Personnaliser les pages web d’ADFS 3.0

Planet Très bon article récap de Maxime Rastello sur la personnalisation des page web ADFS 3.0. C’est à noté, car la dernière fois que j’ai fait cela pour un client (il y a 2 ans), les ressources sur le net concernant ce type de personnalisation étaient très rares, et encore plus rare en français ! L’article est disponible [ Lien vers l’article ADFS 3.0]

Par hasard…. Tools for ADFS

Je suis tombé par hasard (si il existe…) sur le site d’un ISV que je ne connaissais pas et qui semble produire des outils pour ADFS je n’ai pas gratté, mais cela à l’air intéressant:

adfs

Le lien: http://safewhere.com/product/safewhere-adfs2-web-admin/

J’ai l’impression qu’il y a plein de trucs sympas que je ne connais pas !!!  si qq connait, je veux bien un commentaire ou un retour par mail sur le sujet 😉

 

Un SSO pour les applications Cloud relié à Active Directory

Planet  Centrify débarque dans le monde du SSO Cloud et de la Fédération d’Identité avec une solution assez révolutionnaire en terme d’approche: Centrify DirectControl for SaaS.

En effet, l’idée est de réaliser ici depuis votre PC sous Windows, depuis votre Mac, depuis votre station Linux, depuis votre téléphone iOS ou Android ou depuis votre tablette iOS ou Android un SSO vers les applications Cloud de l’entreprise. Ce SSO est possiblement basé sur différentes technologies (dans le backoffice), fédération d’identité, OpenID, Login/Mot de Passe, etc… Le tour de force réside dans différents aspects:

  • Le paramétrage se fait depuis Active Directory: Des GPOs et une MMC vont permettre de paramétrer les différentes options, les paramétrages peuvent aussi se réalisés coté du service Cloud et sont synchronisés entre le service Cloud et Active Directory: la désactivation d’un compte dans Active Directory désactivera l’ensemble des comptes utilisateurs dans les applications Cloud pour cette entreprise, bien utile en terme de sécurité !
  • La solution est extrêmement simple à installer: pas de serveur de fédération, pas de paramétrage complexe, pas de synchronisation d’utilisateur: il suffit d’installer un serveur Proxy dont le rôle est de synchroniser les information Active Directory vers un service Cloud Centrify basé sur Azure, le service Cloud Centrify fait le lien avec les applications SaaS – pas d’infrastructure complexe
  • Le service Cloud Centrify basé sur Azure permet de maintenir à jour les paramètres et le niveau de sécurité sur l’ensemble des devices, même si ils sont en dehors de l’entreprise, dès que ceux-ci se connectent à Internet et donc à Azure

Centrify_for_SaaS

Coté Tablette ou Téléphone, une simple application téléchargée depuis le store ou un navigateur, permettent à l’utilisateur de réaliser toutes les opérations: accès aux applications en SSO, mise à jour des informations utilisateurs, réinitialisation de mot de mot de passe, blocage d’un device perdu ou volé, etc…

Centrify propose une version gratuite de sa solution, la version DirectControl for SaaS, pleinement fonctionnelle, sans limitation dans le temps ou dans le nombre de devices gérés: certaines fonctions pour les grandes entreprise seront uniquement présentes dans la version payante qui sortira en Q2 2013.

Mes premiers tests sur la version express de la solution sont plus que concluants: ce produit est génial – De plus, il fonctionne parfaitement avec Office365, que l’instance Office365 soit paramétrée en mode Login/Password ou en mode Fédération, sauf qu’il n’y pas besoin d’ADFS ou de DirSync V2 !

Enfin, je vous conseille vivement de regarder cette vidéo de démonstration de 5 minutes qui vous donnera une meilleure idée de la solution depuis un PC ou une Tablette:

 

 

 

ADFS Wiki Page

Microsoft a eut la bonne idée de créer des pages Wiki qui recensent de manière exhaustive (ou presque) l’ensemble du contenu en ligne proposé par Microsoft sur des technologies données. Il y a quelques technologies Microsoft où les ressources sont pauvres ou peu accessibles, c’est souvent le cas pour les produits « gratuits ».

