Este documento presenta una introducción a las soluciones de identidad y acceso (IDA) de Windows Server 2008, incluyendo Active Directory, Active Directory Lightweight Directory Services, Active Directory Federation Services y Active Directory Rights Management Services. Explica brevemente el propósito y uso de cada tecnología y cómo ayudan a administrar identidades de usuario y controlar el acceso a recursos y aplicaciones de manera segura.

1. Seminario Identity & Access Solutions Marcela Berri MCT – MCITP – MCTS - MAP

2. Agenda Introducción IDA Qué es? Cómo ayuda en la empresa Presentación de los Roles de Windows 2008 para IDA Active Directory Lightweight Directory Services AD LS Uso en el desarrollo de aplicaciones basadas en una estructura de AD. Active Directory Federation Services AD FS Definición: qué es Federation Services? Uso del Rol en el desarrollo de aplicaciones ASP Intervalo Active Directory Rights Management Services AD RMS Uso de documentación compartida Seguridad de los documentos compartidos. Derechos de Autor

3. Overview IDA Identity and Access Solutions con Windows Server 2008

4. Qué es IDA? Identity and Access Solutions Es un grupo de tecnologías y productos que permite manejar la identidad de los usuarios y los privilegios de acceso asociados a una aplicación. Brinda un balance entre seguridad y accesibilidad.

5. Resumen de tecnologías/productos Active Directory Roles Uso Active Directory Domain Services (AD DS) Es la base para las todas soluciones Active Directory Lightweight Directory Services (AD LDS) Soporte para aplicaciones basadas en estructura de directorio (AD) Active Directory Certificate Services (AD CS) Habilita al Active Directory a usar Certificados para proveer control de identificación Active Directory Federation Services (AD FS) Basado en SSO (Single sing-on). Permite compartir recursos sin compartir el AD. Active Directory Rights Management Services (AD RMS) Asegura contenido aún fuera de la estructura del AD.

6. Overview AD CS Active Directory Certificate Services

7. Qué es AD CS? Es un grupo de tecnologías que ayudan a asegurar las comunicaciones corporativas. Es la combinación de Software, tecnologías de encriptación, procesos y servicios que aseguran las diferentes transacciones de una compañía. PKI (Public key Infraestructure) provee: Confidenciabilidad (encripta datos almacenados y transmitidos) Integridad (firma digital) Autenticidad (uso de hash) No-repudiation (uso de hash)

8. Componentes de PKI CA Certificados digitales CRLs (Certified Revocation List) Plantillas de certificados Public Key Aplicaciones y Servicios CA Management Tools

9. Manejo de llaves

10. Overview AD LDS Active Directory Lightweight Directory Services

11. Qué es AD LDS? Conocido anteriormente como ADAM, AD LDS es el rol que brinda el soporte para aplicaciones «Directory-Enable». Provee una base de datos «local» que puede sincronizar contra el Active Directory interno de la compañía. Es posible generar instancias que contienen particiones y un Schema tal cual el Active Directory. AD LDS puede usar el Active para autenticar Windows-based security principals. 16

12. Estructura interna 26 Application Partition 1 Configuration Partition Schema Partition

13. Estructura de LDS Workgroup Member Domain member Domain Controller 36 AD LDS Server Aplicación

14. Configuration Sets 46 Configuration Partition Schema Partition App2 Partition App1 Partition Configuration Set 1 Configuration Partition Schema Partition App2 Partition Instance B Configuration Set 2 Configuration Partition Schema Partition App3 Partition App4 Partition Configuration Partition Schema Partition App3 Partition Instance C ADLDS-SRV2 ADLDS-SRV3 ADLDS-SRV1

15. Consolas de AD LDS 56

16. Resumen Tools Platform Support Access Replication User / Groups Usage Scenarios AD LDS 66

17. Overview AD FS Active Directory Federation Services

18. Qué es AD FS? Solución que habilita a 2 o mas organizaciones a compartir información, manejando identidades digitales basadas en una relación de confianza entre las partes. Permite facilitar la colaboración, mejorar la seguridad y reducir costos. Permite que los usuarios accedan a recursos entre diferentes organizaciones vía clientes basados en web browser, pudiendo acceder a aplicaciones protegidas. 115

