Implémenter de l’authentification forte pour vos environnements Cloud

1,505 views
1,265 views

Published on

Lorsque les entreprises commencent à utiliser des services Cloud, l’authentification des utilisateurs de manière fiable constitue une exigence vitale. Les entreprises doivent ainsi relever des défis liés à l'authentification tels que la gestion des informations d'identification, la force de l'authentification (avec la prise en compte de plusieurs facteurs), etc. et mettre en œuvre des solutions rentables qui réduisent le risque de façon appropriée tout en limitant les coûts de gestion. Cette session sera l'occasion de présenter mais surtout de démontrer différentes approches de prise en charge de l’authentification forte dans ce contexte. Seront en particulier illustrées des solutions qui se dispensent de dispositifs matériels (carte à puce par ex.) et qui s’intègrent avec la technologie Active Directory Federation Services (AD FS ) 2.0.

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
1,505
On SlideShare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
26
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Implémenter de l’authentification forte pour vos environnements Cloud

  1. 1. palais descongrèsParis7, 8 et 9février 2012
  2. 2. Implémenter l’authentification forte pourvos environnements CloudCode Session : SEC2211Florence DUBOIS Didier PERROT Philippe BERAUDDirecteur R&D CEO Jean-Yves GRASSETLogin People in-webo Technologies Consultant Architectehttp://www.loginpeople.com/ http://in-webo.com/ Direction Technique et Sécurité Microsoft France
  3. 3. Objectifs et sommaire de la session Vers une informatique fédérée Rôle central d’AD FS 2.0 pour les clients Active Directory Prise en charge de l’authentification forte pour les identités Approches en termes d’authentification forte  Login People  InWebo
  4. 4. Vers l’informatique fédérée … Fédération d’identité amazon salesforce … web services Google App Engine
  5. 5. Vers l’informatique fédérée L’économie du Cloud crée l’informatique fédérée  Le Cloud est ce que les fournisseurs informatiques vendent…  …Une informatique fédérée est ce que les entreprises mettent en place L’identité joue un rôle central pour la mise en place de cette informatique fédérée
  6. 6. AD FS 2.0 : Service de Fédération Le service de fédération AD FS 2.0  Expérience dauthentification unique (SSO)  Pour les accès internes ou depuis l’extérieur  Vers des applications et services Web fédérés  Internes, externalisés ou dans le Cloud  Service central, disponible et transparent  Idem à Active Directory (AD DS) déployé aujourd’hui dans 90% des entreprises  Interopérable  Fondé sur des standards protocolaires  OASIS SAML-P 2.0, WS-Federation, WS-Trust
  7. 7. AD FS 2.0 : Serveur de Fédération Les fonctions et rôles d’un serveur de fédération(FS) AD FS 2.0  Service de jetons de Sécurité (STS)  Fournisseur de revendications (Claims Provider)  Authentification Windows intégrée (WIA) par défaut  Partie consommatrice (Relying Party)  Passerelle protocolaire de fédération  Ex. : SAML-P 2.0<->WS-Federation  Gestionnaire des relations de confiance de fédération  Automatise et facilite la gestion des relations de confiance basée sur l’échange de métadonnées standardisées
  8. 8. Quid des utilisateurs distants ? Besoin : accès distant au SI fédéré depuis la maison, l’aéroport, un internet café... Solution par Extension du périmètre réseau  Connexion réseau directe via VPN, DirectAccess et RDS (Remote Desktop Services)  Mais exigences significatives en termes d’infrastructure et accès complet aux ressources (open-bar) Solution Reverse-proxy  Reverse-proxy classique  TMG (Microsoft Forefront Threat Management Gateway) ou UAG (Microsoft Forefront Unified Access Gateway) SP1  Proxy de fédération (FS-P) AD FS 2.0  Bénéfice d’un contrôle d’accès en bordure  Intérêt du renforcement de l’authentification pour sécuriser les accès
