新一代身份驗證機制   - Windows Card Space 曹祖聖 台灣微軟資深講師 [email_address] http://teacher.allok.com.tw MCP, MCP+I, MCSA, MCSE,MCDBA, MC...
大綱 <ul><li>Web  應用程式身份驗證所面臨的問題 </li></ul><ul><li>過去的身份驗證機制 </li></ul><ul><li>什麼是  CardSpace ? </li></ul><ul><li>CardSpace ...
大綱 <ul><li>Web  應用程式身份驗證所面臨的問題 </li></ul><ul><li>過去的身份驗證機制 </li></ul><ul><li>什麼是  CardSpace ? </li></ul><ul><li>CardSpace ...
身份識別上面臨的問題 <ul><li>Internet  太危險了  ! </li></ul><ul><ul><li>小偷、身份偽造、釣魚網站 … </li></ul></ul><ul><ul><li>username + password  ...
我們需要什麼  ? <ul><li>任何人在任何地點都可以使用 </li></ul><ul><li>讓使用者可以  100%  控管自己的身份資料 </li></ul><ul><li>   移除系統之間身份識別障礙 </li></ul>簡單、...
大綱 <ul><li>Web  應用程式身份驗證所面臨的問題 </li></ul><ul><li>過去的身份驗證機制 </li></ul><ul><li>什麼是  CardSpace ? </li></ul><ul><li>CardSpace ...
IIS 7.0  存取控制 <ul><li>檢查來源  IP </li></ul><ul><li>檢查使用者 </li></ul><ul><li>檢查伺服器存取權限 </li></ul><ul><li>檢查共用權限  ( 如果 是  UNC  ...
身份驗證介紹 <ul><li>IIS  中的身份驗證 </li></ul><ul><li>要求進入  IIS </li></ul><ul><li>IIS  將要求轉送到匿名  provider:  </li></ul><ul><ul><li>I...
IIS 7.0  身份驗證流程 NTLM Basic Anonymous IIS Server Core Kerberos Digest Request received by IIS Authentication Providers Pass...
Client IIS  伺服器 default.htm Web  瀏覽器 匿名驗證流程
匿名驗證帳號 <ul><li>匿名帳號 : IUSR_[ 電腦名稱 ] </li></ul><ul><ul><li>IIS  安裝時建立,並加入  Guests  系統群組 </li></ul></ul><ul><ul><ul><li>請注意套...
基本驗證流程 IIS  伺服器 default.htm Web  瀏覽器 Base64  編碼的 使用者名稱和密碼 401 Error
基本驗證 <ul><li>使用  Base64  編碼來傳送密碼 </li></ul><ul><li>優點 </li></ul><ul><ul><li>RFC  相容   (RFC 2617) </li></ul></ul><ul><ul><l...
整合式  Windows  驗證 Negotiate Kerberos NTLM  <ul><li>也可以只用  NTLM ,但不能只用  Kerberos </li></ul><ul><li>兩者都不支援  Web Proxy </li></...
整合式  Windows  驗證 <ul><li>MetaBase  屬性 :  AuthNTLM </li></ul><ul><li>如果同時啓用基本驗證和 整合式  Windows  驗證, Internet Explorer  會使用 整...
NTLM  的行為 <ul><li>連線導向 </li></ul><ul><ul><li>每個要求永遠使用相同連線 </li></ul></ul><ul><ul><li>必須啓動  HTTP Keep-Alives  功能 </li></ul>...
NTLM  的安全性 <ul><li>駭客無法透過封包擷取,來得知密碼的雜湊演算法 </li></ul><ul><li>如果連線斷掉、被修改  ( 透過  Web Proxy) ,那麼  NTLM  就會失敗 </li></ul><ul><li...
NTLM  的驗證過程 Get /Default.HTM Get /Default.HTM w/ AuthNTLM Get /Default.HTM w/ AuthNTLM Hashed 401 – WWW Auth:  NTLM 200 - ...
