Comment publier vos applications
Web avec Windows Server 2012
R2
Eric Detoc, Franck Heilmann
Escalation Engineers
Microsof...
Agenda
• Concepts sur la publication d’application
Web
• Etat des lieux TMG / UAG
• Web Application Proxy (WAP)
• Question...
INTRODUCTION SUR LA
PUBLICATION DES APPLICATIONS
Concepts
WEB
#mstechdays

Sécurité
Grands Concepts de la publication
• Rendre accessible les applications internes pour les
clients externes (nomades, parten...
TMG & UAG
En fin de vie

#mstechdays

Sécurité
TMG - fin de vie
• TMG n’est plus disponible à la vente depuis
1er décembre 2012
• La dernière mise à jour est SP2 Rollup ...
UAG - fin de vie
• UAG ne sera plus disponible à la vente à
partir du 1er Juillet 2014 (Software Assurance 1er
Janvier 201...
Phases de support
• http://support.microsoft.com/gp/lifepolicy

#mstechdays

Sécurité
WEB APPLICATION PROXY (WAP)
Introduction

#mstechdays

Sécurité
Pourquoi WAP ?
– Nécessité de répondre aux challenges de la fédération
d’identité (intégration forte avec ADFS et AD)
– Ev...
Web Application Proxy

#mstechdays

Sécurité
WS2012 R2 AD + AD FS + WAP: proposition de
valeur
Organizations can connect to SaaS
applications running in Windows Azure,...
WEB APPLICATION PROXY (WAP)
Fonctionnalités

#mstechdays

Sécurité
Reverse Proxy Web
• Publication sélective d’applications Web
– Rendre accessible certaines applications Web, voire
certain...
Reverse Proxy Web (suite)
• Pré-authentification AD FS ou de type “Pass
through”
• Le rôle ADFS Proxy est inclus dans WAP
...
Pré-requis pour le Single Sign On (SSO)
• Les applications publiées doivent authentifier les flux
avec des Claims ADFS ou ...
Flux du SSO
• Le client s’authentifie sur ADFS
• Une fois l’authentification réussie, le client reçoit un token WAP
ainsi ...
Authentification et autorisation ADFS
• Les RP créés dans ADFS pour chaque application sont
utilisés pour définir et appli...
WEB APPLICATION PROXY (WAP)
Déploiement & recommandations

#mstechdays

Sécurité
Installation
• Prérequis: Windows 2012 R2 ADFS
• WAP est un service disponible depuis le rôle
« accès distant »
• Configur...
Certificat de l’ADFS Proxy
• Demandé lors de la configuration post-install
• Ce certificat doit inclure:
– Le FQDN du serv...
WAP/AD FS : qui fait quoi ?
Web Application Proxy

AD FS

• Prendre en charge et évaluer les
requêtes Web entrantes
• Décl...
WAP et http.sys
• WAP n’utilise pas de “Listener” lié à une IP/port comme TMG & UAG
• WAP effectue des réservations dans h...
Cartes réseaux
• WAP n’a aucune connaissance de la
configuration réseau du système
• WAP supporte une, deux ou plusieurs c...
Positionnement de WAP dans le réseau
• Dans la DMZ
• Comme “pont” entre la DMZ et le LAN
• Dans le LAN directement
• Remar...
Répartition de charge
•

Les serveurs WAP connectés au même ADFS forment un groupe et
partagent la même configuration (app...
Joindre ou ne pas joindre le domaine ?
• La question clé est de savoir si vous allez avoir besoin de KCD
• KCD est requis ...
Certificat de l’application Web publiée
• Chaque application Web publiée doit avoir un certificat
SSL correspondant au nom...
Pré-authentification
• Pré-authentification ADFS:
– Clients ADFS passifs (navigateurs Web)
– MS Office Forms-based Auth (M...
Compatibilité avec les applications
Microsoft
Compatibilité avec les applications
Microsoft

Office 365 Hybrid Scenario:
Autre Scénarii de Publication
Microsoft Dynamics CRM : Pré-Authentification avec ADFS pour les
clients Web

Workplace Join...
WEB APPLICATION PROXY (WAP)
Architecture & Administration

#mstechdays

Sécurité
Administration simplifiée

#mstechdays

Sécurité
Stockage de la configuration
•

La configuration de WAP est stockée dans ADFS

#mstechdays

Sécurité
WEB APPLICATION PROXY (WAP)
Scénario : Flux HTTP relatifs à la publication d’une application Web
« Claims Aware» avec Pré-...
Flux vers une “claims aware” web app
Requête initiale du client
Authentification ADFS
Demande du authToken WAP au serveur ...
Internet

