Windows Azure : Authentifier Windows Azure avec ADFS
Pour pouvoir accéder aux données de l'entreprise à tout moment et en tout lieu, plusieurs niveaux d'authentification à distance doivent être mis en œuvre.
Dan Griffin et Tom Jones
Les dirigeants avertis utilisent mobiles et le cloud computing comme un atout stratégique pour augmenter la vitesse et la flexibilité de leurs processus décisionnels. Les appareils mobiles ont déjà prouvé leur valeur dans l'entreprise. Utilisateurs ont n'importe où, à tout moment accéder aux données que dont ils ont besoin pour rester productif.
La multiplication des smartphones et tablettes ordinateurs — pour ne pas mentionner la demande pour le cloud computing — a augmenté la pression sur les départements informatiques à offrir un accès mobile sécurisé au contenu entreprise précieux. En bref, si vous ne sont pas investir dans formelle il soutien pour l'informatique mobile sécurisée, vous pouvez être sûr que vos concurrents sont. Elles permettront un facteur de différenciation.
Tous les investissements internes en informatique mobile doivent tenir compte de la sécurité des données. Vous devez également prévoir le coût potentiel dans la satisfaction de l'utilisateur qui peuvent entraîner des problèmes de sécurité. Par exemple, il y a longtemps eu un désir pour un mécanisme unifié permettant d'authentifier en toute sécurité sur site et les utilisateurs distants. Cela inclut les appareils portables, ordinateurs de bureau et les nouvelles applications héritées.
Des solutions souples et rentables de gestion des identités ont été difficiles à trouver. Utilisateurs obtenir agacés à des demandes d'informations d'identification d'ouverture de session d'encore un autre. En outre, lorsque l'utilisateur possède les informations d'identification d'ouverture de session même stockées à plusieurs endroits, le risque de vol d'identité ou de la divulgation accidentelle augmente.
La bonne nouvelle pour elle, c'est que l'informatique mobile est un exemple clair de sécurité informatique comme un outil d'affaires. De plus, la dernière authentification et les technologies d'autorisation peuvent rendre vraie sécurité transparente pour l'utilisateur.
Lors de la Conférence RSA de 2013, responsable de la United States National Security Agency mobilité mission explique pourquoi même les environnements les plus sensibles pour la sécurité ont besoin de soutien cohérent pour le guerrier de la route. Services informatiques nécessaire d'activer les services et les périphériques qui prennent en charge une variété de mécanismes d'authentification utilisateur.
Vous pouvez adapter une solution de gestion de l'identité existante comme Microsoft Active Directory Federation Services (ADFS) à une application de Web (LOB) typique de métier en cours d'exécution dans l'environnement de cloud Windows Azure. Vous pouvez également facilement appliquer la forme générale de la solution décrite ici à d'autres solutions de gestion de l'identité, les applications et services en nuage.
Méthodes d'authentification existants
Dans le cadre de Windows, Directory Services a toujours été le référentiel traditionnel pour les identités d'utilisateur enterprise. Ceci est conçu pour donner aux employés un accès aux actifs de réseau derrière un pare-feu lorsque Kerberos est le protocole de domination.
Parce que Kerberos n'est pas recommandé pour une utilisation sur l'Internet, la plupart des entreprises utilisent des protocoles d'authentification basé sur le Web comme SAML Security Assertion Markup Language (), Simple Web Token (SWT) et JSON Web Token (JWT). Ces jetons Web plus récents ne sont pas encore hébergés par la plupart des services annuaire entreprise, donc vous aurez besoin d'un service supplémentaire, appelée le serveur de jeton de sécurité (STS) — pour connecter le répertoire traditionnel pour les toutes dernières applications Web.
Il est important de séparer les rôles. Chaque serveur d'applications LOB ne devrait pas être aussi responsable de l'authentification de l'utilisateur. A besoin de ce que le serveur d'application est la possibilité de s'appuyer sur un autre service de faire le gros du travail de fournir des informations d'identité et autorisation de manière flexible. C'est ce qui est généralement dénommé « identité fédérée ».
Fédération signifie que le serveur d'applications (la partie utilisatrice, ou RP) établit une relation de confiance avec le fournisseur d'identité. Il faut comprendre comment évaluer les métadonnées d'identité utilisateur fournie sous la forme de demandes.
Par exemple, imaginez un utilisateur tente d'accéder au contenu sur un service de réseau (voir Figure 1). Le RP demande une collection de revendications mis en déroute par une application (par exemple, le navigateur Web) sur le périphérique de l'utilisateur à une ou plusieurs STS. L'utilisateur s'authentifie auprès du STS avec quelque information d'identification a été fournie : mot de passe, carte à puce et ainsi de suite. La connexion directe seulement entre le RP et le STS est la configuration initiale, dans laquelle l'approbation est établie entre les deux (en général, vous devez configurer chacun avec le certificat du serveur de l'autre).
.jpg)
Figure 1 lorsqu'un utilisateur demande le contenu sécurisé, cette demande débute une série de recoupements.
