot;_self&quot; method =&quot;post&quot;> < object type =&quot;application/x-informationcard&quot; name =&quot;xmlToken&quot;> < param name =&quot;tokenType&quot; value =&quot;urn:oasis:names:tc:SAML:1.0:assertion&quot; > < param name =&quot;issuer&quot; value =&quot;http://schemas..../identity/issuer/self&quot; > < param name =&quot;requiredClaims&quot; value =&quot;http://.../claims/givenname, http://.../claims/surname, http://../claims/emailaddress, http://.../claims/privatepersonalidentifier&quot; > </ object > </ form > public partial class Login_aspx : System.Web.UI. Page { protected void Page_Load( object sender, EventArgs e) { string xmlToken = Request[ &quot;xmlToken&quot; ]; Token token = new TokenProcessor . Token (xmlToken); // Lookup the account using the uniqueId string username = MembershipHelper .GetUser(token.UniqueID); if (username != null ) { MembershipUser user = Membership .GetUser(username); // give the cookie back to the browser FormsAuthentication .SetLoginCookie(user.UserName, false ); } } }