  9. 9. Authentification avec un FS-P AD FS 2.0 …
  10. 10. Scénarios d’authentification FS-P AD FS 2.0 Accès à une application Web (client passif)  Hébergée en interne et publiée sur l’extranet ou internet  Ex. ASP.NET avec le Framework WIF (Windows Identity Foundation)  Hébergée en réseau périmétrique (DMZ) sur l’extranet ou internet  Hébergée dans le Cloud  Ex. PaaS : application Web dans Windows Azure  Ex. SaaS : SharePoint Online ou Outlook Web App (OWA) 2010 dans Office 365  Hébergée dans une organisation partenaire Clients Word 2010, Excel 2010, PowerPoint 2010 accédant à des ressources SharePoint fédérée  Boîte de dialogue avec la prise en charge des protocoles Web de fédération fondés sur les redirections (WS-Fed, SAML-P) Pas de prise en charge directe des clients actifs (ex. Outlook, Lync)
  11. 11. Authentification forte avec un FS-P AD FS2.0 Collecte et traitement des crédentités 2FA(*)  Fonction de la solution d’authentification à double facteur  4 approches de configuration/mise en œuvre des FS-P AD FS 2.0 1ère approche : Authentification forte native  Authentification par carte à puces/authentifieur USB  Authentification TLS avec certificat client  En « grosse maille », mêmes contraintes et possibilités que le Smart Card Logon  Prise en charge native par le FS-P  Emission d’une revendication (claim) « Strong Authentication»  Possibilité d’une autorisation fondée sur la force de l’authentification au niveau des ressources accédées  (*) 2FA = two-factor authentication
  12. 12. Authentification forte avec un FS-P AD FS2.0 2ième approche : Interception du trafic FS-P par un module HTTP  Module compatible avec la version d’IIS 7.x de Windows Server 2008 ou Windows Server 2008 R2  Doit être installé sur chaque FS-P  Ex. Prise en charge des authentifieurs RSA SecureID  AD FS 2.0 Step-by-Step Guide: Integration with RSA SecurID in the Extranet  RSA Authentication Agent 7.0 for Web IIS 7  Cinématique :  Avant de laisser passer le trafic intercepté, redirection vers le service 2FA  Fourniture des crédentités 2FA qui sont validées par le service 2FA  Après authentification réussie auprès du service 2FA, redirection vers le FS- P, traitement du trafic par le FS-P et authentification au niveau du FS-P  Fourniture des crédentités AD au niveau de la page de connexion du FS-P  Redirection multiples et au moins deux demandes de saisie pour les crédentités (2FA puis AD)   Pas de revendication (claim) « Strong Authentication» possible
  13. 13. Authentification forte avec un FS-P AD FS2.0 ième 3 approche :Personnalisation de la page d’authentification AD FS 2.0  Nécessité au niveau du service 2FA d’une interface invocable par code pour authentifier les crédentités 2FA  Idéalement via WS-Trust  Optimal en termes d’expérience utilisateur  1 seule page personnalisée pour les crédentités 2FA et AD  Emission possible d’une revendication « Strong Authentication » selon implémentation  Implémentation : Voir SDK AD FS 2.0  Illustration avec la solution Login People tout de suite après…
  14. 14. Authentification forte avec AD FS 2.0 4ième approche : Fournisseur de jetons 2FA  Redirection via la déclaration d’un fournisseur de jetons (Claim Provider) au niveau AD FS 2.0  Le service 2FA prend en charge WS-Fed ou SAML-P  Redirection protocolaire au sens de la fédération d’identité  Consommation du jeton émis par le service 2FA par AD FS 2.0  Présence d’une revendication (claim) « Authentification forte » en fonction des possibilités du service 2FA  Illustration avec la solution In-Webo tout de suite après…
