Windows Azure: Authentifizieren von Windows Azure mit AD FS
Die Notwendigkeit, an jedem Ort und jederzeit auf Unternehmensdaten zugreifen zu können, erfordert verschiedene Stufen der Remoteauthentifizierung.
Dan Griffin und Tom Jones
Versierte Führungskräfte nutzen mobile und cloud computing als eine strategische Ressource zur Steigerung der Geschwindigkeit und Flexibilität ihre Entscheidungsprozesse. Mobile Geräte haben bereits ihren Wert im Geschäft bewiesen. Benutzer haben überall und jederzeit Zugriff auf die Daten, die sie brauchen, um produktiv zu bleiben.
Die Verbreitung von Smartphones und Tablet Computer — ganz zu schweigen von die Nachfrage für Cloud computing — hat erhöht den Druck auf die IT-Abteilungen, sicheren mobilen Zugriff auf wertvolle Enterprise Content zu bieten. Kurz gesagt, wenn Sie Formal es Unterstützung für sichere mobile Datenverarbeitung investieren in nicht sind, können Sie sicher sein, dass Ihre Wettbewerber sind. Sie machen eine Unterscheidungsmerkmal.
Jede interne Investition in mobile computing muss Datensicherheit berücksichtigen. Sie müssen auch die potenziellen Kosten in Nutzerzufriedenheit planen, die Sicherheit Hürden entstehen können. Beispielsweise schon lange ein Wunsch für einen einheitlichen Mechanismus, um sicher auf lokalen und remote-Benutzer zu authentifizieren. Dazu gehören neue und ältere Anwendungen, handheld-Geräte und desktop-Geräten.
Flexible und kostengünstige Identitätsmanagement Lösungen sind schwer zu finden gewesen. Bei Anfragen für einen weiteren Anmeldung Anmeldeinformation erhalten Benutzer verärgert. Darüber hinaus, wenn der Benutzer die gleichen Anmeldung Anmeldeinformationen an mehreren Standorten gespeichert hat, erhöht das Risiko von Identitätsdiebstahl oder unbeabsichtigte Veröffentlichung.
Die gute Nachricht für sie ist, dass mobile computing ein klares Beispiel für IT-Sicherheit als ein Business-Enabler ist. Darüber hinaus die neuesten Authentifizierungs- und Autorisierungs-Technologien machen echten Sicherheit nahtlos für den Benutzer.
2013-RSA-Konferenz erklärt der United States National Security Agency Mission Mobilitätsmanager warum sogar die meisten sicherheitskritische Umgebungen geschlossene Unterstützung der Vollstrecker erfordern. IT-Abteilungen müssen Dienste und Geräte, die Unterstützung einer Vielzahl von Benutzer-Authentifizierungs-Mechanismen aktivieren.
Sie können eine vorhandene Identity-Management-Lösung wie Microsoft Active Directory-Verbunddienste (AD FS) typische Line-of-Business (LOB) Webanwendung wird in der Windows-Azure-Cloud-Umgebung anpassen. Sie können auch leicht anwenden, die allgemeine Form der Lösung, die hier beschriebenen anderen Identity-Management-Lösungen, Anwendungen und Cloud-Services.
Vorhandenen Authentifizierungsmethoden
Im Rahmen der Windows ist Directory Services seit jeher das traditionelle Repository für Unternehmen Benutzeridentitäten. Dies soll den Mitarbeiter Zugang zu Netzwerkressourcen hinter einer Firewall ist Kerberos Protokoll dominieren.
Da Kerberos ist nicht für die Anwendung im Internet empfohlen, verwenden die meisten Unternehmen Web-basierte Authentifizierungsprotokolle wie Security Assertion Markup Language (SAML), einfache Web Token (SWT) und JSON Web Token (JWT). Diese neueren Web-Token nicht noch durch die meisten Enterprise Directory Services untergebracht sind, müssen Sie einen zusätzlichen Service, werde — namens Security Token Server (STS) — verbinden das traditionelle Verzeichnis mit den neuesten Web-Anwendungen.
Rollen zu trennen ist wichtig. Jedes LOB-Anwendung-Server sollte nicht auch für die Benutzerauthentifizierung verantwortlich sein. Was der Application-Server muss ist die Fähigkeit, einige anderen Dienst zu tun, die Schwerarbeit, Identität und Autorisierung Informationen in einer flexiblen Weise abhängig. Dies ist, was im Allgemeinen als "federated Identity." bezeichnet wird
Föderation bedeutet, dass der Application-Server (relying Party oder RP) eine Vertrauensstellung mit der Identitätsprovider einrichtet. Sie müssen verstehen, wie die Benutzer-Identität-Metadaten in Form von Ansprüchen gemäß zu bewerten.
Angenommen, einen Benutzer versucht, auf einen Netzwerkdienst Inhalt zugreifen (siehe Abbildung 1). Die RP fordert eine Sammlung von Ansprüchen, die von einer Anwendung (z. B. Webbrowser) weitergeleitet, auf dem Benutzergerät zu einem oder mehreren STSes. Der Benutzer authentifiziert sich der STS mit welchen Anmeldeinformationen bereitgestellt wurde: Passwort, Smartcard und So weiter. Nur direkte Verbindung zwischen der RP und dem STS ist die anfängliche Konfiguration, worin ist die Vertrauensstellung zwischen den beiden (in der Regel, Sie würde konfigurieren jeweils mit dem Serverzertifikat des anderen).
.jpg)
Abbildung 1 Wenn ein Benutzer sicheren Inhalt anfordert, startet diese Anforderung von einer Reihe von Gegenkontrollen.
