SlideShare ist ein Scribd-Unternehmen logo
Drive your life.




Active Directory Federation Services

                 Matthias Gessenay
                 Matthias.gessenay@corporatesoftware.ch
Agenda
n    Das Problem
n    ADFS: Die Lösung
n    Technischer Aufbau
n    Demo
n    Anwendungsbereiche




                           2
DAS PROBLEM


              3
No Trust
n    Trusts sind relativ ungranular
n    Trusts sind Server- und nicht Servicebasiert
n    Trusts brauchen Poooorts
n    Trusts und Webservices sind nicht so smart




                                                     4
Geneva Framework

ACTIVE DIRECTORY
FEDERATION SERVICES 2.0
                          5
ADFS
n  Gibt es seit Server 2003
n  Hat mit dem Update auf 2.0 (2.1 in Server 2012) ein grosses Update
    erfahren
n  Modelliert im Prinzip eine beliebige Datenbasis als Authentication
    Provider
n  Stellt dies als Webservice bereit
n  Wir kennen es alle:
    o  Windows Live ID
    o  Facebook
    o  Usw.




                                                                         6
ADFS – für den User die Claims-Based Identity
n  Analogie: Fliegen (mit Flugzeug)
    o  Check-In ist die Authentifizierung
       n  Credentials werden gezeigt (Pass)
       n  Und validiert
   o  Wir erhalten eine Bordkarte (Signed Claim)
       n  Sitz usw.
       n  Kodiert




                                                    7
n  2 Begriffe
    o  Identität
       n  Attributset, das einen User beschreibt
   o  Claim
       n  Eine Authorität die sagt, sie kennt das Attribut und den Wert
n  Beispiel: Alter
    o  Facebook sagt ich bin 25
    o  Das zentrale Melderegister sagt, ich bin 35
n  Trust heisst, wem ich glaube
n  Daher ist eine Identität ein Set von Claims




                                                                           8
Mehr als Federation
n    Früher war die Federation zwischen zwei Organisationen der Treiber
n    Heute hat sich gezeigt: Es ist viel nützlicher
n    Live ID, Facebook-ID J
n    Bring your own Identity




                                                                           9
STS – Security Token Service
n  Ist ein Webservice, der Security Tokens ausstellt, die die Claims
    befördern (die die Identität beschreiben)




                                                                        10
RP-STS: Relying Party
n  Ist eine Applikation, die Claims braucht
    o  “Claims aware application”




                                               11
Sign in, so läuft es




                       12
Externe Domäne
n    Mapping läuft auf Gruppen
n    Ich habe keine Kontrolle mehr über die Nutzer
n    Wichtiger: Ich kann die Userbase nicht mehr durchsuchen
n    Ich kann die RPs gut kontrollieren
n    Div. Verbindungen sind möglich




                                                                13
Frisch von der TechEd: Kerberos Changes in
Windows Server 2012
n  There are a number of other changes to Kerberos to enhance day to day
    operations
    o  Increase to the maximum Kerberos SSPI context buffer size
    o  PAC (Privilege account certificate) group compression
    o  Warning events for large token sizes
    o  Increased logging
n  Hot topics for me are claims support and delegation
Adding Claims to the Kerberos Token


                                                     Compound ID

                                                  PAC contains a user’s
                                         Groups
                                                    group and claims
                                User                   information
                                         Claims             +
                                                   Device information
                       PAC               Groups
                                Device
                                         Claims
User’s group memberships
added to PAC                   Authorization based on group
Authorization based on group   membership, user and device
membership                     claims
TECHNISCHER HINTERGRUND


                          16
SAML
n  Security Assertion Markup Language (2.0)
n  Kann semantisch uneingeschränkte Angaben über einen Benutzer
    enthalten
n  Microsoft hat es standardkonform implementiert




                                                                   17
Der Identity Transformer
n    ADFS sind auch ein Identity Transformer
n    Claims prinzipiell “übersetzbar” in X.509 und Kerberos
n    1. Frage: Stammt Claim aus vertrauenswürdiger Source
n    2. Frage: Passt das Format
n    3. Frage: Übersetzung in das Anwendungsformat

n  Output wäre als Kerberos, aber auch als X.509 denkbar.
n  Mit Regeln kann ich Übersetzungen bauen
    o  Manager sind bei mir Supervisor