  15. 15. Login People : « L’Authentification forte pourtous » Startup française basée à Sophia Antipolis L’ADN du Numérique® : technologie brevetée Points clés du Digital DNA Server, serveur d’authentification forte  Zéro-Déploiement - vous possédez déjà les équipements d’authentification (PC, clé USB, téléphone mobile, …)  Simplicité - facilité d’utilisation, facile à administrer  Multi-Supports - clients Web et clients riches  Multi-Facteurs - 2FA et plus : combinaison sans limite  Intégration dans le SI avec les annuaires d’entreprise  Compatibilité avec de nombreux produits (accès VPN...) via RADIUS Réduction significative du TCO
  16. 16. Solution Login People : STS Digital DNA Server, serveur d’authentification  Fournit un STS (Service de jetons de sécurité) WS-Trust [Claims Provider]  Synchronisation des utilisateurs depuis un Active Directory Page de Login Spécifique, déployée sur AD FS 2.0  Approche 3 décrite précédemment  Embarque la logique d’authentification ADN du Numérique  Fait le lien entre AD FS et le STS du Digital DNA Server AD FS 2.0  Transforme le jeton SAML générique fourni par le STS en jeton spécifique pour les applications cibles Active Directory  Source authentique des profils utilisateurs  Source principale d’information pour AD FS et pour le DDNA Server
  17. 17. Authentification avec un FS-P AD FS 2.0  Accès à l’application cible et redirection vers page d’authentification AD FS 2.0  Demande d’un challenge …  Authentification : nom + mot de passe + réponse au challenge basé sur l’ADN  Digital DNA Server : Génération d’un jeton SAML (#1) par le Digital DNA Server z  AD FS 2.0: Traitement du jeton #1 et émission d’un jeton SAML #2 à destination de l’application ciblée  Accès à l’application cible u Prérequis : x • Synchronisation depuis AD v DS • Enrôlement des ADN w y
  18. 18. Authentification forte avecAD FS 2.0DémonstrationAD FS 2.0 et l’ADN du Numérique®
  19. 19. InWebo Technologies (http://inwebo.com)Solutions sécurisées de connexion et d’accès, depuis2008, acteur Français, pure-player, pour les Entreprises etles Fournisseurs de ServicesAuthentification multi-facteurs dématérialisée, multi-terminaux  OTP-Generator : application mobile locale (tous téléphones et smartphones du marché)  Connexion sécurisée depuis les navigateurs (IE, FF, Chrome, Safari)  Connexion sécurisée depuis les applications (tablettes, smartphones, ordinateurs, etc.)API et « connecteurs » de sécurité  Radius : contrôle d’accès périmétrique (par ex. VPN, reverse-proxy)  Services Web : contrôle d’accès sur pages web (par ex. FS-P pour approches 2 et 3)  SAML-P 2.0 (par ex. pour approche 4)  Compatibilité complète Moyens d’authentification <-> ConnecteursOutils de provisioning et d’administration, mise en œuvre immédiate
  20. 20. Authentification forte avec AD FS 2.0 … Identity Provider InWebo (SAML)
  21. 21. Mise en œuvre en « 4 clics »Fédération des applications avec l’AD FS 2.0Déclaration de l’IDP InWebo dans l’AD FS 2.0 Import du fichier de méta-data fourni dans la console InWeboConfiguration d’une règle dans l’AD FS 2.0 Mode d’invocation de l’IDP InWebo : systématique, uniquement si utilisateur distant, etc. (exemples de règles fournis)Création des crédentités dans l’IDP InWebo Palette d’outils fournis par InWebo : API de provisioning, outil de synchronisation AD, console de gestion Pluralité de moyens d’authentification multi-facteurs
  22. 22. Authentification forte avecAD FS 2.0 Solution InWebo
