Active Directory Federation Services 2.0: porte aperte per la Cloud
La nuova versione di Microsoft Active Directory Federation Services promette di aumentare notevolmente i livelli di sicurezza della Cloud.
Jeffrey Schwartz
La nuova versione di Microsoft Active Directory Federation Services (AD FS) 2.0 promette di semplificare l'autenticazione protetta su più sistemi, nonché per il portfolio di prodotti Microsoft basati su cloud. Inoltre, si prevede che l'interoperabilità ampliata di AD FS 2.0 possa offrire lo stesso livello di autenticazioni protette attualmente offerto da altri fornitori di servizi cloud che già supportano protocolli standard, quali Amazon.com Inc., Google Inc. e Salesforce.com Inc.
AD FS 2.0, in precedenza noto come "Geneva Server", è stato rilasciato a maggio. Rappresenta la tanto attesa estensione di Microsoft Active Directory che offre la gestione delle identità federate per l'interoperabilità basata sulle attestazioni. Con l'integrazione di AD FS 2.0 in una distribuzione Active Directory esistente, le divisioni IT possono consentire ai propri utenti di accedere una sola volta ad Active Directory e utilizzare le stesse credenziali per accedere in un altro sistema o applicazione in grado di riconoscere le attestazioni.
"Il concetto di fondo è che ottimizziamo la modalità di accesso e la modalità di funzionamento di procedure come il Single Sign-On a livello dell'infrastruttura locale e nella cloud", afferma John "J.G." Chirapurath, senior director di Microsoft Identity and Security Business Group.
A differenza della prima versione, AD FS 2.0 supporta lo standard Security Assertion Markup Language (SAML) 2.0 implementato su vasta scala. Molti servizi cloud di terze parti utilizzano l'autenticazione basata su SAML 2.0, componente fondamentale per fornire l'interoperabilità con altre applicazioni e servizi cloud.
"Riteniamo che la federazione e l'autenticazione e autorizzazione basate su attestazioni come componenti critici per la riuscita e l'adozione di servizi basati su cloud", afferma Kevin von Keyserling, presidente e CEO di Independence, Ohio-based Certified Security Solutions Inc. (CSS), azienda specializzata nell'integrazione di sistemi e Microsoft Gold Certified Partner.
Benché AD FS 2.0 non sia necessariamente in grado di risolvere tutte le problematiche di sicurezza associate trasferimento dei sistemi tradizionali e dei dati nella cloud, consente senza dubbio di rimuovere un ostacolo principale, specialmente per le applicazioni come SharePoint e certamente per una vasta gamma di applicazioni. Molte aziende hanno espresso riluttanza a utilizzare servizi cloud, quali Windows Azure, a causa delle problematiche di protezione e della mancanza di controllo sull'autenticazione.
"I problemi di sicurezza, in particolar modo per quanto riguarda le identità e la gestione delle stesse, rappresentano probabilmente i principali deterrenti per raggiungere la perfezione del Cloud Computing", afferma Chirapurath. "Come la posta elettronica ha portato a un utilizzo eccezionale di Active Directory, Active Directory Federation Services avrà lo stesso effetto sull'utilizzo della cloud".
Poiché AD FS 2.0 può essere facilmente integrato in applicazioni in esecuzione in Windows Azure, le aziende possono utilizzare token digitali basati su attestazioni o strumenti di selezione di identità che funzioneranno sia con Windows Server 2008 che con i servizi Microsoft basati su cloud e consentiranno, pertanto, la creazione di reti cloud ibride. L'obiettivo del prodotto è consentire all'utente di eseguire senza problemi l'autenticazione in Windows Server o Windows Azure e di condividere tali credenziali con applicazioni in grado di accettare un token basato su SAML 2.0.
Gli sviluppatori possono inoltre rendere le proprie applicazioni .NET capaci di riconoscere le identità grazie a Microsoft Windows Identity Foundation (WIF).
WIF fornisce l'infrastruttura di base del modello di identità basato su attestazioni di Microsoft. Implementate in Microsoft .NET Framework, le applicazioni sviluppate con WIF presentano uno schema di autenticazione, quali attributi di identificazione, ruoli, gruppi e criteri insieme a un sistema per la gestione di tali attestazioni. Anche le applicazioni create da sviluppatori aziendali e fornitori di software indipendenti (ISV) basate su WIF potranno accettare tali attestazioni.
L'autenticazione pass-through federata in AD FS 2.0 è abilitata grazie all'accettazione di token basati sugli standard Web Services Federation (WSFED), WS-Trust e SAML. Benché Microsoft abbia a lungo promosso lo standard WSFED, 18 mesi ha optato per il supporto dello standard SAML adottato su più vasta scala.
