• Share
  • Email
  • Embed
  • Like
  • Save
  • Private Content
Seminario MS IDA
 

Seminario MS IDA

on

  • 1,133 views

 

Statistics

Views

Total Views
1,133
Views on SlideShare
1,046
Embed Views
87

Actions

Likes
0
Downloads
0
Comments
0

3 Embeds 87

http://ittechnologysite.blogspot.com 84
http://ittechnologysite.blogspot.com.es 2
http://www.ittechnologysite.blogspot.com 1

Accessibility

Categories

Upload Details

Uploaded via as Microsoft PowerPoint

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment
  • 09/19/11 19:47
  • 09/19/11 19:47
  • 09/19/11 19:47
  • 09/19/11 19:47
  • 09/19/11 19:47
  • 09/19/11 19:47
  • 09/19/11 19:47
  • 09/19/11 19:47
  • System Center Configuration Manager System Center Configuration Manager enables secure and scalable operating and application deployment, desired configuration management, system quarantine, and asset management of servers, desktops, and mobile devices.   New capabilities ensure that systems are checked and updated before joining the network, operating system and application deployment is greatly simplified for both new and existing systems, and configuration changes and system updates are more effectively managed regardless of location or device type, all of which enable IT managers to take control of their environment like never before. The current plan of record is to provide the following key capabilities: • Operating system deployment (OSD) is an automated and end-to-end solution for hands-off deployment • Network Access Protection • Software distribution • Software update management (SUM) • Desired configuration management • Device management • Software inventory and metering • Hardware inventory • Remote control • Wake On LAN • Windows Vista and Microsoft Office 12 upgrade assessment • Vulnerability assessment • Software Development Kit (SDK) provides extensibility • Scalable yet flexible • Internationalization • Easy to use infrastructure
  • 09/19/11 19:47
  • 09/19/11 19:47
  • 09/19/11 19:47
  • 09/19/11 19:47
  • Module 6: Configuring AD RMS Course 6426B Describe the various scenarios that can be deployed using AD RMS, such as: Deploying AD RMS in a single forest - Explain that it may contain a single server or have multiple servers in a single cluster. Deploying an AD RMS licensing-only cluster - Explain that this scenario is typically used to distribute the licensing services. Deploying AD RMS in a multi-forest environment - Explain the need for multiple AD RMS root clusters and the configuration of trust policies. Deploying AD RMS in an extranet - Explain how either a licensing-only server or Internet Security and Acceleration (ISA) server can be used in this scenario. Deploying AD RMS with AD FS - Explain some of the considerations for integrating AD RMS and AD FS.
  • Module 6: Configuring AD RMS Course 6426B Discuss the following steps: Contoso, Ltd., exports and sends its SLC (public key) to Northwind Traders. Northwind Traders specifies Contoso, Ltd., as a trusted user domain and imports its SLC. Alice@nwtraders.msft sends Bob@contoso.com an item of RMS-protected content. Bob receives the content and, in his attempt to consume it, sends his RAC and publishing license (PL) to the issuing licensing server at Northwind Traders. The licensing server at Northwind Traders is aware that Contoso, Ltd.’s domain is a trusted user domain and can use the imported SLC to verify Bob’s RAC and issue him a use license (UL).
  • Module 6: Configuring AD RMS Course 6426B Use the diagram to explain the workings of a TPD.

