O documento discute a segurança na nuvem, apresentando modelos de autenticação e autorização baseados em claims para aplicações na nuvem e híbridas. O modelo de claims permite que aplicações recebam informações sobre usuários de um serviço de token de segurança. Tecnologias como Windows Identity Foundation, Active Directory Federation Services e Access Control Service implementam esse modelo de forma interoperável na nuvem e on-premises.

1. Segurança na nuvem Luciano Condé Arquiteto de Soluções Microsoft twitter.com/luconde blogs.msdn.com/conde

2. Agenda As demandas Cenários de segurança nas aplicações Impacto Pilar Arquitetura Tecnologias

3. As demandas

4. Fusões Créditos: http://g1.globo.com/Noticias/Economia_Negocios/foto/0,,33350490-FMM,00.jpg

5. On-premises Nuvem

6. Como tratar a segurança para atender a estas demandas?

7. Cenários de segurança nas aplicações

8. Cenário: Simples Autenticação e autorização Usuário + Senha + provedor de identidades customizado

9. Cenário: Várias aplicações Directory service

10. Cenário: Nuvem Directory Autenticação e autorização Autenticação e autorização

11. Cenário: Nuvem como ponte Acesso Acesso E E Empresa 1 Empresa 2

12. Impacto

13. Impacto

14. Pilar

15. Claims-Based Authentication Modelo Claims-based Camada de abstraçãoparaautenticaçãoe autorização, queforneceàsaplicaçõesinformaçõessobreosusuários e serviços Claim: Email = luconde@microsoft.com Age > 30 Employer =Microsoft Role= Arquiteto

16. Segurançanasuaaplicação Quem é você? O quevocêpodefazer?

17. Arquitetura de Claims 2. Verificaos claims e transferepara a aplicação Confiança Servidor de Claims (STS) 1. Autenticar 3. Retornaos claims Federação Sua app 4. Enviaos claims Framework para Claims Cliente

18. ModeloClaims-Based Claim Declaração de identificação Token de segurança Assinado e contém a claim GeradopeloServidor de Claims Identity Metasystem Protocolos e arquiteturaparatroca de claims Aplicação “consciente” das claims Claims sãoentreguesquando o usuárioacessaa aplicação

19. Como ficadepois do "CBA"? 1. Quem é você? <federatedAuthentication enabled="true"> <wsFederation issuer="https://sts1.contoso.com/FederationPassive/" realm = “http://web1.contoso.com/MyApp” passiveRedirectEnabled = "true"/> </federatedAuthentication> 2. O quevocêpodefazer? IClaimsIdentity caller = Thread.CurrentPrincipal.Identity as IClaimsIdentity; string Role = (from c in caller.Claims where c.ClaimType == MyClaimTypes.Role select c.Value).Single();

21. Tecnologias

22. Microsoft Identity Software + ServicesO modelo de identidadeúnico Interoperabilidade Segurança Produtividade Windows Live ID Microsoft Federation Gateway .Net Access Control Service Services Claims-Based Access Windows Identity Foundation Windows CardSpace2.0 Active Directory Federation Services 2.0 Software

23. Novidade Windows Identity Foundation RTW Extensão.Netpara claims-based identity http://www.microsoft.com/wif

24. Criandoumaaplicação Web com WIF demo

25. Tecnologias – ADFS 2.0

26. ADFS 2.0 é um STS que usa um Directory Service (AD, SQL ou custom) como repositório de identidades

27. ADFS 2.0 ADFS 2.0 1. Autenticar 3. Retornaos claims Estabelecerelaçãoatravés de metadados Federação Sua app 4. Enviaos claims Framework para Claims Cliente

28. Papel do Security Token Services Flexibilidade: Externalizar a autenticaçãopara um STS STS cuida de: Como autenticar o usuário Onde estão as informações do usuário Emitir claims, formatos e valores das claims Lógica da aplicaçãodirigidapor claims

29. Usando o ADFS 2.0 demo

30. Tecnologias – .NET Access Control Service (ACS)

31. Cenário: Nuvem como ponte Acesso Acesso E E Empresa 1 Empresa 2

33. Autorização: .Net ACS Presente no Azure AppFabric Claims-based para RESTWeb Services Desenvolvido comGoogle, Yahoo OAuth Web Resource Authorization Protocol (WRAP) Simple Web Tokens (SWT) Integrado com WIF and AD FS 2.0 http://www.microsoft.com/windowsazure/dotnetservices/

34. Usando o Access Control Service (ACS) demo

35. Resumo Modelo de Claims-based authentication Modelo de programaçãopara identity Uso de STS Trabalhananuvemou on-premises Construídocom a infra-estruturaatual Baseadoemprotocolospadronizados Baixe e use Windows Identity Foundation (“Geneva Framework” ADFS 2.0 (“Geneva Server”)

36. Por final Cliente Mecanismo centralizado de entrega de claims ISV Integra a suas aplicações com o ambiente do cliente SaaS na nuvem Integra a nuvem com o ambiente do cliente

37. Referências Windows Identity Foundation http://www.microsoft.com/downloads/details.aspx?familyid=EB9C345F-E830-40B8-A5FE-AE7A864C4D76&displaylang=en Windows Identity Foundation SDK http://www.microsoft.com/downloads/details.aspx?familyid=C148B2DF-C7AF-46BB-9162-2C9422208504&displaylang=en Identity Developer Training Kit (PDC 2009) http://www.microsoft.com/downloads/details.aspx?familyid=C3E315FA-94E2-4028-99CB-904369F177C0&displaylang=en Usando o ADFS 2.0 http://msdn.microsoft.com/en-us/magazine/ee335705.aspx