Kerberos <ul><li>為什麼要另外建立出一個驗證協定 </li></ul><ul><ul><li>NTLM  的限制 </li></ul></ul><ul><ul><ul><li>NTLM Tokens  無法被委派 </li></...
Kerberos <ul><li>用戶端 :  Internet Explorer </li></ul><ul><li>伺服端 :  IIS Server (Active Directory  網域成員 ) </li></ul><ul><li>...
Kerberos  運作機制 IIS  啓動後,當伺服器跟  KDC  做驗證成功後,會取得  ticket Ticket Granting Services Domain Controller  (KDC) IIS Server
Kerberos  運作機制 用戶端向  KDC  要求 存取  IIS  的的  ticket 如果  IIS  是  AD  成員,  KDC  會發出  shared key 用戶端使用匿名身份連線至  IIS IIS  回傳  401 ...
摘要式驗證流程 IIS  伺服器 網域控制站 Active Directory  資料庫 Web  瀏覽器
摘要式驗證 <ul><li>使用雜湊演算法傳送密碼的雜湊碼 </li></ul><ul><ul><li>必要條件 </li></ul></ul><ul><ul><ul><li>IIS Sub-Auth (iissuba - LocalSyste...
進階式摘要式驗證 <ul><li>什麼是進階式摘要式驗證  ? </li></ul><ul><ul><li>使用  MD5  雜湊 </li></ul></ul><ul><ul><li>必要條件 </li></ul></ul><ul><ul><...
憑證驗證 <ul><li>在用戶端安裝有憑證,需要  SSL </li></ul><ul><li>憑證在伺服端可以對應到使用者帳戶 </li></ul>Web Server Domain Controller Client Request: W...
IIS 7.0  驗證比較表
IIS  與  ASP.NET  身份驗證流程 IIS Web  瀏覽器 允許該  IP address  和  domain? 使用者身份驗證通過  ? 否 是 是 否 有 有設定  ASP.NET impersonation ? 沒有 AC...
ASP.NET Authentication Providers <ul><li>ASP.NET 2.0  支援  4  種驗證  Provider </li></ul><ul><ul><li>Windows –  由  IIS  與  AD ...
大綱 <ul><li>Web  應用程式身份驗證所面臨的問題 </li></ul><ul><li>過去的身份驗證機制 </li></ul><ul><li>什麼是  CardSpace ? </li></ul><ul><li>CardSpace ...
CardSpace  的目標 <ul><li>讓網際網路存取更安全 </li></ul><ul><ul><li>讓使用者可以安全的識別與使用網站… </li></ul></ul><ul><li>讓系統與系統之間的連接更安全 </li></ul>...
.NET Passport ? <ul><li>Windows Live ID </li></ul><ul><li>http://www.passport.net </li></ul><ul><li>疑慮  ? </li></ul>
什麼是  Windows CardSpace ? <ul><li>Windows  平台上的身份識別選擇器 </li></ul><ul><ul><li>以卡片的方式呈現出使用者的數位身份 </li></ul></ul><ul><li>當使用選擇...
<ul><li>容易且安全的管理使用者自己的身份識別資料 </li></ul><ul><li>使用在網站與  web services  的身份驗證上 </li></ul>Windows CardSpace 安全 架構在  WS-* Web S...
demo 管理  Windows CardSpace
大綱 <ul><li>Web  應用程式身份驗證所面臨的問題 </li></ul><ul><li>過去的身份驗證機制 </li></ul><ul><li>什麼是  CardSpace ? </li></ul><ul><li>CardSpace ...
真實世界的  STS STS token token STS token token RP
CardSpace  運作流程 Identity Provider (IP) Security Token Service (STS) Relying Party (RP) Client 使用者要存取某項資源 RP  提出身份識別要求 1 2 ...
<ul><li>使用者自行決定是否要信任 </li></ul><ul><ul><li>Relying Party  </li></ul></ul><ul><ul><li>Identity Provider </li></ul></ul><ul>...
demo 使用  Windows CardSpace  登入網站
大綱 <ul><li>Web  應用程式身份驗證所面臨的問題 </li></ul><ul><li>過去的身份驗證機制 </li></ul><ul><li>什麼是  CardSpace ? </li></ul><ul><li>CardSpace ...