ADFS et Windows Azure dans le monde réel
Une option consiste à configurer les services AD FS tant que STS. ADFS protège l'intérieur Active Directory Domain Services (AD DS) contre les attaques externes par accepte les demandes d'authentification à partir de l'Internet. ADFS traduit l'identité basée sur Active Directory dans un format facile à Internet.
Dans ce cas, l'appareil externe est une tablette de Windows. L'appareil communique sur une connexion réseau externe à un serveur d'applications Web (RP) hébergé dans le cloud Windows Azure. Le serveur d'applications doit savoir l'utilisateur authentifié par ADFS utilise un ordinateur conforme aux stratégies réseau.
Comme sécurité expert Butler Lampson a dit pendant des années, « toute confiance est locale. » En d'autres termes, le RP doit être en mesure d'effectuer sa propre validation de revendications avant il peut autoriser l'accès au contenu de la demande. Qu'autorisation et la validation est basée sur les revendications utilisateur identité et dispositif de conformité émises par un STS. Périphérique de l'utilisateur puis conduit cet échange de données d'authentification (voir Figure 2).
.jpg)
La figure 2 il prend une série de réponses demande pour valider une demande de données.
Un agent sur le périphérique recueille les réclamations d'une variété de sources et les combine dans une réponse au serveur d'applications. Cette réponse doit satisfaire tous les critères pour permettre l'accès aux données protégées. L'identité de l'utilisateur ni dispositif-santé-conformité réclamations peuvent provenir de la STS différent, tel que représenté dans Figure 2, ou un seul m avec de multiples sources de demandes de métadonnées (par exemple, Active Directory et Microsoft System Center Configuration Manager).
Vous pouvez modifier le mélange de l'identité et l'attribut fournisseurs pour répondre aux besoins du service Web de RP. Par exemple, vous pourriez combiner l'authentification Office 365 avec des mesures de périphérique client pour répondre aux politiques de prévention des pertes de données. Dans tous les cas, la demande RP ira à un agent d'utilisateur dans l'appareil de l'utilisateur. Qui permet de marshaler les réclamations provenant de plusieurs sources pour répondre aux besoins de la RP.
De nombreux scénarios d'authentification Web laisser les revendications de cache utilisateur appareil pour une utilisation ultérieure. Ceci est souvent appelé un scénario « Keep Me signé dans ». Le RP a même la possibilité de demander des revendications supplémentaires de l'utilisateur selon les besoins de l'opération demandée par l'utilisateur. Ceci est connu comme « step up » autorisation.
Soutien AD FS et identité
Pour les développeurs d'applications basées sur Windows LOB, soutien de la Fédération est intégré dans le Microsoft .NET Framework 4.5. Les développeurs ne doivent devenir des experts en sécurité afin de permettre les scénarios décrits ici.
Tandis que le .NET Framework 4.5 n'est pas livré avec SWT et soutien JWT, ajout de ces structures est bien documenté. Microsoft a publié un gestionnaire JWT pour le .NET Framework 4.5. Windows Server 2012 vient avec ADFS 2.1 comme un rôle de serveur intégrée qui prend désormais en charge les pools d'applications .NET Framework 4. Vous aurez besoin pour soutenir le gestionnaire JWT et autres fonctionnalités avancées.
Contrôle d'accès basé sur les revendications est utile lorsque le partenariat au-delà des limites de l'entreprise parce qu'il sépare d'authentification (par exemple, à Active Directory local) de l'autorisation (par exemple, aux services de données partagées dans le nuage). Revendications faire role-based access control plus facile à gérer car AD FS et autres fournisseurs d'identité peuvent émettre des revendications qui prennent en charge une variété d'autorisation vérifie au RP.
Cet article explique comment vous pouvez utiliser des revendications pour activer l'authentification utilisateur sécurisé d'une grande variété d'appareils. Les utilisateurs sont habitués n'importe quand, n'importe où l'accès aux ressources d'entreprise. Il est obligé de réaliser un équilibre délicat.
Vous devez activer le business avec une infrastructure évolutive qui prend en charge l'informatique mobile. Dans le même temps, vous devez protéger l'entreprise avec des mécanismes de sécurité des données qui sont faciles à gérer et moins intrusif.
.jpg)
Tom Jones a été le Président fondateur du sous-comité des normes nationales américaines ASC X9A10 sur les paiements électroniques. Il a travaillé au sein de la communauté de services financiers avec plusieurs organisations dont Electronic Data Interchange (EDI X 12) et Accredited Standards Committee X 9 Inc. sur les paiements électroniques, ainsi qu'avec First Data Corp., Intel Corp. et Microsoft.
.jpg)
Dan Griffin est le fondateur de JW Secure Inc. et une sécurité d'entreprise de Microsoft MVP. Il est l'auteur des livres « Cloud Security and Control » (CreateSpace Independent Publishing Platform, 2012) et « Les quatre piliers de Endpoint Security, » à paraître en 2013. Il est également un conférencier fréquent.