1 / 20

State-of-the-Art beveiliging met Windows Identity Foundation

State-of-the-Art beveiliging met Windows Identity Foundation. Michiel van Otegem Patriek van Dorp. michiel@aspnl.com http://michiel.vanotegem.nl @ MichielvOtegem. Patriek.van.dorp@wazug.nl http ://patriekvandorp.net @ pvandorp. Agenda. Beveiligingsuitdagingen van nu

kita
Download Presentation

State-of-the-Art beveiliging met Windows Identity Foundation

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. State-of-the-Art beveiliging met Windows Identity Foundation Michiel van Otegem Patriek van Dorp michiel@aspnl.com http://michiel.vanotegem.nl @MichielvOtegem Patriek.van.dorp@wazug.nl http://patriekvandorp.net @pvandorp

  2. Agenda • Beveiligingsuitdagingen van nu • Wat is Identity Federation en hoe werkt het? • Wat is Windows Identity Foundation? • Hoe werkt WIF? • WIF en Windows Azure • WIF en .NET 4.5 • SHOW ME THE MONEY! (Demo, demo, demo)

  3. Verandering in beveiliging VPN

  4. Verandering in beveiliging VPN

  5. Watwillen we kunnen? • Applicatiesonafhankelijk van authenticatie • Authenticatiekeuzevoor de gebruikers • Enkeleidentiteitvooralleapplicaties • Gegevens gebruiker hergebruiken • Nietallegegevensnaariedereapplicatie • Identiteitgeldig over domeinenheen • Gebruikersbeheerwaar het hoort • Beveiliging van infra naarfunctie/data • Aanvalsvectorenverminderen

  6. Beveiliging met WIF STS Identity Provider Claims Relying Party Login Security Token

  7. Watzijn Claims? • Claims bevatteninformatie over eenidentiteit • Claims zijn name-value pairs (string-string) • Naam is een URI en bepaalt Claim Type • Een claim kanallerleigegevensbevatten • Nietbeperkt tot rollen • Bruikbaar in business logica • Waarheidsgehalte claims hangtaf van STS

  8. Belangrijkeconcepten • IdP (Identity Provider): verzorgtauthenticatie • STS (Security Token Service): geeft tokens uit • Claims Token: Token met gebruikersinformatie • RP (Relying Party): applicatie of service • (Identity) Federation: identiteituitanderdomeintoepassen • IP-STS: STS die ookIdP is • RP-STS: STS voorspecifieke RPs • FP-STS: STS voor het “doorgeven” van identiteit

  9. Domeinbarrieresslechten

  10. Allesdraaitom Trust Client HTTPS HTTPS RP IP-STS Signing Encryption

  11. WIF = .NET Extensie • Beschikbaarvanaf .NET 3.5 • Download: http://bit.ly/wifdownload • SDK beschikbaar met Visual Studio extensies • Download: http://bit.ly/wifsdkdownload • Training Kit download: http://bit.ly/wiftrainingkit • Werkt in ASP.NET en WCF • ASP.NET modules verzorgenauthenticatie • Haakt in op WSFederationBinding in WCF • Tegebruikenvoormakenapplicaties en STS

  12. Zelfdeidentiteit, nieuwjasje Claim IClaimsIdentity IClaimsPrincipal Subject Claims IClaimsIdentity Claim IClaimsIdentity Claim Identities Issuer OriginalIssuer Delegate ClaimType IIdentity AuthenticationType IsAuthenticated Name IPrincipal IsInRole Value Identity ValueType

  13. WIF != Windows Only • WIF werkt op basis van OASIS standaarden • WS-Federation • WS-Trust • Security Assertion Markup Language (SAML) • Werkt met iedere browser (passive federation) • Web services (active federation) interoperabel met o.a. OpenSSO en Websphere

  14. WIF = Uitbreidbaar • Autorisatieextensiesbinnenapplicatie/service • Bewerken/toevoegen claims • Controle op claims via attributen • Implementerenandereprotocollen • BijvoorbeeldOAuth, Facebook, OpenID, DigiD • CTP beschikbaarvoorOAuth

  15. WIF = De toekomst • WIF staatvooreenparadigmaverandering • Identiteitstaatcentraal, nietauthenticatie • Model van WIF is protocol onafhankelijk • Federated Identity maaktmeermogelijk • Cross domain, Constrained delegation/impersonation • In .NET 4.5 integraalonderdeel van framework • Elk Identity object erft van ClaimsIdentity • ASP.NET ondersteuntstandaardIdPs • OAuth, OpenID, Facebook

  16. Welke STS is goed? • Active Directory Federation Services 2.0 • Ondersteunt WS-Federation en SAML WebSSO • Oracle OpenSSO • ThinktectureIdentityServer • Download: http://identityserver.codeplex.com/ • Windows Azure Access Control Service • Ooktegebruikenvoorlokaleapplicaties • Ondersteuntveelgebruikte identity providers • Ondersteuntmeerdereprotocollen/token formats

  17. DEMO, DEMO, DEMO! • Eensimpele web applicatie met WIF • “Gewone” ASP.NET applicatiemaken • STS aanmaken • Applicatieaan STS koppelen • Rollen en Claims gebruiken • Controleren op rol • Authenticeren met de Cloud • ACS configurerenals STS • Inloggen in lokale STS via ACS

  18. Samenvatting • Ontkoppelingapplicaties van beveiliging • Authenticatie over domeinenheen • Flexibel model voor identity gegevens • Belangrijkomgoedtedoorgronden • Identity Federation • Claims • Trust (Signing & Encryption)

  19. VRAGEN???

  20. Bedanktvoor het luisteren Michiel van Otegem Senior Software Architect Sogeti michiel@aspnl.com http://michiel.vanotegem.nl @MichielvOtegem Patriek van Dorp Senior Technology Specialist Sogeti Patriek.van.dorp@wazug.nl http://patriekvandorp.net @pvandorp

More Related