Dans un environnement de type Cloud, la gestion de l'identité fédérée joue un rôle essentiel en permettant aux entreprises d'authentifier leurs utilisateurs (collaborateurs, partenaires et/ou utilisateurs externes) des services Cloud à l'aide du ou des fournisseurs d'identité souhaités. Dans ce contexte, l'échange et la transformation d'attributs d'identité de manière sécurisée et digne de confiance entre le ou les fournisseurs d’identités/d’autorisations et le service considéré constitue une condition importante pour protéger la confidentialité et l’intégration tout en prenant en charge la non-répudiation. Ce rôle central de la fédération est largement indépendamment du modèle de service (IaaS, PaaS et SaaS) et du modèle de déploiement (privé, public et hybride). Cette session s’intéresse aux différents défis à relever, aux approches et modèles possibles pour répondre à des scénarios typiques. Cette session illustrera ces éléments au travers de démonstration s’appuyant sur les offres Cloud Microsoft et des produits et technologies tels qu’Active Directory Federation Services (AD FS) 2.0, Azure AppFabric Access Control Services (ACS) ou encore Windows Identity Foundation (WIF).
2. La fédération d'identité : une nécessité
pour le Cloud
Code Session : SEC2204
Philippe BERAUD Jean-Yves GRASSET
Consultant Architecte Consultant Architecte
Direction Technique et Sécurité Direction Technique et Sécurité
Microsoft France Microsoft France
3. Objectifs de la session
Analyser différents scénarios d’extension de votre
Système d’Information vers le Cloud
Comprendre que l’adoption de services Cloud rend
indispensable la fédération d’identité
Mettre en évidence que l’identité ne se réduit pas à la
notion d’utilisateur et intègre la notion de contexte
Illustrer l’usage de la fédération avec des scénarios
concrets
5. Vers une informatique fédérée
Services Cloud : 3ième priorité technologique des DSI pour
2012
Sous toutes les formes (IaaS, PaaS, SaaS)
Enquête annuelle du Gartner intitulée "Amplifying the Enterprise:
The 2012 CIO Agenda"
80 % des entreprises françaises vont démarrer en 2012 un
projet Cloud selon KPMG
1/3 des projets sur des domaines Cœur de métier
49 % souhaitent investir dans le SaaS, 35 % le IaaS, 31 % le PaaS
7. Vers l’informatique fédérée
Le développement du Cloud est en marche pour transformer de manière
durable et profonde l’informatique
8. Vers l’informatique fédérée
L’économie du Cloud crée l’informatique fédérée
Le Cloud est ce que les fournisseurs informatiques vendent…
…Une informatique fédérée est ce que les entreprises mettent en
place
L’identité joue un rôle central pour la mise en place de
cette informatique fédérée
Avec une expérience transparente pour l’utilisateur
Avec de multiples implications d’intégration en termes
d’authentification, de contrôle d’accès, de protection de
l’information
Transmission sécurisée de crédentités
(credentials), provisioning d’utilisateurs, expression et
9. Vers l’informatique fédérée
Tendances pour les Clouds privés
Capitalisation sur les services d’annuaires de l’entreprise
Tendances au niveau des fournisseurs Cloud
Les fournisseurs exposent leur service sous forme d’API
Ces API sont conçues pour accepter des jetons plutôt que des
mots de passe
Les standards de fédération sont largement exploités pour le
SaaS, et à un niveau moindre pour le PaaS
Fédération d’identité et contrôle d‘accès
Besoin éventuel de synchronisation de comptes (à travers des
environnements hétérogènes)
12. Impacts sur l’identité
Utilisation croissante des applications d’entreprise par les
partenaires et les clients de l’entreprise (collaboration
étendue) : B2B et/ou B2C
S’applique également au Cloud !