Perimeter network

Internal network
https://adfs.contoso.com

User

https://adfs.contoso.com

WAP LOB
https://cl...
Internet

Perimeter network
https://adfs.contoso.com

https://adfs.contoso.com

User

WAP
GET
307

https://claimsapp.conto...
Flux vers une “claims aware” web app
Requête initiale du client
Authentification ADFS
Demande du authToken WAP au serveur ...
Internet

User

GET
Edge
token

Perimeter network

https://adfs.contoso.com

GET
Edge
token

Internal network
https://adfs...
Internet

Perimeter network

Internal network
https://adfs.contoso.com

User

https://adfs.contoso.com

WAP LOB
https://cl...
Internet

Perimeter network
AD FS SSO

AD FS SSO

https://adfs.contoso.com

302
AD FS SSO

User

Internal network

https:/...
Flux vers une “claims aware” web app
Requête initiale du client
Authentification ADFS
Demande du authToken WAP au serveur
...
Internet

Perimeter network
AD FS SSO

AD FS SSO

AD FS SSO

User

Internal network
https://adfs.contoso.com

GET
Edge
tok...
Internet

Perimeter network

https://adfs.contoso.com

AD FS SSO

User

Internal network

307
https://adfs.contoso.com

30...
Flux vers une “claims aware” web app
Requête initiale du client
Authentification ADFS
Demande du authToken WAP au serveur ...
Internet

Internal network

Perimeter network

https://adfs.contoso.com

AD FS SSO

https://adfs.contoso.com

User

WAP LO...
Flux vers une “claims aware” web app
Requête initiale du client
Authentification ADFS
Demande du authToken WAP au serveur ...
Internet

Perimeter network
AD FS SSO

AD FS SSO

AD FS SSO

User

https://adfs.contoso.com

Internal network
https://adfs...
Internet

Internal network

Perimeter network

https://adfs.contoso.com

AD FS SSO

302
User

https://adfs.contoso.com

WA...
En résumé…

#mstechdays

Sécurité
Conclusion
• WAP est le nouveau produit Microsoft pour
la publication d’application Web.
• WAP supporte la stratégie BYOD
...
Donnez votre avis !
Depuis votre smartphone sur :
http://notes.mstechdays.fr
De nombreux lots à gagner toutes les heures !...
Digital is
business
Comment publier vos applications Web avec Windows Server 2012 R2
Comment publier vos applications Web avec Windows Server 2012 R2
Upcoming SlideShare
Loading in...5
×

Comment publier vos applications Web avec Windows Server 2012 R2

2,343

Published on

L'objectif de la session est de dresser dans un premier temps un état des lieux sur les solutions Microsoft jusqu'alors utilisées pour publier vos applications Web. Nous nous focaliserons ensuite sur Web Application Proxy (WAP), nouveau rôle dans Windows 2012 R2 pour la publication d'application Web. Nous aborderons les objectifs et fonctionnalités de WAP, le tout illustré par des démos.

Speakers : Franck Heilmann (Microsoft), Eric Detoc (Microsoft France)

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
2,343
On Slideshare
0
From Embeds
0
Number of Embeds
3
Actions
Shares
0
Downloads
99
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Comment publier vos applications Web avec Windows Server 2012 R2

