O documento discute a segurança na nuvem, apresentando modelos de autenticação e autorização baseados em claims para aplicações na nuvem e híbridas. O modelo de claims permite que aplicações recebam informações sobre usuários de um serviço de token de segurança. Tecnologias como Windows Identity Foundation, Active Directory Federation Services e Access Control Service implementam esse modelo de forma interoperável na nuvem e on-premises.

1. Segurança na nuvemLuciano CondéArquiteto de SoluçõesMicrosofttwitter.com/lucondeblogs.msdn.com/conde

2. AgendaAs demandasCenários de segurança nas aplicaçõesImpactoPilarArquiteturaTecnologias

3. As demandas

4. FusõesCréditos: http://g1.globo.com/Noticias/Economia_Negocios/foto/0,,33350490-FMM,00.jpg

5. On-premisesNuvem

6. Como tratar a segurança para atender a estas demandas?

7. Cenários de segurança nas aplicações

8. Cenário: SimplesAutenticação e autorizaçãoUsuário + Senha + provedor de identidades customizado

9. Cenário: Várias aplicaçõesDirectory service

10. Cenário: NuvemDirectoryAutenticação e autorizaçãoAutenticação e autorização

11. Cenário: Nuvem como ponteAcessoAcessoEEEmpresa 1Empresa 2

12. Impacto

13. Impacto

14. Pilar

15. Claims-Based AuthenticationModelo Claims-basedCamada de abstraçãoparaautenticaçãoe autorização, queforneceàsaplicaçõesinformaçõessobreosusuários e serviçosClaim: Email = luconde@microsoft.comAge > 30Employer =MicrosoftRole= Arquiteto

16. SegurançanasuaaplicaçãoQuem é você?O quevocêpodefazer?

17. Arquitetura de Claims2. Verificaos claims e transferepara a aplicaçãoConfiançaServidor de Claims (STS)1. Autenticar3. Retornaos claimsFederaçãoSua app4. Enviaos claimsFrameworkpara ClaimsCliente

18. ModeloClaims-BasedClaimDeclaração de identificaçãoToken de segurançaAssinado e contém a claimGeradopeloServidor de ClaimsIdentity MetasystemProtocolos e arquiteturaparatroca de claimsAplicação “consciente” das claimsClaims sãoentreguesquando o usuárioacessaa aplicação

19. Como ficadepois do "CBA"?1. Quem é você?<federatedAuthentication enabled="true"> <wsFederation issuer="https://sts1.contoso.com/FederationPassive/" realm = “http://web1.contoso.com/MyApp”passiveRedirectEnabled = "true"/></federatedAuthentication>2. O quevocêpodefazer?IClaimsIdentity caller = Thread.CurrentPrincipal.Identity as IClaimsIdentity;string Role = (from c in caller.Claims where c.ClaimType == MyClaimTypes.Role select c.Value).Single();

21. Tecnologias

22. Microsoft Identity Software + ServicesO modelo de identidadeúnicoInteroperabilidadeSegurançaProdutividadeWindows Live IDMicrosoft Federation Gateway.NetAccess Control ServiceServicesClaims-Based AccessWindows Identity FoundationWindows CardSpace2.0Active Directory Federation Services 2.0Software

23. NovidadeWindows Identity Foundation RTWExtensão.Netpara claims-based identityhttp://www.microsoft.com/wif

24. Criandoumaaplicação Web com WIFdemo

25. Tecnologias – ADFS 2.0

26. ADFS 2.0 é um STS que usa um Directory Service (AD, SQL ou custom) como repositório de identidades

27. ADFS 2.0ADFS 2.01. Autenticar3. Retornaos claimsEstabelecerelaçãoatravés de metadadosFederaçãoSua app4. Enviaos claimsFrameworkpara ClaimsCliente

28. Papel do Security Token ServicesFlexibilidade: Externalizar a autenticaçãopara um STSSTS cuida de:Como autenticar o usuárioOnde estão as informações do usuárioEmitir claims, formatos e valores das claimsLógica da aplicaçãodirigidapor claims

29. Usando o ADFS 2.0demo

30. Tecnologias – .NET Access Control Service (ACS)

31. Cenário: Nuvem como ponteAcessoAcessoEEEmpresa 1Empresa 2

33. Autorização: .Net ACSPresente no Azure AppFabricClaims-based para RESTWeb ServicesDesenvolvido comGoogle, YahooOAuth Web Resource Authorization Protocol (WRAP)Simple Web Tokens (SWT)Integrado com WIF and AD FS 2.0http://www.microsoft.com/windowsazure/dotnetservices/

34. Usando o Access Control Service (ACS)demo

35. ResumoModelo de Claims-based authenticationModelo de programaçãopara identityUso de STSTrabalhananuvemou on-premisesConstruídocom a infra-estruturaatualBaseadoemprotocolospadronizadosBaixe e useWindows Identity Foundation (“Geneva Framework”ADFS 2.0 (“Geneva Server”)

36. Por finalClienteMecanismo centralizado de entrega de claimsISVIntegra a suas aplicações com o ambiente do clienteSaaS na nuvemIntegra a nuvem com o ambiente do cliente

37. ReferênciasWindows Identity Foundationhttp://www.microsoft.com/downloads/details.aspx?familyid=EB9C345F-E830-40B8-A5FE-AE7A864C4D76&displaylang=enWindows Identity Foundation SDKhttp://www.microsoft.com/downloads/details.aspx?familyid=C148B2DF-C7AF-46BB-9162-2C9422208504&displaylang=enIdentity Developer Training Kit (PDC 2009)http://www.microsoft.com/downloads/details.aspx?familyid=C3E315FA-94E2-4028-99CB-904369F177C0&displaylang=enUsando o ADFS 2.0http://msdn.microsoft.com/en-us/magazine/ee335705.aspx