Seminario MS IDA Seminario MS IDA Presentation Transcript

  • Seminario Identity & Access Solutions Marcela Berri MCT – MCITP – MCTS - MAP
  • Agenda
    • Introducción IDA
      • Qué es? Cómo ayuda en la empresa
      • Presentación de los Roles de Windows 2008 para IDA
    • Active Directory Lightweight Directory Services AD LS
      • Uso en el desarrollo de aplicaciones basadas en una estructura de AD.
    • Active Directory Federation Services AD FS
      • Definición: qué es Federation Services?
      • Uso del Rol en el desarrollo de aplicaciones ASP
    • Intervalo
    • Active Directory Rights Management Services AD RMS
      • Uso de documentación compartida
      • Seguridad de los documentos compartidos. Derechos de Autor
  • Overview IDA Identity and Access Solutions con Windows Server 2008
  • Qué es IDA?
    • Identity and Access Solutions
    • Es un grupo de tecnologías y productos que permite manejar la identidad de los usuarios y los privilegios de acceso asociados a una aplicación.
    • Brinda un balance entre seguridad y accesibilidad.
  • Resumen de tecnologías/productos Active Directory Roles Uso Active Directory Domain Services (AD DS)
    • Es la base para las todas soluciones
    Active Directory Lightweight Directory Services (AD LDS)
    • Soporte para aplicaciones basadas en estructura de directorio (AD)
    Active Directory Certificate Services (AD CS)
    • Habilita al Active Directory a usar Certificados para proveer control de identificación
    Active Directory Federation Services (AD FS)
    • Basado en SSO (Single sing-on). Permite compartir recursos sin compartir el AD.
    Active Directory Rights Management Services (AD RMS)
    • Asegura contenido aún fuera de la estructura del AD.
  • Overview AD CS Active Directory Certificate Services
  • Qué es AD CS?
    • Es un grupo de tecnologías que ayudan a asegurar las comunicaciones corporativas.
    • Es la combinación de Software, tecnologías de encriptación, procesos y servicios que aseguran las diferentes transacciones de una compañía.
    • PKI (Public key Infraestructure) provee:
    • Confidenciabilidad (encripta datos almacenados y transmitidos)
    • Integridad (firma digital)
    • Autenticidad (uso de hash)
    • No-repudiation (uso de hash)
  • Componentes de PKI CA Certificados digitales CRLs (Certified Revocation List) Plantillas de certificados Public Key Aplicaciones y Servicios CA Management Tools
  • Manejo de llaves
  • Overview AD LDS Active Directory Lightweight Directory Services
  • Qué es AD LDS?
    • Conocido anteriormente como ADAM, AD LDS es el rol que brinda el soporte para aplicaciones «Directory-Enable».
    • Provee una base de datos «local» que puede sincronizar contra el Active Directory interno de la compañía.
    • Es posible generar instancias que contienen particiones y un Schema tal cual el Active Directory.
    • AD LDS puede usar el Active para autenticar Windows-based security principals.
    16
  • Estructura interna 26 Application Partition 1 Configuration Partition Schema Partition
  • Estructura de LDS Workgroup Member Domain member Domain Controller 36 AD LDS Server Aplicación
  • Configuration Sets 46 Configuration Partition Schema Partition App2 Partition App1 Partition Configuration Set 1 Configuration Partition Schema Partition App2 Partition Instance B Configuration Set 2 Configuration Partition Schema Partition App3 Partition App4 Partition Configuration Partition Schema Partition App3 Partition Instance C ADLDS-SRV2 ADLDS-SRV3 ADLDS-SRV1
  • Consolas de AD LDS 56
  • Resumen Tools Platform Support Access Replication User / Groups Usage Scenarios AD LDS 66
  • Overview AD FS Active Directory Federation Services
  • Qué es AD FS?
    • Solución que habilita a 2 o mas organizaciones a compartir información, manejando identidades digitales basadas en una relación de confianza entre las partes.
    • Permite facilitar la colaboración, mejorar la seguridad y reducir costos.
