>> Tout d’abord, les corrections de bug (en anglais):

• KB2254265 (http://support.microsoft.com/kb/2254265) The « 500″ error code is returned when you send an HTTP SOAP request to the « /adfs/services/trust/mex » endpoint on a computer that is running Windows Server 2008 R2 or Windows Server 2008

• KB2272757 (http://support.microsoft.com/kb/2272757) An identity-provider-initiated sign-on process is slow in Windows Server 2008 R2 and in Windows Server 2008

• The « 400″ error code is returned when sending an authentication request to AD FS 2.0 federation server proxy through Windows integrated authentication endpoint (Nego 2)

• Decrease in performance occurs on AD FS 2.0 federation server when a user who is authenticating has a large number of group memberships.

• Failure to join an AD FS 2.0 federation server to an existing SQL-based federation server farm when the AD FS 2.0 administrator that tries the join operation does not have admininistrator rights to the SQL Server database.

• AD FS 2.0 Federation Service cannot create or verify Security Assertion Markup Language (SAML) tokens when the private keys of an AD FS 2.0 token-signing certificate and/or token decryption certificate are stored by using third-party cryptographic service providers (CSP), for example hardware security mode (HSM).

>> Les nouvelles fonctions:

• Fonction 1: « Multiple Issuer Support for Office365« : Une organisation utilisant une forêts avec des différents domaines et donc différents UPN était obligé d’instancier plusieurs serveurs AD FS 2.0 pour gérer les différents UPN vis à vis d’Office365 – cette nouvelle fonction permet de fournir le SSO entre la forêt de l’organisation et Office365 quelque soit le nombre de domaines différents à gérer. Vous trouverez des informations complémentaires ici

• Fonction 2: « Client Access Policy Support for Office365« : Cette nouvelle fonction va permettre aux organisations de paramétrer l’utilisation de la fédération ou non pour accéder en SSO à Office365 en fonction de la localisation du client ou même de la nature de l’utilisation du protocole. Vous trouverez des information complémentaires ici

• Fonction 3: « Congestion Avoidance Algorithm« : Ce nouveau paramètre permet d’ajuster le comportement du Proxy AD FS en fonction de la charge réelle du serveur AD FS2.0 ; Globalement, l’idée est de permettre de réguler la charge ou plutôt d’éviter la surcharge du serveur AD FS 2.0 en ajustant les requêtes provenant du proxy AD FS. Il faut alors modifier le fichier de configuration du proxy AD FS au niveau de la section <microsoft.identityServer.proxy> en rajoutant une ligne telle que:
  <congestionControl latencyThresholdInMSec= »2000″ minCongestionWindowSize= »16″ />

Avec les paramètres ajustables suivants:

•  Fonction 4: « Additional AD FS 2.0 performance counters« :  Le serveur AD FS 2.0 et le proxy AD FS possèdent maintenant de nouveaux compteurs de performance tels que décrits dans le tableau suivant:

Pour récupérer le hotfix, rendez vous sur le site support de Microsoft ou contactez votre TAM

1- incomplets

2- faux

3 – inexistants

Le mieux est donc de bâtir sa propre documentation, mais il faut bien partir de qq chose ! vous retrouverez sur ce lien [ ici ] la liste des ressources en ligne sur le thème d’ADFS. Bon courage et bonne lecture.

En attendant, je vous invite à visualiser une vidéo postée hier sur Channel19, la chaine vidéo MSDN généraliste. Cette courte vidéo reprend les éléments de base et vous présente en moins de 20 minutes ce que vous devez savoir pour bien comprendre le principe de l’utilisation des claims avec SharePoint 2010:

La CTP est accessible sur Connect.

Si l’on essaie de lire entre les lignes, il y a fort à parier que cette annonce prépare le support pour d’autres technologies que la technologie WS-Fed pour les application Microsoft, et bien sur pour Azure. Nous pouvons même imaginer que cela puisse être vrai pour les applications en ligne dans le Cloud Microsoft (Office 365 for ever). Cela pourrait signifier qu’il serait possible à terme de réaliser du SSO vers Office 365 via des technologies de fédération différentes de ADFS 2.0 (tant que la technologie utilisée est capable de faire de la fédération en mode Web et en mode client lourd, ce qui n’est pas le cas de Shibboleth mais qui est le cas d’ADFS).

Bref, ça bouge chez Microsoft en ce qui concerne la Fédération, et cela est très bon signe pour l’interopérabilité.