  1. 1. Comment publier vos applications Web avec Windows Server 2012 R2 Eric Detoc, Franck Heilmann Escalation Engineers Microsoft franckh@microsoft.com edetoc@microsoft.com Sécurité
  2. 2. Agenda • Concepts sur la publication d’application Web • Etat des lieux TMG / UAG • Web Application Proxy (WAP) • Questions - Réponses #mstechdays Sécurité
  3. 3. INTRODUCTION SUR LA PUBLICATION DES APPLICATIONS Concepts WEB #mstechdays Sécurité
  4. 4. Grands Concepts de la publication • Rendre accessible les applications internes pour les clients externes (nomades, partenaires) • Offrir: – Pré-Authentification / Validation de l’identité – Délégation (SSO) – Translation de liens – Terminaison SSL #mstechdays Sécurité
  5. 5. TMG & UAG En fin de vie #mstechdays Sécurité
  6. 6. TMG - fin de vie • TMG n’est plus disponible à la vente depuis 1er décembre 2012 • La dernière mise à jour est SP2 Rollup 4 • Arrêt du support – Phase principale: 14 Avril 2015 – Phase étendue: 14 Avril 2020 #mstechdays Sécurité
  7. 7. UAG - fin de vie • UAG ne sera plus disponible à la vente à partir du 1er Juillet 2014 (Software Assurance 1er Janvier 2014). • La dernière mise à jour est SP4 • Arrêt du support – Phase principale: 14 Avril 2015 – Phase étendue: 14 Avril 2020 #mstechdays Sécurité
  8. 8. Phases de support • http://support.microsoft.com/gp/lifepolicy #mstechdays Sécurité
  9. 9. WEB APPLICATION PROXY (WAP) Introduction #mstechdays Sécurité
  10. 10. Pourquoi WAP ? – Nécessité de répondre aux challenges de la fédération d’identité (intégration forte avec ADFS et AD) – Evolution des standards de sécurité (focus client) – Nouveaux besoins Utilisateurs et ITPro (BYOD, Contrôle d’accès,…) – Rendre le proxy indépendant du client (pas de code client ou autre JavaScript,…) – Rendre le proxy neutre par rapport à l’application publiée (Exchange 2007 versus 2013,…) #mstechdays Sécurité
  11. 11. Web Application Proxy #mstechdays Sécurité
  12. 12. WS2012 R2 AD + AD FS + WAP: proposition de valeur Organizations can connect to SaaS applications running in Windows Azure, Office 365 and 3rd party providers Enhancements to AD FS include simplified deployment and management Organizations can federate with partners and other organizations for seamless access to shared resources Firewall Conditional access with multi-factor authentication is provided on a perapplication basis, leveraging user identity, device registration & network location Users can register their devices to gain access to corporate data and apps and single sign-on through device authentication Published applications
  13. 13. WEB APPLICATION PROXY (WAP) Fonctionnalités #mstechdays Sécurité
  14. 14. Reverse Proxy Web • Publication sélective d’applications Web – Rendre accessible certaines applications Web, voire certaines parties (paths) seulement de ces applications • Terminaison SSL – Le trafic Web entrant (HTTPS uniquement) ne peut directement atteindre le serveur publié • HTTP ou HTTPS peuvent être utilisés entre WAP et l’application Web #mstechdays Sécurité
  15. 15. Reverse Proxy Web (suite) • Pré-authentification AD FS ou de type “Pass through” • Le rôle ADFS Proxy est inclus dans WAP – Utilisé pour publier le serveur ADFS – Dans Windows 2012 R2, le rôle AD FS Proxy n’est plus disponible comme rôle seul • Translation du nom d’hôte – Le nom de domaine externe peut être différent du nom interne: E.g. https://portal.contoso.com  http://portal/ – La translation du nom d’hôte n’est actuellement supporté que sur #mstechdays les entêtes HTTP. Sécurité
  16. 16. Pré-requis pour le Single Sign On (SSO) • Les applications publiées doivent authentifier les flux avec des Claims ADFS ou avec la méthode Kerberos (authentification Windows intégrée -IWA) • Un “relying party” (RP) doit être créé au niveau ADFS pour l’application publiée #mstechdays Sécurité
  17. 17. Flux du SSO • Le client s’authentifie sur ADFS • Une fois l’authentification réussie, le client reçoit un token WAP ainsi qu’un cookie SSO ADFS • WAP vérifie que le token WAP est valide et bascule si nécessaire en KCD (Kerberos constrained delegation) avec l’application Web publiée #mstechdays Sécurité
  18. 18. Authentification et autorisation ADFS • Les RP créés dans ADFS pour chaque application sont utilisés pour définir et appliquer des stratégies d’authentification et d’autorisation • Les accès des devices et des utilisateurs peuvent être restreints en fonction de nombreuses conditions, comme: – – – – #mstechdays Le type de Device (iOS, Windows OS, Android) Workplace Joined ou non-Workplace Joined Lieu de l’utilisateur et du device (interne , externe) Appartenance à un groupe Sécurité
  19. 19. WEB APPLICATION PROXY (WAP) Déploiement & recommandations #mstechdays Sécurité