Il prodotto in banca
Danny Kim, CTO dell'azienda Microsoft Gold Certified Partner FullArmor Corp. con sede a Boston, il quale ha sottoposto AD FS 2.0 a test sotto stress, afferma di avere già importanti clienti che desiderano utilizzarlo per distribuire sistemi nella cloud.
"AD FS 2.0 provvede al collegamento delle identità tra il nostro ambiente server e i nostri servizi basati su cloud e abbiamo una versione che funziona in tutti questi ambienti", afferma Kim.
Un'importante istituto di credito finanziario di New York è tra i candidati che desiderano implementare immediatamente il prodotto per consentire agli utenti di eseguire l'autenticazione nelle applicazioni ospitate nei sistemi basati su FullArmor Windows Azure, secondo Kim.
"Si tratta di un'azienda attenta alla sicurezza la quale non distribuire i servizi nella cloud se non le verrà garantito un livello altissimo di sicurezza", afferma Kim. Kim aggiunge che, contemporaneamente, l'istituto bancario desidera in definitiva interrompere l'acquisto e la gestione di server non appena le condizioni non saranno mature per il passaggio alla cloud dal punto di vista della sicurezza. AD FS 2.0 associa il token dell'utente ad Active Directory che viene trasferito attraverso altri sistemi compatibili con AD FS 2.0, spiega Kim.
È altrettanto importante, secondo fonti ufficiali, il fatto che adesso Microsoft è in grado di passare tali attestazioni a qualsiasi sistema basato su SAML. Microsoft ha completato test di interoperabilità in collaborazione con altri fornitori tramite la Liberty Alliance, l'organizzazione di gestione degli standard responsabile della supervisione delle specifiche per la gestione delle identità.
"In collaborazione con altri fornitori, abbiamo eseguito test dell'implementazione del protocollo SAML il quale si è rivelato compatibile in una vasta gamma di scenari", ha affermato Matt Steele, Senior Program Manager del team AD FS in Microsoft, durante una dichiarazione in un video trasmesso su Microsoft Channel 9 dopo il rilascio della versione finale candidata di AD FS. "Ciò significa che possiamo pubblicizzare, come abbiamo sempre desiderato, che AD FS 2.0 implementa il protocollo SAML e che garantisce l'interoperabilità in tutti questi scenari di test".
Le effettive implementazioni saranno all'altezza dei test?
Ancora oggi alcuni ritengono che le promesse di Microsoft siano eccessive. Ad esempio, rimane ancora da provare il livello di compatibilità dei token SAML con quelli forniti dalle piattaforme di altri fornitori, afferma Patrick Harding, CTO di Ping Identity Corp., azienda che fornisce un proprio server Single Sign-On proprietario che funziona su più piattaforme.
"Utilizziamo il protocollo SAML da quattro anni", afferma Harding, la cui azienda è sia un concorrente che un partner Microsoft. "Sappiamo bene che il protocollo SAML testato in laboratorio e il protocollo SAML nel mondo reale possono essere molto diversi, specialmente quando si ha a che fare con un gran numero di fornitori SaaS [Software as a Service] che scelgono di creare le proprie implementazioni SAML e questo crea non poche varianti sul tema".
Harding si chiede inoltre con che rapidità la community di sviluppo .NET adotterà la piattaforma WIF. "Benché sia un'idea valida, Microsoft Windows Identity Foundation (WIF) comporta agli sviluppatori la necessità di apprendere da zero un paradigma completamente nuovo e una nuova infrastruttura di sviluppo per comprendere come integrare le proprie applicazioni in AD FS", afferma Harding.
Kim, tuttavia, non è d'accordo. "Per gli sviluppatori che hanno familiarità con l'ambiente .NET, non credo che il prodotto comporterà una curva di apprendimento particolarmente lunga", sostiene Kim.
Quest sviluppa strumenti di sviluppo semplici anche per ridurre la seppur limitata curva di apprendimento. Come ulteriore vantaggio, afferma Sotnikov, "Alcuni strumenti e piattaforme cloud non consentono realmente di riutilizzare il codice C++ e C# esistente, ma questa soluzione è riuscita a sfruttare fino al 50% del codice esistente".
A parte tali problematiche, Harding riconosce che il rilascio di AD FS 2.0 spianerà probabilmente la strada a nuove iniziative di Cloud Computing. "AD FS 2.0 rappresenta senz'altro un traguardo importante in quanto convalida l'importanza della gestione delle identità federate; diventerà uno strumento indispensabile per il Cloud Computing e il SaaS Computing", afferma. "Tutte le aziende evolveranno grazie a Microsoft e in questo modo gli utenti si renderanno conto che la federazione è uno strumento reale".