                                                               18
BUSINESS VALUE


                 19
Das ist die Zukunft!
n  Man kann die Bedeutung von ADFS kaum überschätzen
n  Wenn ich nur den Claim Farbe brauche, fordere ich auch nur den an:
    Attribut-Diät
n  Servicegedanke statt Servergedanke
n  Heute gibt es viele Identitäten, Konvertierbarkeit ist wichtig
n  ADFS ist das ADDS von morgen
n  Standardkonform




                                                                     20
DEMO


       21
FRAGEN?


          22

Weitere ähnliche Inhalte

Ähnlich wie Active Directory Federation Services

Splunk corporate overview German 2012
Splunk corporate overview German 2012Splunk corporate overview German 2012
Splunk corporate overview German 2012jenny_splunk
 
Alle reden über Microservices - Wie haben wir es bei LeanIX gemacht @ EA Conn...
Alle reden über Microservices - Wie haben wir es bei LeanIX gemacht @ EA Conn...Alle reden über Microservices - Wie haben wir es bei LeanIX gemacht @ EA Conn...
Alle reden über Microservices - Wie haben wir es bei LeanIX gemacht @ EA Conn...
LeanIX GmbH
 
Bestmögliche Absicherung für Ihre Remote-Mitarbeiter
Bestmögliche Absicherung für Ihre Remote-MitarbeiterBestmögliche Absicherung für Ihre Remote-Mitarbeiter
Bestmögliche Absicherung für Ihre Remote-Mitarbeiter
Precisely
 
SharePoint 2013 Security
SharePoint 2013 SecuritySharePoint 2013 Security
SharePoint 2013 Securityfabianmoritz
 
Anleitung zur Erstellung und Veröffentlichung eines iPad Magazins mit der Dig...
Anleitung zur Erstellung und Veröffentlichung eines iPad Magazins mit der Dig...Anleitung zur Erstellung und Veröffentlichung eines iPad Magazins mit der Dig...
Anleitung zur Erstellung und Veröffentlichung eines iPad Magazins mit der Dig...
Sven Brencher
 
NDGIT - Die Chancen von PSD2 und Open Banking
NDGIT - Die Chancen von PSD2 und Open BankingNDGIT - Die Chancen von PSD2 und Open Banking
NDGIT - Die Chancen von PSD2 und Open Banking
Oliver Dlugosch
 
Slides zum Impulsreferat: HCL UDP - DNUG Stammtisch Salzburg
Slides zum Impulsreferat: HCL UDP - DNUG Stammtisch SalzburgSlides zum Impulsreferat: HCL UDP - DNUG Stammtisch Salzburg
Slides zum Impulsreferat: HCL UDP - DNUG Stammtisch Salzburg
DNUG e.V.
 
SharePoint Claims und FBA
SharePoint Claims und FBASharePoint Claims und FBA
SharePoint Claims und FBA
Thomas Stensitzki
 
From Zero to still Zero: Die schönsten Fehler auf dem Weg in die Cloud
From Zero to still Zero: Die schönsten Fehler auf dem Weg in die CloudFrom Zero to still Zero: Die schönsten Fehler auf dem Weg in die Cloud
From Zero to still Zero: Die schönsten Fehler auf dem Weg in die Cloud
OPEN KNOWLEDGE GmbH
 
Cloud Computing - Hype oder Chance?
Cloud Computing - Hype oder Chance?Cloud Computing - Hype oder Chance?
Cloud Computing - Hype oder Chance?
Philipp Strube
 
Mit Domain-driven Design (DDD) nützliche und flexible Software bauen
Mit Domain-driven Design (DDD) nützliche und flexible Software bauenMit Domain-driven Design (DDD) nützliche und flexible Software bauen
Mit Domain-driven Design (DDD) nützliche und flexible Software bauen
Digicomp Academy AG
 
Windows 7 - Preview & Roadmap
Windows 7 - Preview & RoadmapWindows 7 - Preview & Roadmap
Windows 7 - Preview & Roadmap
Georg Binder
 