  20. 20. Installation • Prérequis: Windows 2012 R2 ADFS • WAP est un service disponible depuis le rôle « accès distant » • Configuration post-installation par nœud • Administration centralisée depuis la console gestionnaire d’accès distant #mstechdays Sécurité
  21. 21. Certificat de l’ADFS Proxy • Demandé lors de la configuration post-install • Ce certificat doit inclure: – Le FQDN du serveur ADFS, par exemple adfs.contoso.com – Enterpriseregistration.contoso.com si Workplace Join utilisé • Les certificats de type Wildcard (*.contoso.com) ou avec des Subject Alternate Names (SAN) sont supportés #mstechdays Sécurité
  22. 22. WAP/AD FS : qui fait quoi ? Web Application Proxy AD FS • Prendre en charge et évaluer les requêtes Web entrantes • Déclencher la pré-authentification • Gérer la délégation KCD • Effectuer la translation des entêtes HTTP • Faire le proxy entre le serveur ADFS et l’application Web publiée • Héberger le stockage de la configuration WAP • Gérer l’authentification de l’utilisateur • Authentification Multi-facteur • Appliquer les autorisations en fonction des stratégies définies. • Changement des mots de passe • Personnalisation du formulaire de logon #mstechdays Sécurité
  23. 23. WAP et http.sys • WAP n’utilise pas de “Listener” lié à une IP/port comme TMG & UAG • WAP effectue des réservations dans http.sys pour les FQDN et Paths publiés • WAP utilise Server Name Indication (SNI) pour déterminer le certificat serveur à envoyer au client lors du handshake SSL #mstechdays Sécurité
  24. 24. Cartes réseaux • WAP n’a aucune connaissance de la configuration réseau du système • WAP supporte une, deux ou plusieurs cartes réseaux • Support de IPv6 et IPv4 #mstechdays Sécurité
  25. 25. Positionnement de WAP dans le réseau • Dans la DMZ • Comme “pont” entre la DMZ et le LAN • Dans le LAN directement • Remarque: – Terminer la connexion SSL avant WAP n’est pas supporté #mstechdays Sécurité
  26. 26. Répartition de charge • Les serveurs WAP connectés au même ADFS forment un groupe et partagent la même configuration (applications publiées, etc …) Web Application Proxy AD FS Web Application Proxy AD FS Config. Store AD FS Web Application Proxy • Aucune affinité cliente n’est requise: un utilisateur peut se connecter indifféremment à chaque serveur du groupe. Les considérations habituelles concernant l’affinité cliente au niveau de l’application Web demeurent • WAP n’offre pas de dispositif d’équilibrage de charge nativement. Toute solution de Load Balancing fonctionnant correctement avec HTTP.SYS conviendra (NLB, Hardware Load Balancer) #mstechdays Sécurité
  27. 27. Joindre ou ne pas joindre le domaine ? • La question clé est de savoir si vous allez avoir besoin de KCD • KCD est requis pour mettre en place de la SSO avec une application Web non “claims aware” (utilisation de IWA dans ce cas) • Mise en place KCD: – WAP doit appartenir à un domaine, ainsi que le serveur Web – L’application Web doit utiliser l’authentification Windows intégrée – Un relying party trust “non claims” doit être créer au niveau ADFS • Notes: – Il est possible de créer un domaine/forêt dédié à WAP puisque la KCD crossdomaine/forêt est maintenant supportée (http://technet.microsoft.com/enus/library/hh831477.aspx) – Possibilité d’utiliser des Read-Only DCs pour plus de sécurité #mstechdays Sécurité
  28. 28. Certificat de l’application Web publiée • Chaque application Web publiée doit avoir un certificat SSL correspondant au nom public (par ex sharepoint.contoso.com) • Les certificats de type Wildcard ou avec SAN sont supportés (par ex: *.contoso.com) • Il est conseillé d’utiliser des certificats d’autorités publiques pour faciliter les accès depuis des devices non gérés (tablette à la maison par ex) #mstechdays Sécurité
  29. 29. Pré-authentification • Pré-authentification ADFS: – Clients ADFS passifs (navigateurs Web) – MS Office Forms-based Auth (MSOFBA) – Word, Excel… – OAuth2 – clients ADFS actifs (modern apps, DRS) • Pré-authentification non-ADFS: – Authentification “Pass through” - Legacy Rich Clients (NTLM/Basic) – Hybrid Publishing (certificat client) #mstechdays Sécurité
  30. 30. Compatibilité avec les applications Microsoft
  31. 31. Compatibilité avec les applications Microsoft Office 365 Hybrid Scenario:
  32. 32. Autre Scénarii de Publication Microsoft Dynamics CRM : Pré-Authentification avec ADFS pour les clients Web Workplace Join Web Application proxy peut être utilisé pour publier la fonctionnalité “Workplace Join”. Les utilisateurs externes ayant enregistré leur(s) device(s) à l’organisation bénéficieront du SSO et du 2ème facteur d’authentification Les administrateurs peuvent limiter l’accès aux ressources uniquement pour les devices enregistrés Work Folders Nouvelle solution de synchronisation de fichiers permettant à l’utilisateur de synchroniser ses fichiers entre des ressources internes et son device quel que soit l’endroit où il se trouve Web Application Proxy permet la publication de ces ressource (work folders) et applique l’authentification multi-facteur