Il futuro non è di CardSpace
Proprio alcuni giorni prima del rilascio di AD FS 2.0, Microsoft ha sospeso il rilascio della versione successiva del proprio strumento di selezione delle identità CardSpace per le schede informazioni, denominato CardSpace 2.0, il cui scopo iniziale era fornire un'interfaccia grafica comune per la gestione di più accessi. CardSpace 2.0, rimasto in versione beta dall'anno scorso, funziona con AD FS 2.0 e include WIF. Per fornire supporto ai tester della versione beta di CardSpace 2.0, si prevede che Microsoft ha rilasciato recentemente una versione CTP (Community Technology Preview) di un componente aggiuntivo di AD FS 2.0 che consentirà a un sistema Windows Server di emettere schede informazioni.
"Esistono varie problematiche per quanto riguarda l'ambito delle schede informazioni, specialmente se consideriamo le tecnologie di crittografia come U-Prove che abbiamo presentato in occasione della conferenza RSA", afferma Joel Sider, Senior Product Manager nel gruppo di sicurezza Forefront presso Microsoft. "Esistono anche nuovi standard come OpenID e desideriamo considerare anche alcune nuove tendenze".
È opportuno quindi chiedersi: CardSpace 2.0 vedrà mai la luce? "Il supporto per la tecnologia delle schede informazioni è senza dubbio vivo; il nostro impegno nello sviluppo delle schede informazioni è attivo e presente", afferma Sider. Microsoft non ha confermato quando aggiornerà i propri piani di sviluppo di CardSpace 2.0, ma alcuni si chiedono se la tecnologia avrà un futuro.
Il destino incerto di CardSpace 2.0 "non è una sorpresa a fronte di un livello di adozione così limitato" secondo Harding. "Sfortunatamente, il problema ha già sconvolto i piani di tutti quegli utenti e quelle aziende che hanno adottato il modello InfoCard dietro esortazione di Microsoft".
Tuttavia, il cambiamento dei piani è diventato alquanto inevitabile nei primi di marzo di quest'anno quando Scott Charney, Microsoft Corporate Vice President di Trustworthy Computing, ha lanciato la versione CTP della tecnologia U-Prove dell'azienda in occasione della conferenza RSA annuale che si è tenuta a San Francisco. Il prodotto U-Prove si basa sull'emissione di token digitali che consentono agli utenti di controllare la quantità di informazioni condivise con il destinatario dei token.
Utilizzato in associazione ad AD FS 2.0, U-Prove consente agli utenti di federare le identità tra domini attendibili. Microsoft ha rilasciato U-Prove nell'ambito dell'iniziativa Open Specification Promise (OSP) e ha inoltre donato due toolkit di riferimento per l'implementazione degli algoritmi nell'ambito della licenza FreeBSD. Inoltre, Microsoft ha rilasciato una seconda specifica nell'ambito dell'iniziativa OSP per l'integrazione della tecnologia U-Prove in strumenti di selezione dell'identità Open Source. In che modo tutto ciò contribuirà a far sì che le community .NET e Open Source decideranno di adottare la tecnologia U-Prove, rimane ancora tutto da confermare.
Transizione alla cloud
Diversi professionisti IT ed esperti di sicurezza sono ottimisti riguardo AD FS 2.0. Von Keyserling di CSS è uno di coloro che sostengono che AD FS 2.0 svolgerà un ruolo determinante nel fornire una migliore sicurezza della cloud.
"Abbiamo collaborato con aziende multinazionali molto grandi e le abbiamo aiutate a creare modelli di federazione che semplificano la transizione a un ambiente di Cloud Computing", afferma Von Keyserling. "Il prodotto estende la capacità di gestire le identità tra aziende che rappresentano identità separate".
Ad esempio, secondo Von Keyserling, se CSS e un client desiderassero collaborare su un sistema ospitato in locale, tramite un pool di server condivisi o nella cloud, le due organizzazioni potrebbero effettivamente federare i propri servizi in modo integrato, semplificano per entrambi la gestione delle identità dei rispettivi dipendenti.
"Utilizzando l'infrastruttura esistente di gestione delle identità e applicandola nella cloud, ospitata da Microsoft o fornita tramite un sistema SharePoint in hosting, certamente l'identità è alla base delle problematiche di sicurezza e senz'altro rappresenta un fattore fondamentale per la protezione complessiva della cloud", aggiunge.