Federation by STS Fabrikam Contoso AD/STS ContosoLisa Fabrikam App Linux   STS “ 能不能幫我 …” “ 先從  Fabrikam STS  拿到  token  再...
網站應用 前端  Web  網站 網站 Identity Provider STS Relying Party HTTP/GET  ( 保護頁面 )      轉向到登入頁面 1 HTTP/GET  ( 登入頁面 )   2 登入頁面  ...
網站應用 – 減少對網站的影響 前端  Web  網站 STS 網站 Identity Provider STS Relying Party HTTP/GET  ( 保護的頁面 )      轉向到登入頁面 1 傳出登入頁面  HTML H...
大綱 <ul><li>Web  應用程式身份驗證所面臨的問題 </li></ul><ul><li>過去的身份驗證機制 </li></ul><ul><li>什麼是  CardSpace ? </li></ul><ul><li>CardSpace ...
Login Page < button   onclick =&quot;javascript:return infocardlogin.submit();&quot;> Sign in with your Information Card <...
結論 <ul><li>CardSpace  是全新的身份驗證機制 </li></ul><ul><li>使用者身份資料由使用者自行管理 </li></ul><ul><li>滿足各類型應用程式身份驗證的需求 </li></ul>
在何處取得   TechNet   相關資訊? <ul><li>訂閱  TechNet   資訊技術人快訊   http://www.microsoft.com/taiwan/technet/flash/ </li></ul><ul><li>訂...
 
Upcoming SlideShare
Loading in …5
×

0502 Windwos Server 2008 Card Space 新一代身份驗證機制

2,750 views
2,618 views

Published on

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
2,750
On SlideShare
0
From Embeds
0
Number of Embeds
3
Actions
Shares
0
Downloads
23
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide
  • &lt;SLIDETITLE INCLUDE=7&gt;Windows Server 2008 應用程式相容性 &lt;/SLIDETITLE&gt; &lt;KEYWORDS&gt;&lt;/KEYWORDS&gt; &lt;KEYMESSAGE&gt;&lt;/KEYMESSAGE&gt; &lt;SLIDEBUILDS&gt;0&lt;/SLIDEBUILDS&gt; &lt;SLIDESCRIPT&gt; Hello and Welcome to this Microsoft TechNet session on {insert session title}. My name is {insert name} &lt;/SLIDESCRIPT&gt; &lt;SLIDETRANSITION&gt; &lt;TRANSITION LENGTH=7&gt;Let us start this session by going into more detail on exactly what we will be covering.&lt;/TRANSITION&gt; &lt;/SLIDETRANSITION&gt; &lt;COMMENT&gt;&lt;/COMMENT&gt; &lt;ADDITIONALINFORMATION&gt; &lt;ITEM&gt;&lt;/ITEM&gt; &lt;/ADDITIONALINFORMATION&gt;
  • 0502 Windwos Server 2008 Card Space 新一代身份驗證機制

    1. 1. 新一代身份驗證機制 - Windows Card Space 曹祖聖 台灣微軟資深講師 [email_address] http://teacher.allok.com.tw MCP, MCP+I, MCSA, MCSE,MCDBA, MCAD, MCSD, MCT, MVP
    2. 2. 大綱 <ul><li>Web 應用程式身份驗證所面臨的問題 </li></ul><ul><li>過去的身份驗證機制 </li></ul><ul><li>什麼是 CardSpace ? </li></ul><ul><li>CardSpace 的運作機制 </li></ul><ul><li>各種應用方式 </li></ul><ul><li>登入頁面的改變 </li></ul>