  33. 33. WEB APPLICATION PROXY (WAP) Architecture & Administration #mstechdays Sécurité
  34. 34. Administration simplifiée #mstechdays Sécurité
  35. 35. Stockage de la configuration • La configuration de WAP est stockée dans ADFS #mstechdays Sécurité
  36. 36. WEB APPLICATION PROXY (WAP) Scénario : Flux HTTP relatifs à la publication d’une application Web « Claims Aware» avec Pré-authentification ADFS #mstechdays Sécurité
  37. 37. Flux vers une “claims aware” web app Requête initiale du client Authentification ADFS Demande du authToken WAP au serveur ADFS Validation du authToken par WAP Authentification sur l’application publiée #mstechdays Sécurité
  38. 38. Internet Perimeter network Internal network https://adfs.contoso.com User https://adfs.contoso.com WAP LOB https://claimsapp.contoso.com http://lob
  39. 39. Internet Perimeter network https://adfs.contoso.com https://adfs.contoso.com User WAP GET 307 https://claimsapp.contoso.com http://lob LOB
  40. 40. Flux vers une “claims aware” web app Requête initiale du client Authentification ADFS Demande du authToken WAP au serveur ADFS Validation du authToken par WAP Authentification sur l’application publiée #mstechdays Sécurité
  41. 41. Internet User GET Edge token Perimeter network https://adfs.contoso.com GET Edge token Internal network https://adfs.contoso.com WAP LOB https://claimsapp.contoso.com http://lob
  42. 42. Internet Perimeter network Internal network https://adfs.contoso.com User https://adfs.contoso.com WAP LOB https://claimsapp.contoso.com http://lob
  43. 43. Internet Perimeter network AD FS SSO AD FS SSO https://adfs.contoso.com 302 AD FS SSO User Internal network https://adfs.contoso.com WAP 302 https://lob.contoso.com http://lob LOB
  44. 44. Flux vers une “claims aware” web app Requête initiale du client Authentification ADFS Demande du authToken WAP au serveur ADFS Validation du authToken par WAP Authentification sur l’application publiée #mstechdays Sécurité
  45. 45. Internet Perimeter network AD FS SSO AD FS SSO AD FS SSO User Internal network https://adfs.contoso.com GET Edge token Edge Policies https://adfs.contoso.com WAP LOB GET Edge token https://claimsapp.contoso.com http://lob Application Policies
  46. 46. Internet Perimeter network https://adfs.contoso.com AD FS SSO User Internal network 307 https://adfs.contoso.com 307 WA LO P B https://claimsapp.contoso.com http://lob
  47. 47. Flux vers une “claims aware” web app Requête initiale du client Authentification ADFS Demande du authToken WAP au serveur ADFS Validation du authToken par WAP Authentification sur l’application publiée #mstechdays Sécurité
  48. 48. Internet Internal network Perimeter network https://adfs.contoso.com AD FS SSO https://adfs.contoso.com User WAP LOB Query String https://claimsapp.contoso.com Edge Cookie http://lob 302 Edge Cookie 302
  49. 49. Flux vers une “claims aware” web app Requête initiale du client Authentification ADFS Demande du authToken WAP au serveur ADFS Validation du authToken par WAP Authentification sur l’application publiée #mstechdays Sécurité
  50. 50. Internet Perimeter network AD FS SSO AD FS SSO AD FS SSO User https://adfs.contoso.com Internal network https://adfs.contoso.com Edge Policies GET LOB token WAP LOB GET LOB token https://claimsapp.contoso.com Edge Cookie http://lob Application Policies
  51. 51. Internet Internal network Perimeter network https://adfs.contoso.com AD FS SSO 302 User https://adfs.contoso.com WAP 302 https://claimsapp.contoso.com Edge Cookie LOB Cookie Edge Cookie 200 LOB Cookie http://lob Edge Cookie 200 LOB Cookie LOB
  52. 52. En résumé… #mstechdays Sécurité
  53. 53. Conclusion • WAP est le nouveau produit Microsoft pour la publication d’application Web. • WAP supporte la stratégie BYOD • WAP s’intègre dans une stratégie globale d'accès distant (RDI, VPN, DA, …) • Le groupe produit est preneur de tout feedback. #mstechdays Sécurité
  54. 54. Donnez votre avis ! Depuis votre smartphone sur : http://notes.mstechdays.fr De nombreux lots à gagner toutes les heures !!! Claviers, souris et jeux Microsoft… Merci de nous aider à améliorer les Techdays ! #mstechdays Sécurité
  55. 55. Digital is business
  1. A particular slide catching your eye?

    Clipping is a handy way to collect important slides you want to go back to later.

×