Steinzeit war gestern! Wege der Cloud-nativen Evolution.
Steinzeit war gestern! Wege der Cloud-nativen Evolution.Steinzeit war gestern! Wege der Cloud-nativen Evolution.
Steinzeit war gestern! Wege der Cloud-nativen Evolution.
QAware GmbH
 
Rails goes SOA
Rails goes SOARails goes SOA
Rails goes SOA
Dirk Breuer
 
Database migration
Database migrationDatabase migration
Database migration
OPITZ CONSULTING Deutschland
 
SOA im Kontext anderer IT-Trends
SOA im Kontext anderer IT-TrendsSOA im Kontext anderer IT-Trends
SOA im Kontext anderer IT-Trends
Martina Goehring
 
Innovationen aus der Cloud ganz einfach nutzen
Innovationen aus der Cloud ganz einfach nutzenInnovationen aus der Cloud ganz einfach nutzen
Innovationen aus der Cloud ganz einfach nutzen
Amazon Web Services
 
Marc Kroll (SERgroup Holding International GmbH)
Marc Kroll (SERgroup Holding International GmbH)Marc Kroll (SERgroup Holding International GmbH)
Marc Kroll (SERgroup Holding International GmbH)
Praxistage
 
iOS Network Extensions
iOS Network ExtensionsiOS Network Extensions
iOS Network Extensions
Mark Zimmermann
 
DOAG 2014 - Enterprise User Security Von der Business Rolle bis in die Datenbank
DOAG 2014 - Enterprise User Security Von der Business Rolle bis in die DatenbankDOAG 2014 - Enterprise User Security Von der Business Rolle bis in die Datenbank
DOAG 2014 - Enterprise User Security Von der Business Rolle bis in die Datenbank
Marcel Pils
 

Ähnlich wie Active Directory Federation Services (20)

Splunk corporate overview German 2012
Splunk corporate overview German 2012Splunk corporate overview German 2012
Splunk corporate overview German 2012
 
Alle reden über Microservices - Wie haben wir es bei LeanIX gemacht @ EA Conn...
Alle reden über Microservices - Wie haben wir es bei LeanIX gemacht @ EA Conn...Alle reden über Microservices - Wie haben wir es bei LeanIX gemacht @ EA Conn...
Alle reden über Microservices - Wie haben wir es bei LeanIX gemacht @ EA Conn...
 
Bestmögliche Absicherung für Ihre Remote-Mitarbeiter
Bestmögliche Absicherung für Ihre Remote-MitarbeiterBestmögliche Absicherung für Ihre Remote-Mitarbeiter
Bestmögliche Absicherung für Ihre Remote-Mitarbeiter
 
SharePoint 2013 Security
SharePoint 2013 SecuritySharePoint 2013 Security
SharePoint 2013 Security
 
Anleitung zur Erstellung und Veröffentlichung eines iPad Magazins mit der Dig...
Anleitung zur Erstellung und Veröffentlichung eines iPad Magazins mit der Dig...Anleitung zur Erstellung und Veröffentlichung eines iPad Magazins mit der Dig...
Anleitung zur Erstellung und Veröffentlichung eines iPad Magazins mit der Dig...
 
NDGIT - Die Chancen von PSD2 und Open Banking
NDGIT - Die Chancen von PSD2 und Open BankingNDGIT - Die Chancen von PSD2 und Open Banking
NDGIT - Die Chancen von PSD2 und Open Banking
 
Slides zum Impulsreferat: HCL UDP - DNUG Stammtisch Salzburg
Slides zum Impulsreferat: HCL UDP - DNUG Stammtisch SalzburgSlides zum Impulsreferat: HCL UDP - DNUG Stammtisch Salzburg
Slides zum Impulsreferat: HCL UDP - DNUG Stammtisch Salzburg
 
SharePoint Claims und FBA
SharePoint Claims und FBASharePoint Claims und FBA
SharePoint Claims und FBA
 
From Zero to still Zero: Die schönsten Fehler auf dem Weg in die Cloud
From Zero to still Zero: Die schönsten Fehler auf dem Weg in die CloudFrom Zero to still Zero: Die schönsten Fehler auf dem Weg in die Cloud
From Zero to still Zero: Die schönsten Fehler auf dem Weg in die Cloud
 
Cloud Computing - Hype oder Chance?
Cloud Computing - Hype oder Chance?Cloud Computing - Hype oder Chance?
Cloud Computing - Hype oder Chance?
 