    3. 3. 大綱 <ul><li>Web 應用程式身份驗證所面臨的問題 </li></ul><ul><li>過去的身份驗證機制 </li></ul><ul><li>什麼是 CardSpace ? </li></ul><ul><li>CardSpace 的運作機制 </li></ul><ul><li>各種應用方式 </li></ul><ul><li>登入頁面的改變 </li></ul>
    4. 4. 身份識別上面臨的問題 <ul><li>Internet 太危險了 ! </li></ul><ul><ul><li>小偷、身份偽造、釣魚網站 … </li></ul></ul><ul><ul><li>username + password 的保護太弱 </li></ul></ul><ul><li>企業面臨管理大量身份識別資料的問題 </li></ul>www.antiphishing.org 22% 不購買 25% 不瀏覽
    5. 5. 我們需要什麼 ? <ul><li>任何人在任何地點都可以使用 </li></ul><ul><li>讓使用者可以 100% 控管自己的身份資料 </li></ul><ul><li> 移除系統之間身份識別障礙 </li></ul>簡單、一致、安全的身份識別系統
    6. 6. 大綱 <ul><li>Web 應用程式身份驗證所面臨的問題 </li></ul><ul><li>過去的身份驗證機制 </li></ul><ul><li>什麼是 CardSpace ? </li></ul><ul><li>CardSpace 的運作機制 </li></ul><ul><li>各種應用方式 </li></ul><ul><li>登入頁面的改變 </li></ul>
    7. 7. IIS 7.0 存取控制 <ul><li>檢查來源 IP </li></ul><ul><li>檢查使用者 </li></ul><ul><li>檢查伺服器存取權限 </li></ul><ul><li>檢查共用權限 ( 如果 是 UNC 路徑 ) </li></ul><ul><li>檢查 NTFS 權限 </li></ul>
    8. 8. 身份驗證介紹 <ul><li>IIS 中的身份驗證 </li></ul><ul><li>要求進入 IIS </li></ul><ul><li>IIS 將要求轉送到匿名 provider: </li></ul><ul><ul><li>IIS 建立路徑 (w3svc/1/root) 並且檢查匿名證是否有啓用 </li></ul></ul><ul><ul><li>是 : 提供路徑與 Anon.users token 給 authorization manager </li></ul></ul><ul><ul><li>否 : IIS 將路徑交給其它每一個 provider ,檢查該路徑是否啓用該 provider 提供的驗證 </li></ul></ul><ul><li>每一個有啓用的 provider 檢查查使用者身份 之後,會回傳適當的表頭給 IIS </li></ul>匿名 基本 摘要 Kerberos NTLM Server Core
    9. 9. IIS 7.0 身份驗證流程 NTLM Basic Anonymous IIS Server Core Kerberos Digest Request received by IIS Authentication Providers Passport
    10. 10. Client IIS 伺服器 default.htm Web 瀏覽器 匿名驗證流程
    11. 11. 匿名驗證帳號 <ul><li>匿名帳號 : IUSR_[ 電腦名稱 ] </li></ul><ul><ul><li>IIS 安裝時建立,並加入 Guests 系統群組 </li></ul></ul><ul><ul><ul><li>請注意套用到 Guests 的自訂原則 </li></ul></ul></ul><ul><ul><li>預設狀況下, IUSR 帳號被授予所有資料夾的讀取權限 </li></ul></ul><ul><ul><li>IUSR 帳號也使用在 FTP 伺服器的匿名驗證上 </li></ul></ul><ul><li>IIS Sub-authentication </li></ul><ul><ul><li>避免密碼同步的問題 </li></ul></ul>
    12. 12. 基本驗證流程 IIS 伺服器 default.htm Web 瀏覽器 Base64 編碼的 使用者名稱和密碼 401 Error
    13. 13. 基本驗證 <ul><li>使用 Base64 編碼來傳送密碼 </li></ul><ul><li>優點 </li></ul><ul><ul><li>RFC 相容 (RFC 2617) </li></ul></ul><ul><ul><li>支援透過 Web Proxy </li></ul></ul><ul><ul><li>瀏覽器支援廣泛 </li></ul></ul><ul><ul><li>如果配合 SSL ,是很好的驗證方式 </li></ul></ul><ul><li>缺點 </li></ul><ul><ul><li>使用者需要輸入 Windows 帳號 </li></ul></ul><ul><ul><li>密碼直接傳送,如果沒有 SSL 配合,非常不安全 </li></ul></ul>