  23. 23. En guise de conclusion La fédération d’identité joue un rôle central dans l’informatique fédérée AD FS 2.0 tire parti des investissements de l’entreprise dans AD DS pour mettre à disposition une solution interopérable de fournisseur d’identité/passerelle (protocolaire) de fédération(/fournisseur de service) Des solutions existent pour apporter une solution d’authentification forte souple pour la fédération d’identité et AD FS 2.0
  24. 24. Pour aller au-delà AD FS 2.0  http://www.microsoft.com/adfs  AD FS 2.0 RTW  http://www.microsoft.com/download/en/details.aspx?id=10909  AD FS 2.0 Update Rollup 1  http://support.microsoft.com/kb/2607496  SDK AD FS 2.0  http://msdn.microsoft.com/en-us/library/ee895355.aspx  Carte du contenu AD FS 2.0  http://social.technet.microsoft.com/wiki/contents/articles/2735.aspx
  25. 25. Pour aller au-delà Sessions Microsoft TechDays 2011  http://www.microsoft.com/france/mstechdays/showcase/default.aspx  Session ARC203 "Architecture des applications et des services fondés sur la fédération didentité et les revendications : une introduction"  Session SEC2306 "Utiliser Active Directory Federation Services 2.0 pour une authentification unique interopérable entre organisations et dans le Cloud" Identity Developer Training  http://bit.ly/cWyWZ2 A Guide to Claims-based Identity And Access Control 2nd Edition  http://bit.ly/uHsywx
  26. 26. Plus d’informations Spécifications OASIS  OASIS SAML 2.0  http://www.oasis-open.org/standards#samlv2.0  OASIS WS-Trust 1.4  http://www.oasis-open.org/standards#wstrustv1.4  OASIS WS-Federation 1.2  http://www.oasis-open.org/standards#wsfedv1.2
  27. 27. Plus d’informations Portail Microsoft France Interopérabilité  http://www.microsoft.com/france/interop/  Portail US  http://www.microsoft.com/interop/ Portail Microsoft Spécifications Ouvertes  http://www.microsoft.com/openspecifications Portail Port 25  http://port25.technet.com/ Portail "Interop Vendor Alliance"  http://interopvendoralliance.com/ Portail "Interoperability Bridges and Labs Center"  http://www.interoperabilitybridges.com/ Weblog Interoperability@Microsoft  http://blogs.msdn.com/b/interoperability/
  28. 28. Plus d’informations Groupe "Forum des architectures applicatives Microsoft"  http://bit.ly/archiappms Ce forum regroupe des architectes en informatique qui ont des choix de technologies à faire dans les projets pour lesquels ils travaillent. L’architecte applicatif, en situation de projet, travaille typiquement aux côtés de la direction de projet pour choisir et assumer des choix techniques en fonction des contraintes du projet (fonctionnalités, délais, ressources). Pour effectuer ces choix à bon escient, il doit connaître ce que le marché offre en termes de technologies. Cela peut prend typiquement deux formes : veille technologique continue, recherches dans le cadre du projet. L’architecte applicatif a aussi pour rôle de faire le lien entre les équipes de développement et les équipes d’infrastructure et d’exploitation de la future application. Il doit également veiller à ce que ses choix soient bien mis en œuvre pendant le développement. Ce forum, à l’initiative de Microsoft France, a pour but d’aider les architectes applicatifs • A faciliter la connaissance de l’offre de Microsoft pour les projets en entreprise (envoi de liens vers des présentations, documents, webcasts, conférences, etc.), mais également • A échanger sur des problématique d’architecture ayant un rapport, même partiel, avec la plateforme Microsoft (est-ce que AD FS 2.0 fonctionne dans un environnement SAML-P 2.0, comment se passe la réversibilité d’une application développée pour le Cloud, quelles sont les implications d’un déploiement sur une ferme Web, etc.). Cet espace est le vôtre, faites le vivre, nous sommes aussi et surtout là pour vous lire.
  29. 29. Microsoft France39, quai du président Roosevelt 92130 Issy-Les-Moulineaux www.microsoft.com/france

×