19. Esenarios de Identity Federation La idea es no tener que manejar identidades de otras organizaciones. 215 Business-to-Business (B2B) SSO (Forest-Trust) Business-to-Employee (B2E) Web SSO (Forest-Trust) Business-to-Consumer (B2C) Web SSO

20. Esenarios de Identity Federation Para trabajar con socios, proveedores y/o contratistas. Identity Federation provee un solo logon para permitir que los usuarios utilicen sus credenciales corporativas sin exponer esas credenciales ante los otros socios de negocio. Se genera un acuerdo de negocio entre las organizaciones para proveer la comunicación entre ellas. 315 Business-to-Business (B2B) SSO (Forest-Trust)

21. Esenarios de Identity Federation Para trabajar con los usuarios fuera de la oficina. Identity Federation provee recursos sobre Internet, generando un portal de entrada a las distintas aplicaciones internas de la compañía. Acceso seguro a varias las aplicaciones facilitando un solo logon (SSO). Permite además, acceso a aplicaciones que pueden estar en una red perimetral para los usuarios desde dentro de la organización. 415 Business-to-Employee (B2E) Web SSO (Forest-Trust)

22. Esenarios de Identity Federation Para trabajar con usuarios que no son parte de la organización. Identity Federation provee recursos sobre Internet a usuarios que no tienen una cuenta de dominio en ningún forest. Para este escenario, es necesario crear las cuentas de usuario dentro de AD LDS o AD. 515 Business-to-Consumer (B2C) Web SSO

23. Componentes básicos de AD FS 615 Las cuentas de usuario deben existir en AD DS o AD LDS Domain Controller Resource Federation Server Federation Service Proxy Account Partner Resource Partner Web Server Running AD FS Web Service Agent Account Federation Server Federation Trust CLAIM Petición

24. Aplicaciones Claims-Aware Control de Acceso de una aplicación Web-based: Una aplicación Claims-aware es una aplicación ASP.NET que utiliza librerías de ADFS. Acepta peticiones (claims) que el Servicio de Federation envía en tokens de seguridad de ADFS, y puede usar esos «claims» para tomar decisiones de autorización directamente . Una aplicación Windows NT token-based , por el contrario, es una aplicación de Internet Information Services (IIS) que usa mecanismos de autorización nativos de Windows en lugar de peticiones ADFS. 715

25. Aplicaciones Claims-Aware ADFS soporta 3 tipos de Claims: Identity Claim : Hay tres tipos de demandas/peticiones de identidad: Nombre principal de usuario (UPN). Indica un usuario estilo Kerberos UPN, como [email_address] . E-mail. Indica los nombres RFC 2822 estilo e-mail, de forma [email_address] . Nombre común. Indica una cadena arbitraria que se utiliza para la personalización. Ejemplo: John Smith o Empleado de Empresa . Group Claim . Indica la membresía de un usuario en un grupo o rol. Custom Claim . Contiene información personalizada acerca de un usuario, como el número de identificación de un empleado . 815

26. Tráfico AD FS en esenario B2B 915 Federation Trust A. Datum Account Partner Contoso R esource P artner Internet Account Federation Server Cookie ilegítima (pantalla logon) Home Realm Discovery Finaliza HTTP request Redirige al Account Partner Autent. integrada Security token firmado (con Cookie de autent. con los datos del claim) Envía security token para validación Federation crea, firma y asegura un token de seguridad 1 2 4 3 9 5 6 7 8 10 AD DS Domain Controller Web Server / AD FS Agent Resource Federation Server Client HTTPS al Web server chequea cookie

27. Tráfico AD FS en esenario B2E 1015 Federated Web SSO with Forest Trust AD DS Domain Cont Internal Client/Employee (AD FS Web Agent) AD DS Domain Controller Resource Federation Server Account Federation Proxy Server Federation Trust One-Way Forest Trust Internet This perimeter network is its own one-domain forest Separate Active Directory One-Domain Forest Account Federation Server Token de seguridad Recibe Token de seguridad GeneraToken de Autent. 2 1 9 10 3 4 5 6 7 8 11