Cette vidéo présente en des termes extrêmement simples les différentes pièces techniques de la fédération et vous donne les clés pour un premier niveau de compréhension technologique:

How ADFS and the Microsoft Federation Gateway work together up in the Office 365 Cloud. from Steve Plank on Vimeo.

Cette étude révèle par exemple que 79% des utilisateurs utilisent un mot de passe dit « faible » pour accéder aux applications hébergées (non, je n’ai pas dit le mot Cloud, je fais de la résistance…)  ou encore que 8% des utilisateurs utilisent des mots de passe qui proviennent directement des listes de références en ligne proposant une liste de mots de passe conseillés !

La lecture de cette étude est obligatoire 

Bref, « ça fait flipper » – Il y a 6 ans, Bill Gates nous promettait un monde sans mots de passe , nous en sommes loin, car les scénarios utilisateurs et business liés à l’utilisation de la SmartCard ne correspondent pas à la réalité du terrain. Et pourtant – Le mot de passe est dangereux, très dangereux.

Quand cela devient le moyen unique de gérer l’authentification des applications en ligne (non, non et non, je ne dirais pas Cloud), cela devient une espèce de suicide numérique collectif. Au delà de cette situation, ce qui est le plus troublant est que cela n’inquiète pas grand monde… jusqu’au jour où il y a un problème, bien sur.

L’industrie de la sécurité informatique ainsi que les grands acteurs du secteur, Microsoft, Oracle, IBM, Gemalto, HID, etc… doivent nous apporter une solution viable à l’utilisation des facteurs forts d’authentification. Les scénarios de recouvrement, de substitution et d’utilisation de la biométrie doivent permettre d’avancer dans cette voie, encore faut-il qu’il existe une véritable volonté de trouver cette solution universelle et intégrée. Microsoft et les acteurs Linux majeurs doivent notamment intégrer « By Design » des fonctions de recouvrements ne nécessitant pas l’installation des framework tiers pour gérer ces notions: cela est impératif.

Pour égailler votre début d’année, je vous conseille de tester le logiciel MPR ( Multi Password Recovery) afin de « vérifier » la fragilité ou non de vos propre mots de passe. Cela fait rire, ou pleurer, au choix.

Point important, des membres de l’équipe produit Microsoft Corp seront présents et disponibles pour répondre aux questions. L’agenda semble de qualité, et est accessible ici: http://www.oxfordcomputergroup.com/iasuk/agenda-and-speakers

Chose assez rare, l’évènement est gratuit et entièrement sponsorisé, les inscriptions sont ici: http://www.oxfordcomputergroup.com/iasuk/iasuk-register

Windows Azure AppFabric est le nom d’un service .NET qui ne permet pour l’instant qu’un service de control d’accès simple. La mise à jour du mois d’Aout va grandement améliorer les processus et les fonctionnalités autour de l’authentification et du control d’accès :

• Intégration avec Windows Identity Foundation (WIF) et les outils connexes à WIF
• Support des fournisseurs d’indentité suivants : Windows Live ID, OpenID, Google, Yahoo et FaceBook
• Support d’ADFS 2.0
• Support des protocoles OAuth WRAP, WS-Trust et WS-Federation
• Support des formats SAML 1.1, SAML 2.0 et Simple Web Token (SWT)
• Fonction « Home Realm Discovery » permettant à l’utilisateur final de choisir son fournisseur d’identité
• Un service « OData-based Management » permettant un accès via du code à la configuration ACS
• Un portail web permettant la configuration en ligne d’ACS

Plus d’information (en anglais) sur cette mise à jour [ ici ]

Les 3 articles sont accessibles ici:

1 – http://www.itrmanager.com/articles/105984/dossier-1ere-partie-federation-identites-9-questions.html

2 – http://www.itrmanager.com/articles/106016/dossier-2e-partie-federation-identites-9-questions.html

3 – http://www.itrmanager.com/articles/106082/dossier-derniere-partie-federation-identites-9-questions.html

Il est principalement orienté pour une audience de développeurs et d’architectes, mais il est « lisible » par toutes les personnes qui s’intéressent à la gestion des identités et des accès.

Vous découvrirez la vision stratégique de Microsoft sur ces sujets, notamment la future infrastructure Geneva et les prévisions autour des « Metasystem », qui représentent la vision des systèmes interopérables tel que l’imagine Microsoft .

Le livre pdf est téléchargeable [ ici ]