    14. 14. 整合式 Windows 驗證 Negotiate Kerberos NTLM <ul><li>也可以只用 NTLM ,但不能只用 Kerberos </li></ul><ul><li>兩者都不支援 Web Proxy </li></ul>要求 首先試試 接下來再試
    15. 15. 整合式 Windows 驗證 <ul><li>MetaBase 屬性 : AuthNTLM </li></ul><ul><li>如果同時啓用基本驗證和 整合式 Windows 驗證, Internet Explorer 會使用 整合式 Windows 驗證 </li></ul><ul><li>NTAuthenticationProviders 屬性 : </li></ul><ul><ul><li>Negotiate,NTLM </li></ul></ul><ul><ul><li>NTLM </li></ul></ul><ul><li>NTAuthenticationProviders 沒有任何管理介面,必須使用 adsutil.vbs 工具或 Metabase Explorer 來修改 </li></ul>
    16. 16. NTLM 的行為 <ul><li>連線導向 </li></ul><ul><ul><li>每個要求永遠使用相同連線 </li></ul></ul><ul><ul><li>必須啓動 HTTP Keep-Alives 功能 </li></ul></ul><ul><li>驗證對話方塊 </li></ul><ul><ul><li>NTLM, 預設不會顯示 </li></ul></ul><ul><ul><li>如果原本要求傳回 401.1 錯誤,則會顯示對話方塊 </li></ul></ul><ul><li>NTLM 如何使用 Domain Username Password </li></ul><ul><ul><li>Domain 和 Username 永遠會在 client 與 server 之間分享 </li></ul></ul><ul><ul><li>Password 則不會,會使用密碼的雜湊碼 </li></ul></ul><ul><ul><li>驗證標頭中會包含 : </li></ul></ul><ul><ul><ul><li>Domain Username HashedPassword </li></ul></ul></ul>
    17. 17. NTLM 的安全性 <ul><li>駭客無法透過封包擷取,來得知密碼的雜湊演算法 </li></ul><ul><li>如果連線斷掉、被修改 ( 透過 Web Proxy) ,那麼 NTLM 就會失敗 </li></ul><ul><li>NTLM 版本 </li></ul><ul><ul><li>Lan Manager – Windows 95 </li></ul></ul><ul><ul><li>NTLM v1 – NT 4.0 </li></ul></ul><ul><ul><li>NTLM v2 – Windows 2000 / 2003 </li></ul></ul>
    18. 18. NTLM 的驗證過程 Get /Default.HTM Get /Default.HTM w/ AuthNTLM Get /Default.HTM w/ AuthNTLM Hashed 401 – WWW Auth: NTLM 200 - OK 401 – Access Denied Client Client IIS Server IIS Server
    19. 19. Kerberos <ul><li>為什麼要另外建立出一個驗證協定 </li></ul><ul><ul><li>NTLM 的限制 </li></ul></ul><ul><ul><ul><li>NTLM Tokens 無法被委派 </li></ul></ul></ul><ul><ul><ul><li>NTLM 只支援 Windows 平台 </li></ul></ul></ul><ul><ul><ul><li>NTLM 不支援其它瀏覽器 </li></ul></ul></ul><ul><li>這是全新的協定嗎 ? </li></ul><ul><ul><li>不是,它只是一個轉換介面,根據用戶端的要求來決定要使用 Kerberos 或 NTLM </li></ul></ul>
    20. 20. Kerberos <ul><li>用戶端 : Internet Explorer </li></ul><ul><li>伺服端 : IIS Server (Active Directory 網域成員 ) </li></ul><ul><li>Active Directory: </li></ul><ul><ul><li>Key Distribution Center (KDC) </li></ul></ul><ul><ul><li>Ticket Granting Service: 負責發出所有的 tickets (aka tokens) </li></ul></ul>
    21. 21. Kerberos 運作機制 IIS 啓動後,當伺服器跟 KDC 做驗證成功後,會取得 ticket Ticket Granting Services Domain Controller (KDC) IIS Server
