Une nouvelle vidéo expliquant les protocoles utilisables dans le Cloud dans un contexte DIRaaS

JumpCloud vient de mettre en ligne une vidéo très intéressante exposant les différents services et fonction que doit proposer un annuaire Cloud de type DIRaaS, en listant les différents protocoles utiles dans ce type de mécanismes.

L’idée est de bien comprendre comment migrer l’ensemble des services ou interactions de services habituellement portés par un annuaire local (LDAP, Radius, etc…) vers un annuaire de type Cloud et d’assimiler la liste des protocoles utiliser.

A la vue de cette vidéo, on se rend bien compte de la puissance du système, obtenir l’ensemble des services habituelles d’un Active Directory ou d’un OpenLDAP sous forme de service SaaS.

Un SSO pour les applications Cloud relié à Active Directory

Planet  Centrify débarque dans le monde du SSO Cloud et de la Fédération d’Identité avec une solution assez révolutionnaire en terme d’approche: Centrify DirectControl for SaaS.

En effet, l’idée est de réaliser ici depuis votre PC sous Windows, depuis votre Mac, depuis votre station Linux, depuis votre téléphone iOS ou Android ou depuis votre tablette iOS ou Android un SSO vers les applications Cloud de l’entreprise. Ce SSO est possiblement basé sur différentes technologies (dans le backoffice), fédération d’identité, OpenID, Login/Mot de Passe, etc… Le tour de force réside dans différents aspects:

  • Le paramétrage se fait depuis Active Directory: Des GPOs et une MMC vont permettre de paramétrer les différentes options, les paramétrages peuvent aussi se réalisés coté du service Cloud et sont synchronisés entre le service Cloud et Active Directory: la désactivation d’un compte dans Active Directory désactivera l’ensemble des comptes utilisateurs dans les applications Cloud pour cette entreprise, bien utile en terme de sécurité !
  • La solution est extrêmement simple à installer: pas de serveur de fédération, pas de paramétrage complexe, pas de synchronisation d’utilisateur: il suffit d’installer un serveur Proxy dont le rôle est de synchroniser les information Active Directory vers un service Cloud Centrify basé sur Azure, le service Cloud Centrify fait le lien avec les applications SaaS – pas d’infrastructure complexe
  • Le service Cloud Centrify basé sur Azure permet de maintenir à jour les paramètres et le niveau de sécurité sur l’ensemble des devices, même si ils sont en dehors de l’entreprise, dès que ceux-ci se connectent à Internet et donc à Azure

Centrify_for_SaaS

Coté Tablette ou Téléphone, une simple application téléchargée depuis le store ou un navigateur, permettent à l’utilisateur de réaliser toutes les opérations: accès aux applications en SSO, mise à jour des informations utilisateurs, réinitialisation de mot de mot de passe, blocage d’un device perdu ou volé, etc…

Centrify propose une version gratuite de sa solution, la version DirectControl for SaaS, pleinement fonctionnelle, sans limitation dans le temps ou dans le nombre de devices gérés: certaines fonctions pour les grandes entreprise seront uniquement présentes dans la version payante qui sortira en Q2 2013.

Mes premiers tests sur la version express de la solution sont plus que concluants: ce produit est génial – De plus, il fonctionne parfaitement avec Office365, que l’instance Office365 soit paramétrée en mode Login/Password ou en mode Fédération, sauf qu’il n’y pas besoin d’ADFS ou de DirSync V2 !

Enfin, je vous conseille vivement de regarder cette vidéo de démonstration de 5 minutes qui vous donnera une meilleure idée de la solution depuis un PC ou une Tablette:

 

 

 

ADFS Wiki Page

Microsoft a eut la bonne idée de créer des pages Wiki qui recensent de manière exhaustive (ou presque) l’ensemble du contenu en ligne proposé par Microsoft sur des technologies données. Il y a quelques technologies Microsoft où les ressources sont pauvres ou peu accessibles, c’est souvent le cas pour les produits « gratuits ».