Mit Domain-driven Design (DDD) nützliche und flexible Software bauen
Mit Domain-driven Design (DDD) nützliche und flexible Software bauenMit Domain-driven Design (DDD) nützliche und flexible Software bauen
Mit Domain-driven Design (DDD) nützliche und flexible Software bauen
 
Windows 7 - Preview & Roadmap
Windows 7 - Preview & RoadmapWindows 7 - Preview & Roadmap
Windows 7 - Preview & Roadmap
 
Steinzeit war gestern! Wege der Cloud-nativen Evolution.
Steinzeit war gestern! Wege der Cloud-nativen Evolution.Steinzeit war gestern! Wege der Cloud-nativen Evolution.
Steinzeit war gestern! Wege der Cloud-nativen Evolution.
 
Rails goes SOA
Rails goes SOARails goes SOA
Rails goes SOA
 
Database migration
Database migrationDatabase migration
Database migration
 
SOA im Kontext anderer IT-Trends
SOA im Kontext anderer IT-TrendsSOA im Kontext anderer IT-Trends
SOA im Kontext anderer IT-Trends
 
Innovationen aus der Cloud ganz einfach nutzen
Innovationen aus der Cloud ganz einfach nutzenInnovationen aus der Cloud ganz einfach nutzen
Innovationen aus der Cloud ganz einfach nutzen
 
Marc Kroll (SERgroup Holding International GmbH)
Marc Kroll (SERgroup Holding International GmbH)Marc Kroll (SERgroup Holding International GmbH)
Marc Kroll (SERgroup Holding International GmbH)
 
iOS Network Extensions
iOS Network ExtensionsiOS Network Extensions
iOS Network Extensions
 
DOAG 2014 - Enterprise User Security Von der Business Rolle bis in die Datenbank
DOAG 2014 - Enterprise User Security Von der Business Rolle bis in die DatenbankDOAG 2014 - Enterprise User Security Von der Business Rolle bis in die Datenbank
DOAG 2014 - Enterprise User Security Von der Business Rolle bis in die Datenbank
 

Mehr von Digicomp Academy AG

Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019
Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019
Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019
Digicomp Academy AG
 
Swiss IPv6 Council – Case Study - Deployment von IPv6 in einer Container Plat...
Swiss IPv6 Council – Case Study - Deployment von IPv6 in einer Container Plat...Swiss IPv6 Council – Case Study - Deployment von IPv6 in einer Container Plat...
Swiss IPv6 Council – Case Study - Deployment von IPv6 in einer Container Plat...
Digicomp Academy AG
 
Innovation durch kollaboration gennex 2018
Innovation durch kollaboration gennex 2018Innovation durch kollaboration gennex 2018
Innovation durch kollaboration gennex 2018
Digicomp Academy AG
 
Roger basler meetup_digitale-geschaeftsmodelle-entwickeln_handout
Roger basler meetup_digitale-geschaeftsmodelle-entwickeln_handoutRoger basler meetup_digitale-geschaeftsmodelle-entwickeln_handout
Roger basler meetup_digitale-geschaeftsmodelle-entwickeln_handout
Digicomp Academy AG
 
Roger basler meetup_21082018_work-smarter-not-harder_handout
Roger basler meetup_21082018_work-smarter-not-harder_handoutRoger basler meetup_21082018_work-smarter-not-harder_handout
Roger basler meetup_21082018_work-smarter-not-harder_handout
Digicomp Academy AG
 
Xing expertendialog zu nudge unit x
Xing expertendialog zu nudge unit xXing expertendialog zu nudge unit x
Xing expertendialog zu nudge unit x
Digicomp Academy AG
 
Responsive Organisation auf Basis der Holacracy – nur ein Hype oder die Zukunft?
Responsive Organisation auf Basis der Holacracy – nur ein Hype oder die Zukunft?Responsive Organisation auf Basis der Holacracy – nur ein Hype oder die Zukunft?
Responsive Organisation auf Basis der Holacracy – nur ein Hype oder die Zukunft?
Digicomp Academy AG
 