L’identité concerne les personnes ET les organisations
Impose de consommer des identités de multiples organisations
Suppose de prendre en charge l’identité choisie "Bring Your Own
Identity" (BYOI)
Entreprise, Web/réseau social, Etat
14. Evolutions résultantes
L’identité
Devient un ensemble de revendications (claims) qui sont
consommées au sein de l’informatique fédérée
Pour l’authentification (unique), la délégation d’identité et le
contrôle d’accès, (voire le peuplement)
Condition pour l’utilisateur final d’une expérience transparente
Expérience d’authentification unique étendue
(BYOI/BYOD), collaboration facilité avec les partenaires
commerciaux, identité transparente entre différents types
d’appareils
Est véhiculée sous forme d’un jeton selon un protocole
15. Identité fondée sur les revendications
2 rôles canoniques
Fournisseur de revendications (Claims
Provider)
Prend en charge des protocoles et
des formats de jetons standards pour
Relation
délivrer les revendications de
confiance
Partie consommatrice (Relying Party)
Requiert et consomme des
revendications pour matérialiser
l’identité en entrée
Suppose une relation entre les deux rôles
Contexte dans lequel la confiance est
établie et les revendications définies
16. Identité fondée sur les revendications
Suppose la prise en charge des standards ouverts
Au niveau format de jetons et protocolaires
Formats de jeton
SAML, OpenID, Simple Web Tokens (SWT), JSON Web Tokens
(JWT), etc.
Protocoles
SAML-P 2.0, WS-Federation, WS-Trust, OAuth(2), Simple Web
Discovery (SWD), OpenID (Connect), etc.
Pour l’intégration et l’interopérabilité en fonction des capacités des
fournisseurs Clouds, des ressources mises en œuvre et invoquées
17. Identité fondée sur les revendications
Accès transparent via l’identité d’entreprise
Utilisation des comptes et des groupes AD
Relation via échange
de métadonnées
19. Modèles d’architecture
3 modèles d’interface avec les
fournisseurs de revendications
1. Modèle de forme libre (Free-form
Model) ou point à point
Chaque partie consommatrice est
configurée directement pour
interagir avec différents
fournisseurs de revendications
20. Modèles d’architecture
3 modèles d’interface avec les
fournisseurs de revendications
2. Structure en étoile (Hub-and-Spoke)
Centralisation de la gestion des
fournisseurs de revendications pour
l’interaction avec les parties
consommatrices
Chaque partie consommatrice
délègue au concentrateur (hub) cette
gestion
Le concentrateur est son unique
fournisseur de revendication
Modèle à la base des passerelles de
fédération
21. Modèles d’architecture
3 modèles d’interface avec les fournisseurs de
revendications
3. Modèle hybride
Selon les parties consommatrices, les fournisseurs Cloud, etc.
Utilisation de courtiers de revendications (Claims brokers) pour
l’abstraction de divers (niveaux de) fournisseurs de
revendications
Adaptation protocolaire, transformation de
revendications, transformations de formats de jetons
22. Quelques illustrations…
Invoquer depuis l’application un service RESTful
Accès via un jeton d’autorisation obtenu à partir de l’identité d’entreprise
amazon
web services
23. amazon
web services
DEMO
Invoquer depuis l’application un service
RESTful
24. Quelques illustrations…
Ouvrir l’application à des partenaires
Utilisation d’ACS comme passerelle de fédération
amazon
web services
25. amazon
web services
DEMO
Ouvrir l’application à des partenaires
26. Quelques illustrations…
Ouvrir l’accès aux clients Google Accounts
Utilisation d’ACS comme passerelle de fédération
amazon
web services
27. amazon
web services
DEMO
Ouvrir l’accès aux clients
28. Autres impacts sur l’identité
Nouveau périmètre de sécurité : la ressource et le contexte
d’accès à la ressource
L’identité n’est donc PAS uniquement une référence pour
l’authentification
Besoin de collecter plus d’information
L’identité s’applique EGALEMENT aux appareils
Avec la consumérisation de l’IT et le "Bring Your Own Device"
(BYOD)
Cf. session SEC2209 demain à 13h00
Besoin d’identifier l’appareil, de connaître son état de santé, son
statut, sa localisation, etc.
Besoin d’augmenter la force d’authentification
Cf. session SEC211 aujourd’hui tout de suite après !
29. Autres impacts sur l’identité
Nouveau périmètre de sécurité : la ressource et le contexte
d’accès à la ressource
L’identité s’applique EGALEMENT au code
Besoin d’identifier son contexte d’exécution
Besoin de connaître son origine, sa nature, son niveau de
privilège, etc.