Microsoft propose donc une page AD FS 2.0 Content Map qui contient l’ensemble des liens évoquant la technologie ADFS chez Microsoft. Les sujets abordés:

Table of Contents

  • Learn about AD FS 2.0
    • Introduction to AD FS 2.0
    • Overview of AD FS 2.0
    • About Claims and Claim Rules
    • About Claims-Based Identity & Applications
  • Research AD
    FS 2.0 Solutions

    • Integration with Microsoft Cloud Products
      • Office 365
      • Windows Azure Applications Platform
      • Windows Azure Appfabric Access Control Services (ACS)
    • Integration with Microsoft On-Premises Products
      • Active Directory Domain Services (AD DS)
      • Active Directory Rights Management Services (AD RMS)
      • Exchange Server 2010
      • Forefront Identity Manager (FIM)
      • Forefront UAG
      • Microsoft Dynamics CRM 2011
      • SharePoint Server 2007 & Windows SharePoint Services 3.0
      • SharePoint Foundation 2010
      • SharePoint Server 2010
      • Windows Identity Foundation (WIF)
    • Interoperability with Non-Microsoft Products
      • Interop Setup Guidance
      • Interop Test Lab Step-by-Step Guides
    • Case Studies
      • Microsoft IT
  • Design and Deploy AD FS 2.0
    • Plan and Design
    • Deploy
  • Manage AD FS 2.0
    • Certificates
    • Federation Server
    • Federation Server Proxy
    • Federation Service
    • Monitoring
    • Office 365
    • PowerShell
    • Security
    • Sign-in / Sign-out
    • Trusts
  • Troubleshoot AD
    FS 2.0

    • Authentication / Authorization
    • Browser Client Errors
    • Certificates
    • Federation Server Proxy
    • Federation Service
    • ForeFront UAG
    • Installation / Setup
    • Logging / Tracing
    • Office 365
    • Trusts
  • QFEs
    Related to AD FS 2.0
  • Additional AD FS 2.0 References
    • Developer References
    • Software Downloads
    • Related Microsoft Products
    • Related Open Standards
  • Community Resources
    • Forums
    • Blogs
    • Feeds

Cloud Identity Summit 2012

  Le Cloud Identity Summit 2012 tient place du 16 au 19 Juillet à Vail dans le Colorado, USA. Cet évènement est en fait organisé par Ping Identity, la société leader dans la fourniture de solutions de fédération d’identité pour les applications en ligne (Cloud Public) notamment. Néanmoins, la société Ping Identity joue le jeux de la comparaison et a su construire un panel très intéressant de sponsors. Pour ceux qui n’y sont pas, regardez bien l’année prochaine, car je suis certain que cela va devenir un évènement majeur dans le monde de la gestion des identités – un peu ce que NetPro avait réussi à construire avec la Directory Experts Conference et les technologies d’Annuaires et Active Directory.

Le programme me semble vraiment très bien conçu, j’essaierai d’en être l’année prochaine !

Pour suivre l’évènement sur Twitter: #CIS2012

Active Directory dans le nuage, est ce bien raisonnable ?

Le service d’authentification rattaché à l’offre de Cloud Public de Microsoft, dont Office365, vient de changer de nom: il s’appelle dorénavant Windows Azure Active Directory (WAAD), et oui, carrément !

Attention, pas de confusion, pour l’instant il s’agit toujours d’un annuaire différent de l’annuaire « On premise » – En clair, il faut implémenter le service de synchronisation fournit par Microsoft afin de faire du push des comptes Utilisateurs et Groupes depuis l’Active Directory On Premise vers « l’annuaire » WAAD dans le nuage de Microsoft, et les fonctions ne sont pas les même.

Vous trouvez cela nuageux ? vous n’avez encore rien vu !

pour le push des objets, vous utiliserez le composant DirSync V2, qui est en fait un packaging spécifique du moteur de synchronisation d’ILM (oui, j’ai bien dit ILM, pas FIM, donc 32bits only) réalisé par l’équipe Cloud de Microsoft US. Cette synchronisation vous permettra alors de provisionner « automatiquement » une partie de vos objets dans l’annuaire en ligne utilisé par vos applications hébergées sur le service en ligne de Microsoft (ah, oui, j’oubliai, on ne dit plus ASP ou service en ligne, on dit Cloud…)

Pour un certain nombre de raisons techniques, cette synchronisation est actuellement obligatoire pour faire ensuite de la fédération d’identité et donc du SSO basé sur un scénario de fédération entre l’annuaire Active Directory local et le service d’annuaire dans le « cloud » de Microsoft.

Depuis quelques mois, une nouvelle brique à fait son apparition, il s’agit de ACS 2.0, pour être tout à fait honnête, je n’ai pas encore totalement intégré les subtilités fonctionnelles additionnelles de ce composant (d’ailleurs si certains veulent laisser des commentaires sur ce post…) à part le fait que je devrais être en théorie capable de fédérer des fournisseurs des services tel que Google ou Facebook, ce que je n’ai pas réussi à faire… et on ne peut pas dire que la documentation sur ce sujet me brule les yeux…

Bref, cela avance à petit pas, mais cela avance.