    22. 22. Kerberos 運作機制 用戶端向 KDC 要求 存取 IIS 的的 ticket 如果 IIS 是 AD 成員, KDC 會發出 shared key 用戶端使用匿名身份連線至 IIS IIS 回傳 401 錯誤,加上 WWWAuth 標頭,要求進行協調 用戶端使用這支 shared key 來建立雜湊碼,並且傳送到 IIS IIS 使用 shared key 來檢查密碼是否正確 Shared Domain Controller (KDC) IIS Server
    23. 23. 摘要式驗證流程 IIS 伺服器 網域控制站 Active Directory 資料庫 Web 瀏覽器
    24. 24. 摘要式驗證 <ul><li>使用雜湊演算法傳送密碼的雜湊碼 </li></ul><ul><ul><li>必要條件 </li></ul></ul><ul><ul><ul><li>IIS Sub-Auth (iissuba - LocalSystem) </li></ul></ul></ul><ul><ul><ul><li>Active Directory </li></ul></ul></ul><ul><ul><ul><li>密碼使用可逆式加密儲存在 AD 資料庫上 </li></ul></ul></ul><ul><ul><li>支援平台 </li></ul></ul><ul><ul><ul><li>Windows 2000 </li></ul></ul></ul><ul><ul><ul><li>Windows 2003 </li></ul></ul></ul>
    25. 25. 進階式摘要式驗證 <ul><li>什麼是進階式摘要式驗證 ? </li></ul><ul><ul><li>使用 MD5 雜湊 </li></ul></ul><ul><ul><li>必要條件 </li></ul></ul><ul><ul><ul><li>IIS 6.0 ( 全新安裝,非升級 !) </li></ul></ul></ul><ul><ul><ul><li>2003 Active Directory Forest </li></ul></ul></ul><ul><ul><ul><li>IIS Sub-Authentication </li></ul></ul></ul><ul><ul><ul><li>建立使用者帳號時事先編譯好雜湊碼 </li></ul></ul></ul><ul><ul><li>RFC 2617 </li></ul></ul><ul><li>UseDigestSSP Metabase 屬性 </li></ul><ul><ul><li>1: 使用進階式摘要式驗證 </li></ul></ul><ul><ul><li>0: 使用摘要式驗證 </li></ul></ul>
    26. 26. 憑證驗證 <ul><li>在用戶端安裝有憑證,需要 SSL </li></ul><ul><li>憑證在伺服端可以對應到使用者帳戶 </li></ul>Web Server Domain Controller Client Request: Welcome.aspx Response: Certificate request Response: Welcome.aspx Request: Login.aspx + Certificate Certificate Validation
    27. 27. IIS 7.0 驗證比較表
    28. 28. IIS 與 ASP.NET 身份驗證流程 IIS Web 瀏覽器 允許該 IP address 和 domain? 使用者身份驗證通過 ? 否 是 是 否 有 有設定 ASP.NET impersonation ? 沒有 ACL 檢查通過 ? 否 是 ASP.NET 執行 ASP.NET 程式 拒絕存取 使用指定帳號 允許存取 使用應用 程式集區帳號
    29. 29. ASP.NET Authentication Providers <ul><li>ASP.NET 2.0 支援 4 種驗證 Provider </li></ul><ul><ul><li>Windows – 由 IIS 與 AD 處理驗證 </li></ul></ul><ul><ul><li>Forms – 使用表單與 Cookie s </li></ul></ul><ul><ul><li>Passport – 使用 Passport 服務 </li></ul></ul><ul><ul><li>自訂 </li></ul></ul><ul><li>在 Web.config 中設定 </li></ul><!-- web.config file --> <authentication mode = &quot;[Windows|Forms|Passport|None]&quot;> </authentication>
    30. 30. 大綱 <ul><li>Web 應用程式身份驗證所面臨的問題 </li></ul><ul><li>過去的身份驗證機制 </li></ul><ul><li>什麼是 CardSpace ? </li></ul><ul><li>CardSpace 的運作機制 </li></ul><ul><li>各種應用方式 </li></ul><ul><li>登入頁面的改變 </li></ul>