Chirapurath afferma che rappresenta un problema fondamentale per Microsoft. "Quando pensiamo al concetto di identità, ci rendiamo conto che rappresenta realmente la chiave di accesso a un'infrastruttura in quanto include le informazioni sull'utente nel suo complesso", afferma. "La maggior parte delle volte le problematiche nell'adozione del Cloud Computing rientrano nell'ambito della gestione delle identità. Ciò che AD FS consente di fare è condividere le identità locali con la cloud, tra cui Windows Azure o qualsiasi altro tipo di cloud che supporti lo standard SAML o gli standard WS. Sarà possibile pertanto sfruttare gli investimenti esistenti in soluzioni Active Directory locali e rendere compatibili tali identità nell'ambito di servizi di Cloud Computing".
Implementazione di AD FS 2.0
Microsoft sostiene che AD FS 2.0 possa essere implementato su una soluzione Active Directory senza la necessità di estendere gli schemi, ma deve essere installato in Windows Server 2008 o 2008 R2.
Microsoft si augura che i negozi online di Windows adotteranno la nuova piattaforma Forefront Identity Manager (FIM) 2010 rilasciata a Marzo. FIM è un repository che gestisce le identità, i diritti di accesso e le credenziali, nonché i criteri associati. Consente inoltre ai responsabili IT di gestire le identità tramite una console di gestione basata su SharePoint.
Esistono diversi problemi associati alla sicurezza della Cloud che potrebbero rappresentare degli ostacoli alla distribuzione di applicazioni nella cloud. La conformità, l'integrità dei dati e la comprensione delle implicazioni del concetto di multi-tenancy sono solo alcuni dei problemi.
Nell'ambito della gestione delle identità, tuttavia, Microsoft e altre aziende si sono impegnate notevolmente a potenziare l'infrastruttura per la trasmissione di identità comuni, ma molto lavoro rimane ancora da fare lato client. Ciononostante, con AD FS 2.0, le aziende che intendono utilizzare i servizi cloud possono trarre vantaggio dall'installazione dell'aggiornamento gratuito a Windows Server.
"L'utente finale avrà la stessa esperienza nella cloud come se si trovasse nella propria rete locale; questo è uno dei vantaggi per le grandi aziende che intendono adottare Active Directory Federation Services ed estenderlo", afferma Von Keyserling. "Fornisce i servizi cloud senza interruzioni per il ripristino di password e la gestione di credenziali e consente alle aziende di concentrarsi sull'attuazione della propria strategia aziendale nell'ambito di attività di gestione quotidiane delle problematiche di sicurezza".
.jpg)
Jeffrey Schwartz (jschwartz@1105media.com) è redattore generale di Redmond magazine.
Intestazione laterale: identificatori principali
- Active Directory Federation Services (AD FS) 2.0: Estensione di Active Directory che promette una gestione delle identità federate basata sulle attestazioni senza problemi tramite
- Windows Server, Windows Azure e altri servizi e applicazioni cloud.
- SAML 2.0: lo standard XML supportato su larga scala per lo scambio di informazioni sull'identità tra domini di sicurezza è adesso incluso in AD FS 2.0.
- WSFED: WS-Federation rappresenta la specifica principale su cui si basava originariamente AD FS. Quando SAML è diventato lo standard de facto, Microsoft ha aggiunto il supporto per la specifica nella nuova versione.
- Windows Identity Foundation (WIF): WIF fornisce l'infrastruttura di base del modello di identità basato su attestazioni di Microsoft. Implementate in .NET Framework, le applicazioni presentano uno schema di autenticazione, quali attributi di identificazione, ruoli, gruppi e criteri nonché un sistema per la gestione di tali attestazioni. Le applicazioni basate su WIF create da sviluppatori aziendali e fornitori di software indipendenti (ISV) potranno accettare tali attestazioni.
- CardSpace v1: componente di Microsoft .NET Framework che fornisce gli strumenti di selezione dell'identità nativi in Windows 7 e Windows Vista.
- U-Prove: Si basa sull'emissione di token digitali che consentono agli utenti di controllare la quantità di informazioni condivise con il destinatario dei token. Utilizzato in associazione ad AD FS 2.0, U-Prove consente agli utenti di federare le identità tra domini attendibili. A Marzo ne è stata rilasciata una CTP (Community Technology Preview).
- OpenID: lo standard de facto per fornire un identificatore, supportato da Microsoft, Google Inc., Yahoo! Inc., VeriSign Inc. e una vasta gamma di importanti siti di blog e Social Networking.
—J.S.