IPv6 Security Talk mit Joe Klein
IPv6 Security Talk mit Joe KleinIPv6 Security Talk mit Joe Klein
IPv6 Security Talk mit Joe Klein
Digicomp Academy AG
 
Agiles Management - Wie geht das?
Agiles Management - Wie geht das?Agiles Management - Wie geht das?
Agiles Management - Wie geht das?
Digicomp Academy AG
 
Gewinnen Sie Menschen und Ziele - Referat von Andi Odermatt
Gewinnen Sie Menschen und Ziele - Referat von Andi OdermattGewinnen Sie Menschen und Ziele - Referat von Andi Odermatt
Gewinnen Sie Menschen und Ziele - Referat von Andi Odermatt
Digicomp Academy AG
 
Querdenken mit Kreativitätsmethoden – XING Expertendialog
Querdenken mit Kreativitätsmethoden – XING ExpertendialogQuerdenken mit Kreativitätsmethoden – XING Expertendialog
Querdenken mit Kreativitätsmethoden – XING Expertendialog
Digicomp Academy AG
 
Xing LearningZ: Digitale Geschäftsmodelle entwickeln
Xing LearningZ: Digitale Geschäftsmodelle entwickelnXing LearningZ: Digitale Geschäftsmodelle entwickeln
Xing LearningZ: Digitale Geschäftsmodelle entwickeln
Digicomp Academy AG
 
Swiss IPv6 Council: The Cisco-Journey to an IPv6-only Building
Swiss IPv6 Council: The Cisco-Journey to an IPv6-only BuildingSwiss IPv6 Council: The Cisco-Journey to an IPv6-only Building
Swiss IPv6 Council: The Cisco-Journey to an IPv6-only Building
Digicomp Academy AG
 
UX – Schlüssel zum Erfolg im Digital Business
UX – Schlüssel zum Erfolg im Digital BusinessUX – Schlüssel zum Erfolg im Digital Business
UX – Schlüssel zum Erfolg im Digital Business
Digicomp Academy AG
 
Minenfeld IPv6
Minenfeld IPv6Minenfeld IPv6
Minenfeld IPv6
Digicomp Academy AG
 
Was ist design thinking
Was ist design thinkingWas ist design thinking
Was ist design thinking
Digicomp Academy AG
 
Die IPv6 Journey der ETH Zürich
Die IPv6 Journey der ETH Zürich Die IPv6 Journey der ETH Zürich
Die IPv6 Journey der ETH Zürich
Digicomp Academy AG
 
Xing LearningZ: Die 10 + 1 Trends im (E-)Commerce
Xing LearningZ: Die 10 + 1 Trends im (E-)CommerceXing LearningZ: Die 10 + 1 Trends im (E-)Commerce
Xing LearningZ: Die 10 + 1 Trends im (E-)Commerce
Digicomp Academy AG
 
Zahlen Battle: klassische werbung vs.online-werbung-somexcloud
Zahlen Battle: klassische werbung vs.online-werbung-somexcloudZahlen Battle: klassische werbung vs.online-werbung-somexcloud
Zahlen Battle: klassische werbung vs.online-werbung-somexcloud
Digicomp Academy AG
 
General data protection regulation-slides
General data protection regulation-slidesGeneral data protection regulation-slides
General data protection regulation-slides
Digicomp Academy AG
 

Mehr von Digicomp Academy AG (20)

Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019
Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019
Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019
 
Swiss IPv6 Council – Case Study - Deployment von IPv6 in einer Container Plat...
Swiss IPv6 Council – Case Study - Deployment von IPv6 in einer Container Plat...Swiss IPv6 Council – Case Study - Deployment von IPv6 in einer Container Plat...
Swiss IPv6 Council – Case Study - Deployment von IPv6 in einer Container Plat...
 