Besoin de prendre en compte un graphe d’appel
Ex. Application Cloud composite invoquant des services Cloud
s’exécutant depuis le même fournisseur Cloud, d’autres
fournisseurs Cloud, sur site
30. En guise de conclusion
Investir dans la fédération d’identité et les revendications
Conduire des activités de preuves de concepts /
d’évaluation
Commencer à se connecter aux services Cloud
Tirer parti des revendications pour les nouvelles
applications métier pour le Cloud hybride
31. Des ressources Windows Azure gratuites
Testez Windows Azure Abonnés MSDN, vous
gratuitement pendant 90 bénéficiez de Windows
jours Azure
http://aka.ms/ http://aka.ms/
tester-azure-90j activer-azure-msdn
32. Pour aller au-delà
AD FS 2.0
http://www.microsoft.com/adfs
Carte du contenu AD FS 2.0
http://social.technet.microsoft.com/wiki/contents/articles/2735.aspx
Windows Azure Access Control Services (ACS)
http://msdn.com/acs
Carte du contenu ACS
http://social.technet.microsoft.com/wiki/contents/articles/1546.aspx
Windows Identity Foundation (WIF)
http://www.microsoft.com/adfs
Carte du contenu WIF
http://social.technet.microsoft.com/wiki/contents/articles/1546.aspx
33. Pour aller au-delà
Sessions Microsoft TechDays 2011
http://www.microsoft.com/france/mstechdays/showcase/default.aspx
Session ARC203 "Architecture des applications et des services fondés
sur la fédération d'identité et les revendications : une introduction"
Session SEC2306 "Utiliser Active Directory Federation Services 2.0
pour une authentification unique interopérable entre organisations et
dans le Cloud"
Identity Developer Training
http://bit.ly/cWyWZ2
A Guide to Claims-based Identity And Access Control 2nd Edition
http://bit.ly/uHsywx
34. Plus d’informations
Portail Microsoft France Interopérabilité
http://www.microsoft.com/france/interop/
Portail US
http://www.microsoft.com/interop/
Portail Microsoft Spécifications Ouvertes
http://www.microsoft.com/openspecifications
Portail Port 25
http://port25.technet.com/
Portail "Interop Vendor Alliance"
http://interopvendoralliance.com/
Portail "Interoperability Bridges and Labs Center"
http://www.interoperabilitybridges.com/
Weblog Interoperability@Microsoft
http://blogs.msdn.com/b/interoperability/
35. Plus d’informations
Groupe "Forum des architectures applicatives Microsoft"
http://bit.ly/archiappms
Ce forum regroupe des architectes en informatique qui ont des choix de technologies à faire dans les projets pour lesquels ils
travaillent.
L’architecte applicatif, en situation de projet, travaille typiquement aux côtés de la direction de projet pour choisir et assumer des
choix techniques en fonction des contraintes du projet (fonctionnalités, délais, ressources). Pour effectuer ces choix à bon escient, il
doit connaître ce que le marché offre en termes de technologies. Cela peut prend typiquement deux formes : veille technologique
continue, recherches dans le cadre du projet.
L’architecte applicatif a aussi pour rôle de faire le lien entre les équipes de développement et les équipes d’infrastructure et
d’exploitation de la future application. Il doit également veiller à ce que ses choix soient bien mis en œuvre pendant le
développement.
Ce forum, à l’initiative de Microsoft France, a pour but d’aider les architectes applicatifs
• A faciliter la connaissance de l’offre de Microsoft pour les projets en entreprise (envoi de liens vers des
présentations, documents, webcasts, conférences, etc.), mais également
• A échanger sur des problématique d’architecture ayant un rapport, même partiel, avec la plateforme Microsoft (est-ce que AD FS
2.0 fonctionne dans un environnement SAML-P 2.0, comment se passe la réversibilité d’une application développée pour le
Cloud, quelles sont les implications d’un déploiement sur une ferme Web, etc.).
Cet espace est le vôtre, faites le vivre, nous sommes aussi et surtout là pour vous lire.