Microsoft propose donc une page AD FS 2.0 Content Map qui contient l’ensemble des liens évoquant la technologie ADFS chez Microsoft. Les sujets abordés:

Table of Contents

  • Learn about AD FS 2.0
    • Introduction to AD FS 2.0
    • Overview of AD FS 2.0
    • About Claims and Claim Rules
    • About Claims-Based Identity & Applications
  • Research AD
    FS 2.0 Solutions

    • Integration with Microsoft Cloud Products
      • Office 365
      • Windows Azure Applications Platform
      • Windows Azure Appfabric Access Control Services (ACS)
    • Integration with Microsoft On-Premises Products
      • Active Directory Domain Services (AD DS)
      • Active Directory Rights Management Services (AD RMS)
      • Exchange Server 2010
      • Forefront Identity Manager (FIM)
      • Forefront UAG
      • Microsoft Dynamics CRM 2011
      • SharePoint Server 2007 & Windows SharePoint Services 3.0
      • SharePoint Foundation 2010
      • SharePoint Server 2010
      • Windows Identity Foundation (WIF)
    • Interoperability with Non-Microsoft Products
      • Interop Setup Guidance
      • Interop Test Lab Step-by-Step Guides
    • Case Studies
      • Microsoft IT
  • Design and Deploy AD FS 2.0
    • Plan and Design
    • Deploy
  • Manage AD FS 2.0
    • Certificates
    • Federation Server
    • Federation Server Proxy
    • Federation Service
    • Monitoring
    • Office 365
    • PowerShell
    • Security
    • Sign-in / Sign-out
    • Trusts
  • Troubleshoot AD
    FS 2.0

    • Authentication / Authorization
    • Browser Client Errors
    • Certificates
    • Federation Server Proxy
    • Federation Service
    • ForeFront UAG
    • Installation / Setup
    • Logging / Tracing
    • Office 365
    • Trusts
  • QFEs
    Related to AD FS 2.0
  • Additional AD FS 2.0 References
    • Developer References
    • Software Downloads
    • Related Microsoft Products
    • Related Open Standards
  • Community Resources
    • Forums
    • Blogs
    • Feeds

Sortie de l’Update Rollup 1 pour AD FS 2.0

Microsoft à délivré l’Update Rollup 1 pour AD FS 2.0. En dehors des habituelles corrections de bugs, de nouvelles fonctions extrêmement intéressantes sont apparues dans ce Rollup. On notera que des fonctions stratégiques autour de la fédération avec Office365 surgissent dans cet update.

>> Tout d’abord, les corrections de bug (en anglais):

  • KB2254265 (http://support.microsoft.com/kb/2254265) The « 500 » error code is returned when you send an HTTP SOAP request to the « /adfs/services/trust/mex » endpoint on a computer that is running Windows Server 2008 R2 or Windows Server 2008
  • KB2272757 (http://support.microsoft.com/kb/2272757) An identity-provider-initiated sign-on process is slow in Windows Server 2008 R2 and in Windows Server 2008
  • The « 400 » error code is returned when sending an authentication request to AD FS 2.0 federation server proxy through Windows integrated authentication endpoint (Nego 2)
  • Decrease in performance occurs on AD FS 2.0 federation server when a user who is authenticating has a large number of group memberships.
  • Failure to join an AD FS 2.0 federation server to an existing SQL-based federation server farm when the AD FS 2.0 administrator that tries the join operation does not have admininistrator rights to the SQL Server database.
  • AD FS 2.0 Federation Service cannot create or verify Security Assertion Markup Language (SAML) tokens when the private keys of an AD FS 2.0 token-signing certificate and/or token decryption certificate are stored by using third-party cryptographic service providers (CSP), for example hardware security mode (HSM).

>> Les nouvelles fonctions:

  • Fonction 1: « Multiple Issuer Support for Office365« : Une organisation utilisant une forêts avec des différents domaines et donc différents UPN était obligé d’instancier plusieurs serveurs AD FS 2.0 pour gérer les différents UPN vis à vis d’Office365 – cette nouvelle fonction permet de fournir le SSO entre la forêt de l’organisation et Office365 quelque soit le nombre de domaines différents à gérer. Vous trouverez des informations complémentaires ici
  • Fonction 2: « Client Access Policy Support for Office365« : Cette nouvelle fonction va permettre aux organisations de paramétrer l’utilisation de la fédération ou non pour accéder en SSO à Office365 en fonction de la localisation du client ou même de la nature de l’utilisation du protocole. Vous trouverez des information complémentaires ici
  • Fonction 3: « Congestion Avoidance Algorithm« : Ce nouveau paramètre permet d’ajuster le comportement du Proxy AD FS en fonction de la charge réelle du serveur AD FS2.0 ; Globalement, l’idée est de permettre de réguler la charge ou plutôt d’éviter la surcharge du serveur AD FS 2.0 en ajustant les requêtes provenant du proxy AD FS. Il faut alors modifier le fichier de configuration du proxy AD FS au niveau de la section <microsoft.identityServer.proxy> en rajoutant une ligne telle que:
    <congestionControl latencyThresholdInMSec= »2000″ minCongestionWindowSize= »16″ />

Avec les paramètres ajustables suivants:

  •  Fonction 4: « Additional AD FS 2.0 performance counters« :  Le serveur AD FS 2.0 et le proxy AD FS possèdent maintenant de nouveaux compteurs de performance tels que décrits dans le tableau suivant:

Pour récupérer le hotfix, rendez vous sur le site support de Microsoft ou contactez votre TAM

ADFS: les ressources disponibles en ligne

Comme indiqué il y a quelques semaines, je réalise actuellement un focus sur la partie fédération, notamment sur ADFS V2. Et le moins que l’on puisse dire, c’est que les documents disponibles sont au choix:

1- incomplets

2- faux

3 – inexistants

Le mieux est donc de bâtir sa propre documentation, mais il faut bien partir de qq chose ! vous retrouverez sur ce lien [ ici ] la liste des ressources en ligne sur le thème d’ADFS. Bon courage et bonne lecture.

 

Vidéo: comprendre le modèle de sécurité des « claims » et de la fédération avec Microsoft SharePoint 2010

Ayant travaillé dernièrement sur des spécifications fonctionnelles liées aux différentes méthodes de publication et d’authentification sur SharePoint 2010,  je me suis rendu compte à quel point les notions de Fédération et de publications web fédérées étaient encore réellement obscures pour la majorité de mes interlocuteurs. J’ai donc décidé de prochainement réaliser quelques articles un peu plus techniques et moins stratégiques sur le sujet de la Fédération, notamment dans le cadre de l’utilisation des produits Microsoft: SharePoint, Lync, Office365, UAG, etc…

En attendant, je vous invite à visualiser une vidéo postée hier sur Channel19, la chaine vidéo MSDN généraliste. Cette courte vidéo reprend les éléments de base et vous présente en moins de 20 minutes ce que vous devez savoir pour bien comprendre le principe de l’utilisation des claims avec SharePoint 2010:

Microsoft annonce le support de SAML 2.0 dans Windows Identity Foundation (WIF)

Microsoft a annoncé la mise à disposition en CTP de l’extension WIF pour le protocole SAML 2.0. Cette extension WIF permet aux développeurs .NET pour créer des applications capables de consommer des « Claims » SP-Lite construits sur SAML 2.0.

La CTP est accessible sur Connect.

Si l’on essaie de lire entre les lignes, il y a fort à parier que cette annonce prépare le support pour d’autres technologies que la technologie WS-Fed pour les application Microsoft, et bien sur pour Azure. Nous pouvons même imaginer que cela puisse être vrai pour les applications en ligne dans le Cloud Microsoft (Office 365 for ever). Cela pourrait signifier qu’il serait possible à terme de réaliser du SSO vers Office 365 via des technologies de fédération différentes de ADFS 2.0 (tant que la technologie utilisée est capable de faire de la fédération en mode Web et en mode client lourd, ce qui n’est pas le cas de Shibboleth mais qui est le cas d’ADFS).

Bref, ça bouge chez Microsoft en ce qui concerne la Fédération, et cela est très bon signe pour l’interopérabilité.

Vidéo: Les basiques de l’accès fédéré à Office365 via ADFS et Microsoft Federation Gateway

Une des grandes nouveautés d’Office365 par rapport à BPOS réside dans le support de la fédération, via ADFS, pour accéder aux ressources Office365 hébergées par Microsoft. Cette technique permet globalement aux utilisateurs finaux de bénéficier du Single Sign On (SSO) et aux DSI de ne pas avoir à gérer les règles de gestion des identités des utilisateurs au niveau du cloud de Microsoft.

Cette vidéo présente en des termes extrêmement simples les différentes pièces techniques de la fédération et vous donne les clés pour un premier niveau de compréhension technologique:

How ADFS and the Microsoft Federation Gateway work together up in the Office 365 Cloud. from Steve Plank on Vimeo.

Mot de passe: le maillon faible de la sécurité en ligne…

Multi_password_recoveryUne étude très ressente réalisée par CheckPoint-ZoneAlarm révèle des problèmes très inquiétants en ce qui concerne l’utilisation des mots de passe pour sécuriser l’accès aux applications en ligne.

Cette étude révèle par exemple que 79% des utilisateurs utilisent un mot de passe dit « faible » pour accéder aux applications hébergées (non, je n’ai pas dit le mot Cloud, je fais de la résistance…)  ou encore que 8% des utilisateurs utilisent des mots de passe qui proviennent directement des listes de références en ligne proposant une liste de mots de passe conseillés !

La lecture de cette étude est obligatoire  😉

Bref, « ça fait flipper » – Il y a 6 ans, Bill Gates nous promettait un monde sans mots de passe , nous en sommes loin, car les scénarios utilisateurs et business liés à l’utilisation de la SmartCard ne correspondent pas à la réalité du terrain. Et pourtant – Le mot de passe est dangereux, très dangereux.