    • Permite que los usuarios accedan a recursos entre diferentes organizaciones vía clientes basados en web browser, pudiendo acceder a aplicaciones protegidas.
    115
  • Esenarios de Identity Federation
    • La idea es no tener que manejar identidades de otras organizaciones.
    215 Business-to-Business (B2B) SSO (Forest-Trust) Business-to-Employee (B2E) Web SSO (Forest-Trust) Business-to-Consumer (B2C) Web SSO
  • Esenarios de Identity Federation
    • Para trabajar con socios, proveedores y/o contratistas.
    • Identity Federation provee un solo logon para permitir que los usuarios utilicen sus credenciales corporativas sin exponer esas credenciales ante los otros socios de negocio.
    • Se genera un acuerdo de negocio entre las organizaciones para proveer la comunicación entre ellas.
    315 Business-to-Business (B2B) SSO (Forest-Trust)
  • Esenarios de Identity Federation
    • Para trabajar con los usuarios fuera de la oficina.
    • Identity Federation provee recursos sobre Internet, generando un portal de entrada a las distintas aplicaciones internas de la compañía.
    • Acceso seguro a varias las aplicaciones facilitando un solo logon (SSO).
    • Permite además, acceso a aplicaciones que pueden estar en una red perimetral para los usuarios desde dentro de la organización.
    415 Business-to-Employee (B2E) Web SSO (Forest-Trust)
  • Esenarios de Identity Federation
    • Para trabajar con usuarios que no son parte de la organización.
    • Identity Federation provee recursos sobre Internet a usuarios que no tienen una cuenta de dominio en ningún forest.
    • Para este escenario, es necesario crear las cuentas de usuario dentro de AD LDS o AD.
    515 Business-to-Consumer (B2C) Web SSO
  • Componentes básicos de AD FS 615 Las cuentas de usuario deben existir en AD DS o AD LDS Domain Controller Resource Federation Server Federation Service Proxy Account Partner Resource Partner Web Server Running AD FS Web Service Agent Account Federation Server Federation Trust CLAIM Petición
  • Aplicaciones Claims-Aware
    • Control de Acceso de una aplicación Web-based:
    • Una aplicación Claims-aware es una aplicación ASP.NET que utiliza librerías de ADFS.
    • Acepta peticiones (claims) que el Servicio de Federation envía en tokens de seguridad de ADFS, y puede usar esos «claims» para tomar decisiones de autorización directamente .
    • Una aplicación Windows NT token-based , por el contrario, es una aplicación de Internet Information Services (IIS) que usa mecanismos de autorización nativos de Windows en lugar de peticiones ADFS.
    715
  • Aplicaciones Claims-Aware
    • ADFS soporta 3 tipos de Claims:
    • Identity Claim : Hay tres tipos de demandas/peticiones de identidad:
      • Nombre principal de usuario (UPN). Indica un usuario estilo Kerberos UPN, como [email_address] .
      • E-mail. Indica los nombres RFC 2822 estilo e-mail, de forma [email_address] .
      • Nombre común. Indica una cadena arbitraria que se utiliza para la personalización. Ejemplo: John Smith o Empleado de Empresa .
    • Group Claim . Indica la membresía de un usuario en un grupo o rol.
    • Custom Claim . Contiene información personalizada acerca de un usuario, como el número de identificación de un empleado .
    815
  • Tráfico AD FS en esenario B2B 915 Federation Trust A. Datum Account Partner Contoso R esource P artner Internet Account Federation Server Cookie ilegítima (pantalla logon) Home Realm Discovery Finaliza HTTP request Redirige al Account Partner Autent. integrada Security token firmado (con Cookie de autent. con los datos del claim) Envía security token para validación Federation crea, firma y asegura un token de seguridad 1 2 4 3 9 5 6 7 8 10 AD DS Domain Controller Web Server / AD FS Agent Resource Federation Server Client HTTPS al Web server chequea cookie