28. Tráfico AD FS en esenario B2C 1115 Federation Proxy Server Resource Federation Server AD FS Web Agent AD LDS Server Client Web SSO Internet 1 2 3 4 5 6 7 8 9

29. Requerimientos AD FS 1215 Windows Server 2003 R2 Enterprise Edition Windows Server 2003 R2 Datacenter Edition Windows Server 2008 Enterprise Windows Server 2008 Datacenter Requirementos AD FS para Federation Service, Federation Service Proxy, y AD FS Web agent roles: Internet Information Services (IIS) Web site con TLS/SSL configurado Microsoft ® ASP.NET 2.0 Microsoft .NET Framework 2.0

30. Consola AD FS

31. Consola AD FS 1415

32. Consola AD FS 1515

33. Overview AD RMS Active Directory Rigths Management Services

34. Qué es AD RMS? Rights Management provee una solución para proteger y controlar el acceso a información sensitiva de forma persistente. Provee además a las Organizaciones con herramientas que permiten al autor determinar el uso de los derechos y habilitar políticas de confidencialidad. Es la tecnología que permite asegurar digitalmente documentos, e-mails y otros contenidos. 115

35. Cómo se protege con AD RMS? Estableciendo participantes "confiados" dentro del sistema AD RMS. Asignando derechos y condiciones permanentes. Encriptando la información y permitiendo el acceso a los usuarios que tengan derechos a abrir y ver la información. 215

36. información en AD RMS Es posible proteger los siguientes tipos de información: Documentos, planillas, reportes, gráficos, etc. Mensajes de E-mail Contenido almacenado dentro de los servicios de una Intranet que use AD RMS. Ej: Office SharePoint 315

37. Esenarios de uso de AD RMS . 415 Esenario Applicación Característica Asegurar archivos confidenciales Microsoft Office: Word Excel ® PowerPoint Derechos (Ver, Cambiar, Imprimir) Establecer período de validez no-forward / imprimir mensajes de e-mail Microsoft Office Outlook ® Microsoft Exchange Server 2007 Service Pack 1 (SP1) Ayuda a proteger los mensajes confidenciales de correo electrónico que se envían a Internet Ayuda a proteger los mensajes confidenciales de correo electrónico para que no salgan fuera de la empresa Contenido intranet Microsoft Office SharePoint Services Ayuda a asegurar el contenido de intranet restringiendo el acceso a: Ver, Cambiar o Imprimir Soporte para Identity Federation All RMS-enabled applications Active Directory Federation Services (AD FS) Ayuda a proteger datos que están en AD FS trusts

38. Componentes AD RMS 515 AD RMS Client AD RMS Client SQL Server Configuration Data Logging AD RMS Root Cluster Web Server (IIS) --Lockbox-- AD DS AD RMS Licensing-Only Cluster SQL Server AD RMS Client AD RMS Client Genera SCP object en AD Server Licensor Certificate (SLC) (firma las licencias y certificados) Right Account Certificate (RAC) (Contiene la «llave pública» de la PC encriptada con «llave Privada» del usuario ) Client Licensor Certificate (CLC) (Permite que una Appl. firme una licencia sin contactar al server) AD RMS credentials +

39. Esenarios de Implementación Implementación AD RMS en un Forest 1 o mas servers en Cluster (Fault-tolerance – Availability) Implementación AD RMS como Licensing-Only Cluster Proveer un server con distribución de Licencias y serv. de Publicación (Ej. Por sector) Implementación AD RMS en Multiples Forest 2 root clusters que intercambian “Trusted Policies” Implementación AD RMS en Extranet Consumir contenido protegido no conectado a la red interna Implementación AD RMS con AD FS Permite qye Identidades Federadas consuman contenido protegido AD RMS AD FS