    31. 31. CardSpace 的目標 <ul><li>讓網際網路存取更安全 </li></ul><ul><ul><li>讓使用者可以安全的識別與使用網站… </li></ul></ul><ul><li>讓系統與系統之間的連接更安全 </li></ul><ul><ul><li>不論是對內還對外 . </li></ul></ul>
    32. 32. .NET Passport ? <ul><li>Windows Live ID </li></ul><ul><li>http://www.passport.net </li></ul><ul><li>疑慮 ? </li></ul>
    33. 33. 什麼是 Windows CardSpace ? <ul><li>Windows 平台上的身份識別選擇器 </li></ul><ul><ul><li>以卡片的方式呈現出使用者的數位身份 </li></ul></ul><ul><li>當使用選擇卡片時 … </li></ul><ul><ul><li>從 Identity Provider 取得 token </li></ul></ul><ul><ul><li>在使用者確認之後,送交給 Relying Party </li></ul></ul><ul><li>使用者 100% 控制整個流程 ! </li></ul>Security Token Service 使用者 經驗 服務 提供者
    34. 34. <ul><li>容易且安全的管理使用者自己的身份識別資料 </li></ul><ul><li>使用在網站與 web services 的身份驗證上 </li></ul>Windows CardSpace 安全 架構在 WS-* Web Service 通訊協定之上 <ul><li>不再需要 usernames 與 passwords </li></ul><ul><li>一致的登入與註冊方式 </li></ul><ul><li>防止釣魚 </li></ul><ul><li>多重驗證 </li></ul>簡單
    35. 35. demo 管理 Windows CardSpace
    36. 36. 大綱 <ul><li>Web 應用程式身份驗證所面臨的問題 </li></ul><ul><li>過去的身份驗證機制 </li></ul><ul><li>什麼是 CardSpace ? </li></ul><ul><li>CardSpace 的運作機制 </li></ul><ul><li>各種應用方式 </li></ul><ul><li>登入頁面的改變 </li></ul>
    37. 37. 真實世界的 STS STS token token STS token token RP
    38. 38. CardSpace 運作流程 Identity Provider (IP) Security Token Service (STS) Relying Party (RP) Client 使用者要存取某項資源 RP 提出身份識別要求 1 2 使用者 3 檢查那些 IPs 可以滿足要求 ? 使用者選擇 IP 4 5 向該 IP 要求 token 6 根據 RP 要需求傳回 token 7 使用者決定可以送出 token 8 Token 送交給 RP
    39. 39. <ul><li>使用者自行決定是否要信任 </li></ul><ul><ul><li>Relying Party </li></ul></ul><ul><ul><li>Identity Provider </li></ul></ul><ul><li>使用 X.509 憑證進行識別 </li></ul><ul><ul><li>進一步進行對象確認 </li></ul></ul><ul><ul><li>使用 Logos </li></ul></ul><ul><li>Windows CardSpace 會負責追蹤卡片 用到那裡去了 ! </li></ul>選擇卡片 – 安全性
    40. 40. demo 使用 Windows CardSpace 登入網站
    41. 41. 大綱 <ul><li>Web 應用程式身份驗證所面臨的問題 </li></ul><ul><li>過去的身份驗證機制 </li></ul><ul><li>什麼是 CardSpace ? </li></ul><ul><li>CardSpace 的運作機制 </li></ul><ul><li>各種應用方式 </li></ul><ul><li>登入頁面的改變 </li></ul>
    42. 42. Federation by STS Fabrikam Contoso AD/STS ContosoLisa Fabrikam App Linux STS “ 能不能幫我 …” “ 先從 Fabrikam STS 拿到 token 再說 !” “ 請給我一個 Fabrikam token !” “ 請出示您的身份 !” “ 請給我一個 token !” “ 請出示您的身份 !” “ Lisa 您好,有什麼可以為您服務的嗎 ?” SAML SAML Fabrikam Fabrikam
    43. 43. 網站應用 前端 Web 網站 網站 Identity Provider STS Relying Party HTTP/GET ( 保護頁面 )   轉向到登入頁面 1 HTTP/GET ( 登入頁面 )  2 登入頁面 (HTML) + x-informationcard 標籤 5 HTTP/GET|POST 目標頁面 + token 透過 WS-Mex 與 WS-Trust 取得 token 4 客戶資料庫 6 使用者選擇卡片 3