Quand cela devient le moyen unique de gérer l’authentification des applications en ligne (non, non et non, je ne dirais pas Cloud), cela devient une espèce de suicide numérique collectif. Au delà de cette situation, ce qui est le plus troublant est que cela n’inquiète pas grand monde… jusqu’au jour où il y a un problème, bien sur.

L’industrie de la sécurité informatique ainsi que les grands acteurs du secteur, Microsoft, Oracle, IBM, Gemalto, HID, etc… doivent nous apporter une solution viable à l’utilisation des facteurs forts d’authentification. Les scénarios de recouvrement, de substitution et d’utilisation de la biométrie doivent permettre d’avancer dans cette voie, encore faut-il qu’il existe une véritable volonté de trouver cette solution universelle et intégrée. Microsoft et les acteurs Linux majeurs doivent notamment intégrer « By Design » des fonctions de recouvrements ne nécessitant pas l’installation des framework tiers pour gérer ces notions: cela est impératif.

Pour égailler votre début d’année, je vous conseille de tester le logiciel MPR ( Multi Password Recovery) afin de « vérifier » la fragilité ou non de vos propre mots de passe. Cela fait rire, ou pleurer, au choix.

Evènement autour de FIM 2010

OCG-logo OCG organise conjointement avec Microsoft, les 22 & 23 septembre prochains un évènement européen autour de FIM 2010.  Cet  » OCG European Identity and Access Summit 2010  » prendra place à Reading, UK. Ne résistant pas aux sirènes marketing du « cloud », le thème de cet annné sera « Identity and Security on Premise and in the Cloud ».

Point important, des membres de l’équipe produit Microsoft Corp seront présents et disponibles pour répondre aux questions. L’agenda semble de qualité, et est accessible ici: http://www.oxfordcomputergroup.com/iasuk/agenda-and-speakers

Chose assez rare, l’évènement est gratuit et entièrement sponsorisé, les inscriptions sont ici: http://www.oxfordcomputergroup.com/iasuk/iasuk-register



Microsoft permettra le SSO sur son offre cloud “Azure”

windows_azure_logo Microsoft implémente le support des identités tierces telles que Google, Facebook, LiveID et OpenID à sa plateforme cloud Azure via une mise à jour du composant Windows Azure AppFabric.

Windows Azure AppFabric est le nom d’un service .NET qui ne permet pour l’instant qu’un service de control d’accès simple. La mise à jour du mois d’Aout va grandement améliorer les processus et les fonctionnalités autour de l’authentification et du control d’accès :

  • Intégration avec Windows Identity Foundation (WIF) et les outils connexes à WIF
  • Support des fournisseurs d’indentité suivants : Windows Live ID, OpenID, Google, Yahoo et FaceBook
  • Support d’ADFS 2.0
  • Support des protocoles OAuth WRAP, WS-Trust et WS-Federation
  • Support des formats SAML 1.1, SAML 2.0 et Simple Web Token (SWT)
  • Fonction « Home Realm Discovery » permettant à l’utilisateur final de choisir son fournisseur d’identité
  • Un service « OData-based Management » permettant un accès via du code à la configuration ACS
  • Un portail web permettant la configuration en ligne d’ACS

Plus d’information (en anglais) sur cette mise à jour [ ici ]

La fédération d’identités en 9 questions

icon_valicert http://www.itrmanager.com propose une serie d’articles (3 articles) proposant une reflexion très interressanet sur la fédération d’identité. Ces 3 articles résumnet bien les questions à se poser lors d’un projet de fédération. Au delà de l’aspect stratégique, ces articles ne font pas l’impasse sur la partie technique, et les principaux protocoles sont bien repertoriés. A LIRE.

Les 3 articles sont accessibles ici:

1 – http://www.itrmanager.com/articles/105984/dossier-1ere-partie-federation-identites-9-questions.html

2 – http://www.itrmanager.com/articles/106016/dossier-2e-partie-federation-identites-9-questions.html

3 – http://www.itrmanager.com/articles/106082/dossier-derniere-partie-federation-identites-9-questions.html

La vision de l’identité numérique chez Microsoft par Kim Cameron

ISSRCe document est basé sur une présentation réalisée par Kim Cameron au Microsoft PDC 2008 [ Microsoft Professional Developers Conference ]  à Los Angeles en Novembre 2008.

Il est principalement orienté pour une audience de développeurs et d’architectes, mais il est « lisible » par toutes les personnes qui s’intéressent à la gestion des identités et des accès.

Vous découvrirez la vision stratégique de Microsoft sur ces sujets, notamment la future infrastructure Geneva et les prévisions autour des « Metasystem », qui représentent la vision des systèmes interopérables tel que l’imagine Microsoft .

Le livre pdf est téléchargeable [ ici ]