  • Tráfico AD FS en esenario B2E 1015 Federated Web SSO with Forest Trust AD DS Domain Cont Internal Client/Employee (AD FS Web Agent) AD DS Domain Controller Resource Federation Server Account Federation Proxy Server Federation Trust One-Way Forest Trust Internet This perimeter network is its own one-domain forest Separate Active Directory One-Domain Forest Account Federation Server Token de seguridad Recibe Token de seguridad GeneraToken de Autent. 2 1 9 10 3 4 5 6 7 8 11
  • Tráfico AD FS en esenario B2C 1115 Federation Proxy Server Resource Federation Server AD FS Web Agent AD LDS Server Client Web SSO Internet 1 2 3 4 5 6 7 8 9
  • Requerimientos AD FS 1215
    • Windows Server 2003 R2 Enterprise Edition
      • Windows Server 2003 R2 Datacenter Edition
      • Windows Server 2008 Enterprise
      • Windows Server 2008 Datacenter
    Requirementos AD FS para Federation Service, Federation Service Proxy, y AD FS Web agent roles:
    • Internet Information Services (IIS)
    • Web site con TLS/SSL configurado
    • Microsoft ® ASP.NET 2.0
    • Microsoft .NET Framework 2.0
  • Consola AD FS
  • Consola AD FS 1415
  • Consola AD FS 1515
  • Overview AD RMS Active Directory Rigths Management Services
  • Qué es AD RMS?
    • Rights Management provee una solución para proteger y controlar el acceso a información sensitiva de forma persistente.
    • Provee además a las Organizaciones con herramientas que permiten al autor determinar el uso de los derechos y habilitar políticas de confidencialidad.
    • Es la tecnología que permite asegurar digitalmente documentos, e-mails y otros contenidos.
    115
  • Cómo se protege con AD RMS?
    • Estableciendo participantes "confiados" dentro del sistema AD RMS.
    • Asignando derechos y condiciones permanentes.
    • Encriptando la información y permitiendo el acceso a los usuarios que tengan derechos a abrir y ver la información.
    215
  • información en AD RMS
    • Es posible proteger los siguientes tipos de información:
      • Documentos, planillas, reportes, gráficos, etc.
      • Mensajes de E-mail
      • Contenido almacenado dentro de los servicios de una Intranet que use AD RMS. Ej: Office SharePoint
    315
  • Esenarios de uso de AD RMS
    • .
    415 Esenario Applicación Característica Asegurar archivos confidenciales
    • Microsoft Office:
    • Word
    • Excel ®
    • PowerPoint
    • Derechos (Ver, Cambiar, Imprimir)
    • Establecer período de validez
    no-forward / imprimir mensajes de e-mail
    • Microsoft Office Outlook ®
    • Microsoft Exchange Server 2007 Service Pack 1 (SP1)
    • Ayuda a proteger los mensajes confidenciales de correo electrónico que se envían a Internet
    • Ayuda a proteger los mensajes confidenciales de correo electrónico para que no salgan fuera de la empresa
    Contenido intranet
    • Microsoft Office SharePoint Services
    • Ayuda a asegurar el contenido de intranet restringiendo el acceso a: Ver, Cambiar o Imprimir
    Soporte para Identity Federation
    • All RMS-enabled applications
    • Active Directory Federation Services (AD FS)
    • Ayuda a proteger datos que están en AD FS trusts
  • Componentes AD RMS 515 AD RMS Client AD RMS Client SQL Server Configuration Data Logging AD RMS Root Cluster Web Server (IIS) --Lockbox-- AD DS AD RMS Licensing-Only Cluster SQL Server AD RMS Client AD RMS Client Genera SCP object en AD Server Licensor Certificate (SLC) (firma las licencias y certificados) Right Account Certificate (RAC) (Contiene la «llave pública» de la PC encriptada con «llave Privada» del usuario ) Client Licensor Certificate (CLC) (Permite que una Appl. firme una licencia sin contactar al server) AD RMS credentials +
  • Esenarios de Implementación
    • Implementación AD RMS en un Forest
    • 1 o mas servers en Cluster (Fault-tolerance – Availability)
    • Implementación AD RMS como Licensing-Only Cluster
    • Proveer un server con distribución de Licencias y serv. de Publicación (Ej. Por sector)
    • Implementación AD RMS en Multiples Forest
    • 2 root clusters que intercambian “Trusted Policies”
    • Implementación AD RMS en Extranet
    • Consumir contenido protegido no conectado a la red interna
    • Implementación AD RMS con AD FS
