Active Directory Federation Services 2.0 : de nouveaux horizons s'ouvrent au cloud

La nouvelle version du composant Microsoft Active Directory Federation Services (ADFS) promet d'augmenter considérablement la sécurité du cloud.

Jeffrey Schwartz

La nouvelle version du composant Microsoft Active Directory Federation Services (AD FS) 2.0 promet de simplifier l'authentification sécurisée sur plusieurs systèmes, ainsi que sur le portefeuille d'applications Microsoft basées sur le cloud. De plus, grâce une interopérabilité étendue, AD FS 2.0 devrait offrir une authentification sécurisée du niveau de celle qui est actuellement garantie par d'autres fournisseurs de cloud (qui prennent déjà en charge les protocoles standard) tels que Amazon.com Inc., Google Inc. et Salesforce.com Inc.

AD FS 2.0, anciennement « Geneva Server », a été lancé en mai. Cette extension tant attendue de Microsoft Active Directory offre une fonction interopérable de gestion des identités fédérée et basée sur les revendications. En intégrant AD FS 2.0 à un déploiement AD existant, un département informatique peut autoriser des individus à ouvrir une session sur Active Directory, puis à utiliser leurs informations d'identification pour s'authentifier sur d'autres systèmes ou applications gérant les revendications.

« Au final, ce système nous permet de simplifier le fonctionnement de l'accès et de l'authentification unique sur site dans le cloud », déclare John « J.G. » Chirapurath, directeur senior du groupe Identity and Security Business de Microsoft.

Contrairement à la première version du système, AD FS 2.0 prend en charge la norme largement implémentée Security Assertion Markup Language (SAML) 2.0. De nombreux services en cloud tiers utilisent l'authentification basée sur SAML 2.0, car il s'agit de l'élément clé garantissant l'interopérabilité avec d'autres applications et services en cloud.

« Nous pensons que les services d'authentification et d'autorisation fédérés et basés sur les revendications jouent un rôle fondamental dans la réussite et l'adoption des services en nuage », indique Kevin Von Keyserling, président et PDG d'Independence, Certified Security Solutions Inc. (CSS), une société basée en Ohio aux États-Unis, intégrateur de systèmes et partenaire MGCP (Microsoft Gold Certified Partner).

Même si AD FS 2.0 ne résout pas nécessairement tous les problèmes de sécurité liés au transfert de données et de systèmes traditionnels vers le cloud, il élimine un obstacle essentiel en particulier pour les applications telles que SharePoint et sans aucun doute pour l'ensemble des applications. De nombreuses entreprises ont manifesté une certaine frilosité à utiliser des services en cloud tels que Windows Azure, en raison des problèmes de sécurité qu'ils peuvent poser mais également du manque de contrôle sur le processus d'authentification.

Selon M. Chirapurath, les problèmes de sécurité, et en particulier ceux liés aux identités et à leur gestion, constituent peut-être la difficulté majeure qui s'oppose à la réussite de l'informatique en cloud. « De la même manière que le courrier électronique a contribué au succès fulgurant d'Active Directory, Active Directory Federation Services jouera un rôle essentiel dans la réussite du cloud. »

AD FS 2.0 peut être facilement intégré à des applications exécutées dans Windows Azure, les entreprises peuvent utiliser des jetons numériques basés sur les revendications (ou des sélecteurs d'identités) qui fonctionneront avec Windows Server 2008 et les services Microsoft basés sur le cloud, autorisant ainsi les réseaux en cloud mixtes. L'objectif est de laisser un utilisateur s'authentifier en toute transparence sur Windows Server ou Windows Azure, et partager ces informations d'identification avec des applications qui acceptent un jeton basé sur SAML 2.0.

Microsoft Windows Identity Foundation (WIF) permet aux développeurs de rendre leurs applications .NET sensibles à l'identification.

WIF fournit l'infrastructure sous-jacente du modèle d'identité basé sur les revendications Microsoft. Implémentées sur Microsoft .NET Framework, les applications développées à l'aide de WIF présentent un schéma d'authentification notamment des attributs, des rôles, des groupes et des stratégies d'identification, ainsi qu'une méthode visant à gérer ces revendications. Les applications créées par des développeurs d'entreprise ou des éditeurs de logiciel indépendants et basées sur WIF pourront également accepter ces revendications.

Dans AD FS 2.0, l'authentification fédérée directe est activée en acceptant des jetons basés sur les normes WS-Trust (Web Services Federation (WSFED)) et SAML. Tandis que Microsoft supporte depuis longtemps la spécification WSFED, le groupe a accepté il y a un an et demi seulement de prendre en charge la norme plus largement adoptée SAML.