Innovation durch kollaboration gennex 2018
Innovation durch kollaboration gennex 2018Innovation durch kollaboration gennex 2018
Innovation durch kollaboration gennex 2018
 
Roger basler meetup_digitale-geschaeftsmodelle-entwickeln_handout
Roger basler meetup_digitale-geschaeftsmodelle-entwickeln_handoutRoger basler meetup_digitale-geschaeftsmodelle-entwickeln_handout
Roger basler meetup_digitale-geschaeftsmodelle-entwickeln_handout
 
Roger basler meetup_21082018_work-smarter-not-harder_handout
Roger basler meetup_21082018_work-smarter-not-harder_handoutRoger basler meetup_21082018_work-smarter-not-harder_handout
Roger basler meetup_21082018_work-smarter-not-harder_handout
 
Xing expertendialog zu nudge unit x
Xing expertendialog zu nudge unit xXing expertendialog zu nudge unit x
Xing expertendialog zu nudge unit x
 
Responsive Organisation auf Basis der Holacracy – nur ein Hype oder die Zukunft?
Responsive Organisation auf Basis der Holacracy – nur ein Hype oder die Zukunft?Responsive Organisation auf Basis der Holacracy – nur ein Hype oder die Zukunft?
Responsive Organisation auf Basis der Holacracy – nur ein Hype oder die Zukunft?
 
IPv6 Security Talk mit Joe Klein
IPv6 Security Talk mit Joe KleinIPv6 Security Talk mit Joe Klein
IPv6 Security Talk mit Joe Klein
 
Agiles Management - Wie geht das?
Agiles Management - Wie geht das?Agiles Management - Wie geht das?
Agiles Management - Wie geht das?
 
Gewinnen Sie Menschen und Ziele - Referat von Andi Odermatt
Gewinnen Sie Menschen und Ziele - Referat von Andi OdermattGewinnen Sie Menschen und Ziele - Referat von Andi Odermatt
Gewinnen Sie Menschen und Ziele - Referat von Andi Odermatt
 
Querdenken mit Kreativitätsmethoden – XING Expertendialog
Querdenken mit Kreativitätsmethoden – XING ExpertendialogQuerdenken mit Kreativitätsmethoden – XING Expertendialog
Querdenken mit Kreativitätsmethoden – XING Expertendialog
 
Xing LearningZ: Digitale Geschäftsmodelle entwickeln
Xing LearningZ: Digitale Geschäftsmodelle entwickelnXing LearningZ: Digitale Geschäftsmodelle entwickeln
Xing LearningZ: Digitale Geschäftsmodelle entwickeln
 
Swiss IPv6 Council: The Cisco-Journey to an IPv6-only Building
Swiss IPv6 Council: The Cisco-Journey to an IPv6-only BuildingSwiss IPv6 Council: The Cisco-Journey to an IPv6-only Building
Swiss IPv6 Council: The Cisco-Journey to an IPv6-only Building
 
UX – Schlüssel zum Erfolg im Digital Business
UX – Schlüssel zum Erfolg im Digital BusinessUX – Schlüssel zum Erfolg im Digital Business
UX – Schlüssel zum Erfolg im Digital Business
 
Minenfeld IPv6
Minenfeld IPv6Minenfeld IPv6
Minenfeld IPv6
 
Was ist design thinking
Was ist design thinkingWas ist design thinking
Was ist design thinking
 
Die IPv6 Journey der ETH Zürich
Die IPv6 Journey der ETH Zürich Die IPv6 Journey der ETH Zürich
Die IPv6 Journey der ETH Zürich
 
Xing LearningZ: Die 10 + 1 Trends im (E-)Commerce
Xing LearningZ: Die 10 + 1 Trends im (E-)CommerceXing LearningZ: Die 10 + 1 Trends im (E-)Commerce
Xing LearningZ: Die 10 + 1 Trends im (E-)Commerce
 
Zahlen Battle: klassische werbung vs.online-werbung-somexcloud
Zahlen Battle: klassische werbung vs.online-werbung-somexcloudZahlen Battle: klassische werbung vs.online-werbung-somexcloud
Zahlen Battle: klassische werbung vs.online-werbung-somexcloud
 
General data protection regulation-slides
General data protection regulation-slidesGeneral data protection regulation-slides
General data protection regulation-slides
 