    • Permite qye Identidades Federadas consuman contenido protegido
    AD RMS AD FS
  • AD RMS workflow Decripta la Licencia A Re-encripta con Public key del recipient Usuario asegura un Doc (establece credenciales) Encripta con Public key del RMS cluster 715 Autor Recipient 2 3 1 4 5 6 8 7 9 Database Server AD RMS Cluster Active Directory Publicación Consumo Genera una Licencia A de publicación La appl. Encripta con symetric key (AES-128) File Bound (unidos) Publishing Licenses Private key y SLC Trust Policies La Appl. verifica CRL Y abre el archivo La Appl. Pide usar la licencia A Devuelve la licencia al Recipient (User licence) La Appl. Verifica el RAC en la PC, si no está lo solicita Autentica al cliente
  • Tareas de administración AD RMS 815 AD RMS Trust Policies Exclusion Policies Rights Policy Template
  • Trust Policies en AD RMS 915 Se configura: Permite: Trusted user domains Procesar requerimientos de CLCs (importa SLC del otro server) y procesar licencias de usuarios con RACs (Certificado del server) asegurados por otro Cluster. Trusted publishing Domains Asegurar licencias de uso (importa SLC + Private key ) publicadas x otro Server. Windows Live ID Mandar contenido protegido a un usuario que tenga Windows Live ID. Federated trust Crear confianza entre 2 Forest en donde uno no tiene RMS EL Root RMS Cluster asegura el RAC al usuario, pero por default AD RMS no recibe RACs de otro Root AD RMS cluster.
  • Interacción de un usuario de dominio confiado Northwind Traders Contoso Por default un RMS no asegura “licencias de uso” a usuarios cuyos RACs fueron asegurados por otro RMS cluster Contoso envía su SLC a Northwind Traders (firma licencias y certificados) 1 Alice@nwtraders.msft envía contenido RMS a Bob@contoso.com 3 [email_address] envía la “Licencia de Publicación” y RAC pidiendo la “Licencia de Uso” de Northwind Traders 4 El Server usa el SLC importado para verificarel RAC de Bob y devolver su Licencia de Uso 5 Northwind Traders importa el SLC 2 Contoso Contoso
  • Interacción de una Publicación de dominio confiada Contoso Por default un RMS no asegura “licencias de uso” contra licencias aseguradas por otro RMS en un cluster diferente 1115 Contoso importa la llave privada y el SLC (firma licencias y certificados) 2 Alice@nwtraders.msft envía contenido RMS a Bob@contoso.com 3 Bob@contoso.com envía la “Licencia de Publicación” y RAC pidiendo la “Licencia de Uso” desde Northwind Traders 4 Contoso usa la llave privada importada para desencriptar la “Licencia de Publicación y asegura la “Licencia de Uso” 5 Northwind Traders exporta la llave privada y el SLC 1 Northwind Traders NwTraders NwTraders NwTraders
  • Consola de AD RMS 1215
  • Consola de AD RMS 1315
  • Consola de AD RMS 1415
  • Implementando AD RMS con AD FS 1515
    • Asignar un certificado SSL al sitio Web que hostea el clúster AD RMS.
    • Instalar y configurar AD RMS.
    • Garantizar los permisos de la cuenta de servicio AD RMS para generar auditoría de seguridad.
    • En el AD FS resource partner , crear una aplicación claims-ware para certificación y licencia.
    • Configurar la URL de la extranet que tiene el AD RMS cluster.
    • Instalar el servicio de “AD RMS Identity Federation Role”
    AD RMS Manufacturer Account Partner Supplier Resource Partner AD FS
  • Contactos
    • Preguntas?
    • http://technet.microsoft.com
    • AD RMS http://technet.microsoft.com/en-us/library/dd772711(WS.10).aspx
    • AD FS http://technet.microsoft.com/en-us/library/cc771628(WS.10).aspx
    • Fabian Casagni Gerente de Marketing
    • 4021-5400 int 1460 [email_address]
  • Cursos Asociados
    • Configuring and Troubleshooting Identity and Access Solutions with Windows Server 2008 Active Directory MOC 6426
    • Overview of Active Directory Rights Management Services with Windows Server 2008 R2 MOC 50404
    • Implementing Active Directory Rights Management Services with Exchange and SharePoint MOC 50403
  • Marcela Berri MCT – MCITP – MCTS [email_address] Gracias!