Parlez-en à votre banque

Danny Kim, directeur technique de la société FullArmor Corp., basée à Boston et partenaire MGCP (Microsoft Gold Certified Partner), qui a effectué un test de contrainte sur AD FS 2.0, indique que des clients importants souhaitent déjà l'utiliser pour déployer des systèmes sur le cloud.

« AD FS 2.0 associe les identités sur notre espace de serveur et nos services en cloud, et nous disposons d'une version unique qui fonctionne sur tous les environnements », souligne M. Kim.

Toujours selon M. Kim, une des plus importantes banques d'investissements de New York est l'un des clients de la société qui souhaitent déployer immédiatement ce système afin de permettre aux utilisateurs de s'authentifier sur des applications hébergées par des systèmes FullArmor basés sur Windows Azure.

« Cette banque, très soucieuse de la sécurité, aurait déclaré qu'elle ne déploierait ces services dans le cloud qu'à condition que la sécurité soit garantie », a indiqué Danny Kim. Et d'ajouter : « À terme, la banque souhaite cesser les achats et l'exécution de serveurs dès lors que la sécurité du cloud est assurée. » M. Kim explique que le système AD FS 2.0 mappe le jeton de l'utilisateur dans AD, qui est ensuite transmis vers d'autres systèmes compatibles AD FS 2.0.

Des représentants Microsoft soulignent un autre aspect essentiel de ce système : le fait que Microsoft puisse désormais également transmettre ces revendications via n'importe quel système compatible SAML. Microsoft a réalisé des tests d'interopérabilité avec d'autres fournisseurs dans le cadre du projet Liberty Alliance, organisation de normalisation qui supervise les spécifications de la gestion des identités.

« En collaboration avec un groupe de fournisseurs, nous avons testé de manière approfondie l'implémentation du protocole SAML et établi qu'il était satisfaisant », a déclaré Matt Steele, responsable de programme senior au sein de l'équipe AD FS chez Microsoft, dans une vidéo diffusée sur Microsoft Channel 9 après la sortie de la version Release Candidate d'AD FS. « Nous pouvons donc annoncer haut et fort, comme nous l'espérions, qu'AD FS 2.0 implémente le protocole SAML et qu'il est interopérable avec tous les produits des fournisseurs ayant réalisé les tests. »

L'implémentation sera-t-elle à la hauteur des résultats de test ?

Certains pensent que les promesses de Microsoft sont exagérées. « Il sera par exemple intéressant de connaître le niveau de compatibilité des jetons SAML avec celui des jetons fournis par les plates-formes d'autres fournisseurs », souligne Patrick Harding, directeur technique chez Ping Identity Corp., qui fournit son propre serveur d'authentification unique fonctionnant sur plusieurs plates-formes.

« Cela fait environ quatre ans que nous utilisons la norme SAML », indique M. Harding, dont la société est à la fois un concurrent et un partenaire de Microsoft. « Nous ne savons que trop bien qu'une fois hors du laboratoire, SAML peut se comporter très différemment, en particulier lorsque de nombreux fournisseurs de logiciels en tant que service (Saas) choisissent d'écrire leurs propres implémentations SAML qui elles-mêmes peuvent également varier. »

Patrick Harding se demande également à quel rythme la communauté de développement .NET adoptera WIF. « Même si en théorie WIF semble être une bonne idée, il requiert des développeurs qu'ils se familiarisent avec un paradigme et un cadre de développement entièrement nouveaux afin de savoir comment intégrer leurs applications dans AD FS », souligne M. Harding.

M. Kim n'est pas d'accord avec cet argument. Selon lui : « Pour les développeurs qui connaissent l'environnement .NET, je ne pense pas que la courbe d'apprentissage soit si importante. »

Quest développe des outils de développement familiers afin de réduire la courbe d'apprentissage, aussi réduite soit-elle. La cerise sur le gâteau, indique Sotnikov, est que « contrairement à certains outils et plates-formes en cloud qui n'acceptent pas nos codes C++ et C# existants, cette solution nous permet de réutiliser jusqu'à 50 % de nos codes. »

