Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
Drive your life.Active Directory Federation Services                 Matthias Gessenay                 Matthias.gessenay@c...
Agendan    Das Problemn    ADFS: Die Lösungn    Technischer Aufbaun    Demon    Anwendungsbereiche                   ...
DAS PROBLEM              3
No Trustn    Trusts sind relativ ungranularn    Trusts sind Server- und nicht Servicebasiertn    Trusts brauchen Poooor...
Geneva FrameworkACTIVE DIRECTORYFEDERATION SERVICES 2.0                          5
ADFSn  Gibt es seit Server 2003n  Hat mit dem Update auf 2.0 (2.1 in Server 2012) ein grosses Update    erfahrenn  Mode...
ADFS – für den User die Claims-Based Identityn  Analogie: Fliegen (mit Flugzeug)    o  Check-In ist die Authentifizierun...
n  2 Begriffe    o  Identität       n  Attributset, das einen User beschreibt   o  Claim       n  Eine Authorität die...
Mehr als Federationn    Früher war die Federation zwischen zwei Organisationen der Treibern    Heute hat sich gezeigt: E...
STS – Security Token Servicen  Ist ein Webservice, der Security Tokens ausstellt, die die Claims    befördern (die die Id...
RP-STS: Relying Partyn  Ist eine Applikation, die Claims braucht    o  “Claims aware application”                       ...
Sign in, so läuft es                       12
Externe Domänen    Mapping läuft auf Gruppenn    Ich habe keine Kontrolle mehr über die Nutzern    Wichtiger: Ich kann ...
Frisch von der TechEd: Kerberos Changes inWindows Server 2012n  There are a number of other changes to Kerberos to enhanc...
Adding Claims to the Kerberos Token                                                     Compound ID                       ...
TECHNISCHER HINTERGRUND                          16
SAMLn  Security Assertion Markup Language (2.0)n  Kann semantisch uneingeschränkte Angaben über einen Benutzer    enthal...
Der Identity Transformern    ADFS sind auch ein Identity Transformern    Claims prinzipiell “übersetzbar” in X.509 und K...
BUSINESS VALUE                 19
Das ist die Zukunft!n  Man kann die Bedeutung von ADFS kaum überschätzenn  Wenn ich nur den Claim Farbe brauche, fordere...
DEMO       21
FRAGEN?          22
Upcoming SlideShare
Loading in …5
×

Active Directory Federation Services

757 views

Published on

In dieser Session lernen Sie die Active Directory Federation Services anhand eines praktischen Beispiels kennen und verstehen die Funktionalität. Dadurch können Sie das Potenzial und die Möglichkeiten für diese unternehmensübergreifende Authentifizierung für Ihr Unternehmen abschätzen.

Published in: Technology
  • Be the first to comment

  • Be the first to like this

Active Directory Federation Services

  1. 1. Drive your life.Active Directory Federation Services Matthias Gessenay Matthias.gessenay@corporatesoftware.ch
  2. 2. Agendan  Das Problemn  ADFS: Die Lösungn  Technischer Aufbaun  Demon  Anwendungsbereiche 2
  3. 3. DAS PROBLEM 3
  4. 4. No Trustn  Trusts sind relativ ungranularn  Trusts sind Server- und nicht Servicebasiertn  Trusts brauchen Poooortsn  Trusts und Webservices sind nicht so smart 4
  5. 5. Geneva FrameworkACTIVE DIRECTORYFEDERATION SERVICES 2.0 5
  6. 6. ADFSn  Gibt es seit Server 2003n  Hat mit dem Update auf 2.0 (2.1 in Server 2012) ein grosses Update erfahrenn  Modelliert im Prinzip eine beliebige Datenbasis als Authentication Providern  Stellt dies als Webservice bereitn  Wir kennen es alle: o  Windows Live ID o  Facebook o  Usw. 6
  7. 7. ADFS – für den User die Claims-Based Identityn  Analogie: Fliegen (mit Flugzeug) o  Check-In ist die Authentifizierung n  Credentials werden gezeigt (Pass) n  Und validiert o  Wir erhalten eine Bordkarte (Signed Claim) n  Sitz usw. n  Kodiert 7
  8. 8. n  2 Begriffe o  Identität n  Attributset, das einen User beschreibt o  Claim n  Eine Authorität die sagt, sie kennt das Attribut und den Wertn  Beispiel: Alter o  Facebook sagt ich bin 25 o  Das zentrale Melderegister sagt, ich bin 35n  Trust heisst, wem ich glauben  Daher ist eine Identität ein Set von Claims 8
  9. 9. Mehr als Federationn  Früher war die Federation zwischen zwei Organisationen der Treibern  Heute hat sich gezeigt: Es ist viel nützlichern  Live ID, Facebook-ID Jn  Bring your own Identity 9
  10. 10. STS – Security Token Servicen  Ist ein Webservice, der Security Tokens ausstellt, die die Claims befördern (die die Identität beschreiben) 10
  11. 11. RP-STS: Relying Partyn  Ist eine Applikation, die Claims braucht o  “Claims aware application” 11
  12. 12. Sign in, so läuft es 12
  13. 13. Externe Domänen  Mapping läuft auf Gruppenn  Ich habe keine Kontrolle mehr über die Nutzern  Wichtiger: Ich kann die Userbase nicht mehr durchsuchenn  Ich kann die RPs gut kontrollierenn  Div. Verbindungen sind möglich 13
  14. 14. Frisch von der TechEd: Kerberos Changes inWindows Server 2012n  There are a number of other changes to Kerberos to enhance day to day operations o  Increase to the maximum Kerberos SSPI context buffer size o  PAC (Privilege account certificate) group compression o  Warning events for large token sizes o  Increased loggingn  Hot topics for me are claims support and delegation
  15. 15. Adding Claims to the Kerberos Token Compound ID PAC contains a user’s Groups group and claims User information Claims + Device information PAC Groups Device ClaimsUser’s group membershipsadded to PAC Authorization based on groupAuthorization based on group membership, user and devicemembership claims
  16. 16. TECHNISCHER HINTERGRUND 16
  17. 17. SAMLn  Security Assertion Markup Language (2.0)n  Kann semantisch uneingeschränkte Angaben über einen Benutzer enthaltenn  Microsoft hat es standardkonform implementiert 17
  18. 18. Der Identity Transformern  ADFS sind auch ein Identity Transformern  Claims prinzipiell “übersetzbar” in X.509 und Kerberosn  1. Frage: Stammt Claim aus vertrauenswürdiger Sourcen  2. Frage: Passt das Formatn  3. Frage: Übersetzung in das Anwendungsformatn  Output wäre als Kerberos, aber auch als X.509 denkbar.n  Mit Regeln kann ich Übersetzungen bauen o  Manager sind bei mir Supervisor 18
  19. 19. BUSINESS VALUE 19
  20. 20. Das ist die Zukunft!n  Man kann die Bedeutung von ADFS kaum überschätzenn  Wenn ich nur den Claim Farbe brauche, fordere ich auch nur den an: Attribut-Diätn  Servicegedanke statt Servergedanken  Heute gibt es viele Identitäten, Konvertierbarkeit ist wichtign  ADFS ist das ADDS von morgenn  Standardkonform 20
  21. 21. DEMO 21
  22. 22. FRAGEN? 22

×