AD FS und Windows Azure in der realen Welt
Eine Möglichkeit ist zum Konfigurieren von AD FS als der STS. AD FS schirmt die interne Active Directory-Domänendienste (AD DS) vor externen Angriffen durch die Annahme von Authentifizierungsanforderungen aus dem Internet. AD FS übersetzt die Active Directory-basierte Identität in einem Internet-freundlichen Format.
Das externe Gerät ist in diesem Fall ein Windows-Tablet. Das Gerät kommuniziert über eine externe Netzwerkverbindung an eine Web-Application-Server (RP) in der Windows-Azure-Cloud gehostet. Der Application Server muss wissen, dass der von AD FS authentifizierte Benutzer einen Computer verwendet, der mit Netzwerkrichtlinien kompatibel ist.
Als Sicherheit hat Experten Butler Lampson sagte jahrelang "Vertrauen lokalen." Mit anderen Worten, muss die RP in der Lage, eigene Ansprüche-Validierung durchzuführen, bevor es Zugriff auf Anwendungsinhalt autorisieren kann. Die Überprüfung und Genehmigung ist anhand der Benutzer Identität und Gerät Konformität Ansprüche von einem STS ausgestellten. Das Gerät des Benutzers fährt dann die Authentifizierung-Datenaustausch (siehe Abbildung 2).
.jpg)
Abbildung 2 dauert eine Reihe von Anspruch Antworten eine Datenanforderung überprüft.
Ein Agent auf dem Gerät Ansprüche aus einer Vielzahl von Quellen sammelt und fasst sie in eine Antwort auf dem Anwendungsserver. Diese Antwort muss alle Kriterien um Zugriff auf die geschützten Daten ermöglichen erfüllen. Benutzer-Identität und Gerät-Gesundheit-Konformität Forderungen kommen aus verschiedenen STSes, wie in Abbildung 2, oder aus einem einzigen STS mit mehreren Quellen von Forderungen-Metadaten (z. B. Active Directory sowie Microsoft System Center Configuration Manager).
Sie können die Mischung von Identität und Attribut-Anbieter auf die Bedürfnisse des RP-Webdiensts ändern. Beispielsweise können Sie Office-365-Authentifizierung mit Client-Gerät-Messungen, Data-Loss-Prevention Richtlinien erfüllen kombinieren. In allen Fällen gehen die RP-Anforderung an einen Benutzer-Agent in das Benutzergerät. Das wird die Ansprüche aus verschiedenen Quellen für die RP-Anforderungen gemarshallt.
Viele Web-Authentifizierung-Szenarien können die Ansprüche der User Gerät Cache für die spätere Verwendung. Dies ist häufig ein Szenario "Keep Me unterzeichnet In" bezeichnet. Die RP hat sogar die Möglichkeit, zusätzliche Ansprüche vom Benutzer je nach Bedarf durch die Transaktion, die vom Benutzer angeforderten anzufordern. Dies wird als "verstärken" Autorisierung bezeichnet.
AD FS und Identität zu unterstützen
Für Windows-basierte LOB-Anwendungsentwickler, ist Unterstützung für Identitätsverbund integriert die Microsoft .NET Framework 4.5. Entwickler müssen nicht Sicherheitsexperten zu werden, um die hier beschriebenen Szenarien zu ermöglichen.
Während das .NET Framework 4.5 nicht im Lieferumfang von SWT und JWT-Support, mit diesen Strukturen gut dokumentiert ist. Microsoft hat einen JWT-Handler für .NET Framework 4.5 veröffentlicht. Windows Server 2012 kommt mit AD FS 2.1 als eine integrierte Serverrolle, die jetzt die Anwendungspools .NET Framework 4 Beta 2 unterstützt. Sie benötigen dazu den JWT-Handler und andere erweiterte Funktionen zu unterstützen.
Claims-based Access Control ist nützlich, wenn die Partnerschaft über Unternehmensgrenzen hinweg, weil es Authentifizierung (z. B. auf der lokalen Active Directory) aus Autorisierung (z. B. auf gemeinsam genutzte Daten-Services in der Cloud) trennt. Ansprüche stellen rollenbasierte Zugriffssteuerung einfacher zu verwalten, da AD FS und andere Identitätsprovider, unterstützen ausstellen können eine Vielzahl von Autorisierung an die RP überprüft.
Dieser Artikel beschreibt, wie Sie Ansprüche verwenden können, um sichere Benutzerauthentifizierung aus einer Vielzahl von Geräten zu ermöglichen. Nutzer haben jederzeit und überall Zugriff auf Unternehmensressourcen erwarten. Es ist verpflichtet, einen heiklen Balanceakt durchführen.
Du musst das Geschäft mit skalierbaren Infrastruktur zu ermöglichen, die mobile computing unterstützt. Sie müssen zur gleichen Zeit das Geschäft mit Daten-Sicherheitsmechanismen zu schützen, die überschaubar und minimal aufdringlich sind.
.jpg)
Tom Jones war die Gründung Vorsitzender des American National Standards Unterausschusses ASC-X9A10 für elektronische Zahlungen. Er arbeitete in der Finanzdienstleistungen-Gemeinschaft mehrere Organisationen wie Electronic Data Interchange (EDI X 12) und Accredited Standards Committee X 9 Inc. elektronische Zahlungen, sowie mit First Data Corp. Intel Corp. und Microsoft.
.jpg)
Dan Griffin ist der Gründer von JW Secure Inc. und eine Microsoft Enterprise Security MVP. Er ist Autor der Bücher "Cloud Security and Control" (CreateSpace Independent Publishing-Plattform, 2012), und "Die vier Säulen der Endpoint Security," im Jahr 2013 veröffentlicht werden. Er ist auch eine häufige Konferenz-Lautsprecher.