Ces problèmes mis à part, Patrick Harding reconnaît que la sortie d'AD FS 2.0 va certainement ouvrir la voie à de nouvelles initiatives en matière d'informatique en cloud. « AD FS 2.0 présente un intérêt considérable, car il confirme l'importance que revêt la gestion fédérée des identités ; il va devenir un outil essentiel pour l'informatique en cloud et SaaS », souligne-t-il. « La bonne santé de Microsoft profite à tout le monde et cela va renforcer l'idée que la fédération est bien réelle. »

Pas à l'ordre du jour

Quelques jours seulement avant la sortie d'AD FS 2.0, Microsoft a suspendu le travail réalisé sur la prochaine version de son composant de sélection des identités pour les cartes d'informations CardSpace (anciennement « InfoCard »), appelé CardSpace 2.0, qui devait fournir une interface utilisateur commune pour la gestion d'ouvertures de session multiples. CardSpace 2.0, qui était en version bêta depuis l'année dernière, fonctionne avec AD FS 2.0 et WIF. Pour établir des liens entre les testeurs bêta de CardSpace 2.0, Microsoft a récemment lancé une version CTP (Community Technology Preview) d'un module complémentaire d'AD FS 2.0 qui doit permettre à Windows Server d'émettre des cartes d'informations.

« Le secteur des cartes d'informations est très dynamique, notamment en ce qui concerne les technologies cryptographiques telle que la technologie U-Prove que nous avons déployée lors de la conférence RSA », indique Joel Sider, responsable produit du groupe de sécurité Forefront chez Microsoft. « Il existe également de nouvelles normes telles qu'OpenID. Nous souhaitons étudier certaines des nouvelles tendances observées. »

La question est donc la suivante : CardSpace 2.0 va-t-il voir le jour ? « Il existe un intérêt certain pour les cartes d'informations et notre engagement sur ce produit est bien réel », indique M. Sider. Microsoft reste silencieux quant à ses projets relatifs à CardSpace 2.0, mais certains se demandent si cette technologie a vraiment de l'avenir.

Le destin incertain de CardSpace 2.0 n'est pas surprenant « étant donné son adoption limitée », indique M. Harding. « Malheureusement, cela suscite le mécontentement des individus et entreprises qui, encouragés par Microsoft, avaient adopté le modèle InfoCard. »

Ce changement de cap s'est avéré inévitable quand au début du mois de mars de cette année Scott Charney, vice-président Informatique de confiance Microsoft, a lancé la version CTP de la technologie U-Prove de l'entreprise lors de la conférence annuelle RSA qui s'est déroulée à San Francisco. Le produit U-Prove se concentre sur l'émission de jetons numériques qui permettent aux utilisateurs de contrôler le volume d'informations partagées avec le destinataire des jetons.

Utilisée dans AD FS 2.0, la technologie U-Prove permet aux utilisateurs de fédérer des identités sur des domaines de confiance. Microsoft a publié U-Prove dans le cadre de sa promesse de spécification ouverte (OSP, Open Specification Promise) et a également fait don de deux kits de ressources de référence pour l'implémentation des algorithmes sous la licence FreeBSD. Par ailleurs, Microsoft a publié une seconde spécification (toujours dans le cadre de sa promesse de spécification ouverte) pour l'intégration de la technologie U-Prove à des sélecteurs d'identités Open Source. Il reste maintenant à voir l'accueil que les communautés .NET et Open Source réserveront à U-Prove.

Transition en cloud

De nombreux professionnels de l'informatique Windows et spécialistes de la sécurité semblent miser sur AD FS 2.0. Von Keyserling, de CSS, est de ceux qui pensent qu'AD FS 2.0 jouera un rôle essentiel dans l'amélioration de la sécurité du cloud.

« Nous travaillons avec de très grandes entreprises internationales et les aidons à construire des modèles de fédération qui facilitent la transition vers un environnement d'informatique en cloud », souligne M. Keyserling. « Ce système permet d'étendre la gestion des identités au sein d'organisations qui constituent elles-mêmes des identités distinctes. »

Ainsi, selon M. Von Keyserling, si CSS et un client souhaitent collaborer sur un système qui était hébergé localement (via un pool de serveur partagé) ou dans le cloud, les deux organisations pourraient fédérer leurs services afin de faciliter la gestion des identités de leurs employés respectifs.

« En utilisant votre propre infrastructure d'identité et en appliquant ce système jusqu'au cloud, hébergé par Microsoft ou via un produit SharePoint hébergé, vous placez l'identité au cœur de la sécurité, ce qui constitue un point clé pour la sécurité du cloud dans son ensemble », ajoute-t-il.