40. AD RMS workflow Decripta la Licencia A Re-encripta con Public key del recipient Usuario asegura un Doc (establece credenciales) Encripta con Public key del RMS cluster 715 Autor Recipient 2 3 1 4 5 6 8 7 9 Database Server AD RMS Cluster Active Directory Publicación Consumo Genera una Licencia A de publicación La appl. Encripta con symetric key (AES-128) File Bound (unidos) Publishing Licenses Private key y SLC Trust Policies La Appl. verifica CRL Y abre el archivo La Appl. Pide usar la licencia A Devuelve la licencia al Recipient (User licence) La Appl. Verifica el RAC en la PC, si no está lo solicita Autentica al cliente

41. Tareas de administración AD RMS 815 AD RMS Trust Policies Exclusion Policies Rights Policy Template

42. Trust Policies en AD RMS 915 Se configura: Permite: Trusted user domains Procesar requerimientos de CLCs (importa SLC del otro server) y procesar licencias de usuarios con RACs (Certificado del server) asegurados por otro Cluster. Trusted publishing Domains Asegurar licencias de uso (importa SLC + Private key ) publicadas x otro Server. Windows Live ID Mandar contenido protegido a un usuario que tenga Windows Live ID. Federated trust Crear confianza entre 2 Forest en donde uno no tiene RMS EL Root RMS Cluster asegura el RAC al usuario, pero por default AD RMS no recibe RACs de otro Root AD RMS cluster.

43. Interacción de un usuario de dominio confiado Northwind Traders Contoso Por default un RMS no asegura “licencias de uso” a usuarios cuyos RACs fueron asegurados por otro RMS cluster Contoso envía su SLC a Northwind Traders (firma licencias y certificados) 1 Alice@nwtraders.msft envía contenido RMS a Bob@contoso.com 3 [email_address] envía la “Licencia de Publicación” y RAC pidiendo la “Licencia de Uso” de Northwind Traders 4 El Server usa el SLC importado para verificarel RAC de Bob y devolver su Licencia de Uso 5 Northwind Traders importa el SLC 2 Contoso Contoso

44. Interacción de una Publicación de dominio confiada Contoso Por default un RMS no asegura “licencias de uso” contra licencias aseguradas por otro RMS en un cluster diferente 1115 Contoso importa la llave privada y el SLC (firma licencias y certificados) 2 Alice@nwtraders.msft envía contenido RMS a Bob@contoso.com 3 Bob@contoso.com envía la “Licencia de Publicación” y RAC pidiendo la “Licencia de Uso” desde Northwind Traders 4 Contoso usa la llave privada importada para desencriptar la “Licencia de Publicación y asegura la “Licencia de Uso” 5 Northwind Traders exporta la llave privada y el SLC 1 Northwind Traders NwTraders NwTraders NwTraders

45. Consola de AD RMS 1215

46. Consola de AD RMS 1315

47. Consola de AD RMS 1415

48. Implementando AD RMS con AD FS 1515 Asignar un certificado SSL al sitio Web que hostea el clúster AD RMS. Instalar y configurar AD RMS. Garantizar los permisos de la cuenta de servicio AD RMS para generar auditoría de seguridad. En el AD FS resource partner , crear una aplicación claims-ware para certificación y licencia. Configurar la URL de la extranet que tiene el AD RMS cluster. Instalar el servicio de “AD RMS Identity Federation Role” AD RMS Manufacturer Account Partner Supplier Resource Partner AD FS

49. Contactos Preguntas? http://technet.microsoft.com AD RMS http://technet.microsoft.com/en-us/library/dd772711(WS.10).aspx AD FS http://technet.microsoft.com/en-us/library/cc771628(WS.10).aspx Fabian Casagni Gerente de Marketing 4021-5400 int 1460 [email_address]

50. Cursos Asociados Configuring and Troubleshooting Identity and Access Solutions with Windows Server 2008 Active Directory MOC 6426 Overview of Active Directory Rights Management Services with Windows Server 2008 R2 MOC 50404 Implementing Active Directory Rights Management Services with Exchange and SharePoint MOC 50403

51. Marcela Berri MCT – MCITP – MCTS [email_address] Gracias!