    44. 44. 網站應用 – 減少對網站的影響 前端 Web 網站 STS 網站 Identity Provider STS Relying Party HTTP/GET ( 保護的頁面 )   轉向到登入頁面 1 傳出登入頁面 HTML HTTP/GET ( 登入頁面 )  2 HTTP/GET|POST 目標頁面 + token 8 3 WS-Mex 透過 WS-Trust/RST 傳送 token 透過 WS-Trust/RSTR 取得 token 6 5 透過 WS-Mex 與 WS-Trust 取得 token 客戶資料庫 7 使用者選擇卡片 4
    45. 45. 大綱 <ul><li>Web 應用程式身份驗證所面臨的問題 </li></ul><ul><li>過去的身份驗證機制 </li></ul><ul><li>什麼是 CardSpace ? </li></ul><ul><li>CardSpace 的運作機制 </li></ul><ul><li>各種應用方式 </li></ul><ul><li>登入頁面的改變 </li></ul>
    46. 46. Login Page < button onclick =&quot;javascript:return infocardlogin.submit();&quot;> Sign in with your Information Card </ button > < form name =&quot;infocardlogin&quot; target =&quot;_self&quot; method =&quot;post&quot;> < object type =&quot;application/x-informationcard&quot; name =&quot;xmlToken&quot;> < param name =&quot;tokenType&quot; value =&quot;urn:oasis:names:tc:SAML:1.0:assertion&quot; > < param name =&quot;issuer&quot; value =&quot;http://schemas..../identity/issuer/self&quot; > < param name =&quot;requiredClaims&quot; value =&quot;http://.../claims/givenname, http://.../claims/surname, http://../claims/emailaddress, http://.../claims/privatepersonalidentifier&quot; > </ object > </ form > public partial class Login_aspx : System.Web.UI. Page { protected void Page_Load( object sender, EventArgs e) { string xmlToken = Request[ &quot;xmlToken&quot; ]; Token token = new TokenProcessor . Token (xmlToken); // Lookup the account using the uniqueId string username = MembershipHelper .GetUser(token.UniqueID); if (username != null ) { MembershipUser user = Membership .GetUser(username); // give the cookie back to the browser FormsAuthentication .SetLoginCookie(user.UserName, false ); } } }
    47. 47. 結論 <ul><li>CardSpace 是全新的身份驗證機制 </li></ul><ul><li>使用者身份資料由使用者自行管理 </li></ul><ul><li>滿足各類型應用程式身份驗證的需求 </li></ul>
    48. 48. 在何處取得 TechNet 相關資訊? <ul><li>訂閱 TechNet 資訊技術人快訊 http://www.microsoft.com/taiwan/technet/flash/ </li></ul><ul><li>訂閱 TechNet Plus </li></ul><ul><li>http://www.microsoft.com/taiwan/technet/ </li></ul><ul><li>參加 TechNet 的活 動 http://www.microsoft.com/taiwan/technet/ </li></ul><ul><li>下載 TechNet 研討會簡報與錄影檔 http://www.microsoft.com/taiwan/technet/webcast/ </li></ul>

    ×