Cette deuxième session aura pour thème une problématique qui m’est chère: La cohabitation des environnements Linux et Windows au sein de la DSI, et ce depuis un angle technique ET organisationnel.

Vous trouverez des détails sur la session et le moyen de vous enregistrez sur le site des Techdays.

Venez très nombreux pour échanger sur cette problématique, les débats risquent d’être animés !

>> Tout d’abord, les corrections de bug (en anglais):

• KB2254265 (http://support.microsoft.com/kb/2254265) The « 500″ error code is returned when you send an HTTP SOAP request to the « /adfs/services/trust/mex » endpoint on a computer that is running Windows Server 2008 R2 or Windows Server 2008

• KB2272757 (http://support.microsoft.com/kb/2272757) An identity-provider-initiated sign-on process is slow in Windows Server 2008 R2 and in Windows Server 2008

• The « 400″ error code is returned when sending an authentication request to AD FS 2.0 federation server proxy through Windows integrated authentication endpoint (Nego 2)

• Decrease in performance occurs on AD FS 2.0 federation server when a user who is authenticating has a large number of group memberships.

• Failure to join an AD FS 2.0 federation server to an existing SQL-based federation server farm when the AD FS 2.0 administrator that tries the join operation does not have admininistrator rights to the SQL Server database.

• AD FS 2.0 Federation Service cannot create or verify Security Assertion Markup Language (SAML) tokens when the private keys of an AD FS 2.0 token-signing certificate and/or token decryption certificate are stored by using third-party cryptographic service providers (CSP), for example hardware security mode (HSM).

>> Les nouvelles fonctions:

• Fonction 1: « Multiple Issuer Support for Office365« : Une organisation utilisant une forêts avec des différents domaines et donc différents UPN était obligé d’instancier plusieurs serveurs AD FS 2.0 pour gérer les différents UPN vis à vis d’Office365 – cette nouvelle fonction permet de fournir le SSO entre la forêt de l’organisation et Office365 quelque soit le nombre de domaines différents à gérer. Vous trouverez des informations complémentaires ici

• Fonction 2: « Client Access Policy Support for Office365« : Cette nouvelle fonction va permettre aux organisations de paramétrer l’utilisation de la fédération ou non pour accéder en SSO à Office365 en fonction de la localisation du client ou même de la nature de l’utilisation du protocole. Vous trouverez des information complémentaires ici

• Fonction 3: « Congestion Avoidance Algorithm« : Ce nouveau paramètre permet d’ajuster le comportement du Proxy AD FS en fonction de la charge réelle du serveur AD FS2.0 ; Globalement, l’idée est de permettre de réguler la charge ou plutôt d’éviter la surcharge du serveur AD FS 2.0 en ajustant les requêtes provenant du proxy AD FS. Il faut alors modifier le fichier de configuration du proxy AD FS au niveau de la section <microsoft.identityServer.proxy> en rajoutant une ligne telle que:
  <congestionControl latencyThresholdInMSec= »2000″ minCongestionWindowSize= »16″ />

Avec les paramètres ajustables suivants:

•  Fonction 4: « Additional AD FS 2.0 performance counters« :  Le serveur AD FS 2.0 et le proxy AD FS possèdent maintenant de nouveaux compteurs de performance tels que décrits dans le tableau suivant:

Pour récupérer le hotfix, rendez vous sur le site support de Microsoft ou contactez votre TAM

1- incomplets

2- faux

3 – inexistants

Le mieux est donc de bâtir sa propre documentation, mais il faut bien partir de qq chose ! vous retrouverez sur ce lien [ ici ] la liste des ressources en ligne sur le thème d’ADFS. Bon courage et bonne lecture.

Lors de recherches rescentes, je suis re-tombé sur 2 articles fort intéressants qui présentent les préquis et les matrices fonctionelles en fonction des versions de Windows et des versions d’Office. Ces éléments sont consultables au travers de ces deux liens:

• AD RMS Client Requirements
• AD RMS and Microsoft Office Deployment Considerations

Très bonne lecture à tous ceux qui s’intéressent de près ou de loin à AD RMS !

En attendant, je vous invite à visualiser une vidéo postée hier sur Channel19, la chaine vidéo MSDN généraliste. Cette courte vidéo reprend les éléments de base et vous présente en moins de 20 minutes ce que vous devez savoir pour bien comprendre le principe de l’utilisation des claims avec SharePoint 2010:

Bon d’accord, le document est en Anglais et non en Français, mais c’est pour en faire profiter le plus grand nombre car il faut bien reconnaitre que les articles du Microsoft Technet ne sont pas toujours très précis. Et puis, cela pourrait être pire… en Néerlandais !

Bonne lecture de ce [ très bon document ]

La société vNext est une jeune société innovante proposant un positionnement bicéphale créateur de logiciels et société de services (principalement dans la sphère Microsoft) – dans le cadre de leur activité de création de logiciel, les membres de cette société ont imaginé une solution permettant de sécuriser l’accès à UAG depuis les terminaux mobiles. Globalement l’idée est d’utiliser les UUIDs des terminaux pour filtrer l’accès à UAG et définir des règles de sécurisation ou de remédiation.

Plus d’informations sur le site web de la société et au travers de cette vidéo:

Bien sur, certaines fonctions ne sont pas présentes, donc pas de possibilité ici de gérer plusieurs UIDs/GIDs, de supporter les SmartCard ou de faire des GPOs sur les systèmes (fonctions intégrées dans la version payante) – néanmoins, il est possible ici de gratuitement intégrer les systèmes hétérogènes dans Active Directory.

Il donc possible de réaliser une intégration transparente dans l’annuaire Microsoft et donc de permettre aux utilisateur d’utiliser le même mot de passe sur tous les systèmes et de profiter d’un SSO utilisateur basé sur kerberos. Cela est déjà génial !

Centrify DirectExpress est téléchargeable [ ICI ]

Si vous voulez en savoir plus sur Centrify DirectExpress avant le déploiement, vous pouvez regarder la vidéo suivante:

La CTP est accessible sur Connect.

Si l’on essaie de lire entre les lignes, il y a fort à parier que cette annonce prépare le support pour d’autres technologies que la technologie WS-Fed pour les application Microsoft, et bien sur pour Azure. Nous pouvons même imaginer que cela puisse être vrai pour les applications en ligne dans le Cloud Microsoft (Office 365 for ever). Cela pourrait signifier qu’il serait possible à terme de réaliser du SSO vers Office 365 via des technologies de fédération différentes de ADFS 2.0 (tant que la technologie utilisée est capable de faire de la fédération en mode Web et en mode client lourd, ce qui n’est pas le cas de Shibboleth mais qui est le cas d’ADFS).

Bref, ça bouge chez Microsoft en ce qui concerne la Fédération, et cela est très bon signe pour l’interopérabilité.