Active Directory Federation Services

  • 1. Drive your life. Active Directory Federation Services Matthias Gessenay Matthias.gessenay@corporatesoftware.ch
  • 2. Agenda n  Das Problem n  ADFS: Die Lösung n  Technischer Aufbau n  Demo n  Anwendungsbereiche 2
  • 4. No Trust n  Trusts sind relativ ungranular n  Trusts sind Server- und nicht Servicebasiert n  Trusts brauchen Poooorts n  Trusts und Webservices sind nicht so smart 4
  • 6. ADFS n  Gibt es seit Server 2003 n  Hat mit dem Update auf 2.0 (2.1 in Server 2012) ein grosses Update erfahren n  Modelliert im Prinzip eine beliebige Datenbasis als Authentication Provider n  Stellt dies als Webservice bereit n  Wir kennen es alle: o  Windows Live ID o  Facebook o  Usw. 6
  • 7. ADFS – für den User die Claims-Based Identity n  Analogie: Fliegen (mit Flugzeug) o  Check-In ist die Authentifizierung n  Credentials werden gezeigt (Pass) n  Und validiert o  Wir erhalten eine Bordkarte (Signed Claim) n  Sitz usw. n  Kodiert 7
  • 8. n  2 Begriffe o  Identität n  Attributset, das einen User beschreibt o  Claim n  Eine Authorität die sagt, sie kennt das Attribut und den Wert n  Beispiel: Alter o  Facebook sagt ich bin 25 o  Das zentrale Melderegister sagt, ich bin 35 n  Trust heisst, wem ich glaube n  Daher ist eine Identität ein Set von Claims 8
  • 9. Mehr als Federation n  Früher war die Federation zwischen zwei Organisationen der Treiber n  Heute hat sich gezeigt: Es ist viel nützlicher n  Live ID, Facebook-ID J n  Bring your own Identity 9
  • 10. STS – Security Token Service n  Ist ein Webservice, der Security Tokens ausstellt, die die Claims befördern (die die Identität beschreiben) 10
  • 11. RP-STS: Relying Party n  Ist eine Applikation, die Claims braucht o  “Claims aware application” 11
  • 12. Sign in, so läuft es 12
  • 13. Externe Domäne n  Mapping läuft auf Gruppen n  Ich habe keine Kontrolle mehr über die Nutzer n  Wichtiger: Ich kann die Userbase nicht mehr durchsuchen n  Ich kann die RPs gut kontrollieren n  Div. Verbindungen sind möglich 13
  • 14. Frisch von der TechEd: Kerberos Changes in Windows Server 2012 n  There are a number of other changes to Kerberos to enhance day to day operations o  Increase to the maximum Kerberos SSPI context buffer size o  PAC (Privilege account certificate) group compression o  Warning events for large token sizes o  Increased logging n  Hot topics for me are claims support and delegation
  • 15. Adding Claims to the Kerberos Token Compound ID PAC contains a user’s Groups group and claims User information Claims + Device information PAC Groups Device Claims User’s group memberships added to PAC Authorization based on group Authorization based on group membership, user and device membership claims
  • 17. SAML n  Security Assertion Markup Language (2.0) n  Kann semantisch uneingeschränkte Angaben über einen Benutzer enthalten n  Microsoft hat es standardkonform implementiert 17
  • 18. Der Identity Transformer n  ADFS sind auch ein Identity Transformer n  Claims prinzipiell “übersetzbar” in X.509 und Kerberos n  1. Frage: Stammt Claim aus vertrauenswürdiger Source n  2. Frage: Passt das Format n  3. Frage: Übersetzung in das Anwendungsformat n  Output wäre als Kerberos, aber auch als X.509 denkbar. n  Mit Regeln kann ich Übersetzungen bauen o  Manager sind bei mir Supervisor 18
  • 20. Das ist die Zukunft! n  Man kann die Bedeutung von ADFS kaum überschätzen n  Wenn ich nur den Claim Farbe brauche, fordere ich auch nur den an: Attribut-Diät n  Servicegedanke statt Servergedanke n  Heute gibt es viele Identitäten, Konvertierbarkeit ist wichtig n  ADFS ist das ADDS von morgen n  Standardkonform 20
  • 21. DEMO 21
  • 22. FRAGEN? 22