M. Chirapurath indique que Microsoft se concentre essentiellement sur ce point clé. « L'identité n'est autre chose que la clé du magasin, dans la mesure où elle indique qui est qui et qui peut faire quoi », déclare-t-il. « Très souvent, les défis posés à l'informatique en cloud relèvent du domaine de l'identité. AD FS vous permet de partager ces identités sur site avec le cloud ; il peut s'agir de Windows Azure ou de tout autre cloud prenant en charge SAML ou [les normes WS], vous permettant ainsi de profiter de vos investissements existants dans Active Directory et d'intégrer ces identités à vos efforts en matière d'informatique en cloud. »

Implémentation AD FS 2.0

Microsoft indique qu'AD FS 2.0 peut être implémenté sur AD sans requérir d'extensions de schéma. Il doit être installé sur Windows Server 2008 ou 2008 R2.

Microsoft espère également que les magasins Windows adopteront la nouvelle plate-forme Forefront Identity Manager (FIM) 2010, qui est sortie en mars. FIM est un référentiel qui gère les identités, les droits d'accès et les informations d'identification, ainsi que les stratégies associées. Il permet également aux responsables informatiques de gérer les identités via une console d'administration basée sur SharePoint.

La sécurité du cloud pose de nombreux problèmes qui peuvent décourager le déploiement d'applications dans le cloud. La conformité, l'intégrité des données et la compréhension des implications du partage en sont quelques-uns.

En revanche, en ce qui concerne la gestion des identités, Microsoft et d'autres entreprises ont réalisé des avancées importantes visant à soutenir l'utilisation d'identités communes au sein de l'infrastructure, même s'il reste du travail à accomplir du côté client. Toutefois, avec AD FS 2.0, les entreprises envisageant de recourir à des services en cloud peuvent profiter de l'ajout d'une mise à niveau gratuite à Windows Server.

« L'utilisateur final peut profiter de la même expérience dans le cloud que s'il se trouvait dans son propre réseau ; c'est l'un des avantages ou des moteurs pour les grandes entreprises qui envisagent d'adopter la fédération des services et ou de l'étendre », selon Von Keyserling. « Le système fournit des services en cloud éliminant les interruptions pour gérer les réinitialisations de mots de passe et les informations d'identification, et permet [aux entreprises] de se concentrer sur l'exécution de stratégies d'entreprise sans à se soucier des tâches quotidiennes liées à la gestion des problèmes de sécurité. »

Encadré : Identificateurs clés

• Services AD FS 2.0 (Active Directory Federation Services) : extension gratuite d'Active Directory qui promet une gestion des identités fédérée et basée sur les revendications en toute transparence sur
• Windows Server, Windows Azure et d'autres services et applications en cloud.
• SAML 2.0 : la norme XML largement prise en charge pour l'échange d'informations d'identité entre des domaines de sécurité est désormais intégrée à AD FS 2.0.
• WSFED : WS-Federation est la spécification centrale sur laquelle le système AD FS a été construit. Tandis que SAML est devenue la norme de facto, Microsoft a ajouté la prise en charge de cette spécification dans la nouvelle version.
• Windows Identity Foundation (WIF) : WIF fournit l'infrastructure sous-jacente du modèle d'identité basé sur les revendications Microsoft. Implémentées sur .Net Framework, les applications présentent un schéma d'authentification notamment des attributs, des rôles, des groupes et des stratégies d'identification, ainsi qu'une méthode visant à gérer ces revendications. Les applications créées par des développeurs d'entreprise ou des éditeurs de logiciel indépendants et basées sur WIF pourront accepter ces revendications.
• CardSpace v1 : composant de Microsoft .NET Framework qui fournit les sélecteurs d'identité natifs dans Windows 7 et Windows Vista.
• U-Prove : il se concentre sur l'émission de jetons numériques, qui permettent aux utilisateurs de contrôler le volume d'informations partagées avec le destinataire des jetons. Utilisée dans AD FS 2.0, la technologie U-Prove permet aux utilisateurs de fédérer des identités sur des domaines de confiance. Une version CTP (Community Technology Preview) est sortie en mars.
• OpenID : norme de facto pour fournir un identificateur, prise en charge par Microsoft, Google Inc., Yahoo! Inc., VeriSign Inc. et de nombreux sites de réseau social et de blogs importants.

—J.S.

Contenu associé

• Utilisation d'Active Directory Federation Services
• Gestion des utilisateurs Active Directory avec ILM 2007
• Améliorations de l'infrastructure à clé publique dans Windows 7 et Windows Server 2008 R2