Le changement de nom du service d’authentification en Windows Azure Active Directory semble vouloir démontrer un futur « véritable » Active Directory dans le cloud de Microsoft. Pourquoi ne pas imaginer avoir des contrôleurs de domaine répliquant directement les informations « On premise » vers le cloud de Microsoft, au delà de la Fédération qui reste compliqué à implémenter pour beaucoup d’entreprises; pourquoi ne pas imaginer une abolition des frontières classique en terme de couverture d’annuaire ?

Pourquoi ne pas l’imaginer, oui, mais… est ce souhaitable ? c’est là pour moi la vraie question… j’avoue être assez émerveillé (ou horrifié, cela dépend…) par le peu de précaution que prennent les organisations avec ce type de sujet. Je vous laisse seul juge, mais voulez vous vraiment mettre votre Active Directory dans le nuage ???

Sortie de l’Update Rollup 1 pour AD FS 2.0

Microsoft à délivré l’Update Rollup 1 pour AD FS 2.0. En dehors des habituelles corrections de bugs, de nouvelles fonctions extrêmement intéressantes sont apparues dans ce Rollup. On notera que des fonctions stratégiques autour de la fédération avec Office365 surgissent dans cet update.

>> Tout d’abord, les corrections de bug (en anglais):

  • KB2254265 (http://support.microsoft.com/kb/2254265) The « 500 » error code is returned when you send an HTTP SOAP request to the « /adfs/services/trust/mex » endpoint on a computer that is running Windows Server 2008 R2 or Windows Server 2008
  • KB2272757 (http://support.microsoft.com/kb/2272757) An identity-provider-initiated sign-on process is slow in Windows Server 2008 R2 and in Windows Server 2008
  • The « 400 » error code is returned when sending an authentication request to AD FS 2.0 federation server proxy through Windows integrated authentication endpoint (Nego 2)
  • Decrease in performance occurs on AD FS 2.0 federation server when a user who is authenticating has a large number of group memberships.
  • Failure to join an AD FS 2.0 federation server to an existing SQL-based federation server farm when the AD FS 2.0 administrator that tries the join operation does not have admininistrator rights to the SQL Server database.
  • AD FS 2.0 Federation Service cannot create or verify Security Assertion Markup Language (SAML) tokens when the private keys of an AD FS 2.0 token-signing certificate and/or token decryption certificate are stored by using third-party cryptographic service providers (CSP), for example hardware security mode (HSM).

>> Les nouvelles fonctions:

  • Fonction 1: « Multiple Issuer Support for Office365« : Une organisation utilisant une forêts avec des différents domaines et donc différents UPN était obligé d’instancier plusieurs serveurs AD FS 2.0 pour gérer les différents UPN vis à vis d’Office365 – cette nouvelle fonction permet de fournir le SSO entre la forêt de l’organisation et Office365 quelque soit le nombre de domaines différents à gérer. Vous trouverez des informations complémentaires ici
  • Fonction 2: « Client Access Policy Support for Office365« : Cette nouvelle fonction va permettre aux organisations de paramétrer l’utilisation de la fédération ou non pour accéder en SSO à Office365 en fonction de la localisation du client ou même de la nature de l’utilisation du protocole. Vous trouverez des information complémentaires ici
  • Fonction 3: « Congestion Avoidance Algorithm« : Ce nouveau paramètre permet d’ajuster le comportement du Proxy AD FS en fonction de la charge réelle du serveur AD FS2.0 ; Globalement, l’idée est de permettre de réguler la charge ou plutôt d’éviter la surcharge du serveur AD FS 2.0 en ajustant les requêtes provenant du proxy AD FS. Il faut alors modifier le fichier de configuration du proxy AD FS au niveau de la section <microsoft.identityServer.proxy> en rajoutant une ligne telle que:
    <congestionControl latencyThresholdInMSec= »2000″ minCongestionWindowSize= »16″ />

Avec les paramètres ajustables suivants:

  •  Fonction 4: « Additional AD FS 2.0 performance counters« :  Le serveur AD FS 2.0 et le proxy AD FS possèdent maintenant de nouveaux compteurs de performance tels que décrits dans le tableau suivant:

Pour récupérer le hotfix, rendez vous sur le site support de Microsoft ou contactez votre TAM

ADFS: les ressources disponibles en ligne

Comme indiqué il y a quelques semaines, je réalise actuellement un focus sur la partie fédération, notamment sur ADFS V2. Et le moins que l’on puisse dire, c’est que les documents disponibles sont au choix:

1- incomplets

2- faux

3 – inexistants

Le mieux est donc de bâtir sa propre documentation, mais il faut bien partir de qq chose ! vous retrouverez sur ce lien [ ici ] la liste des ressources en ligne sur le thème d’ADFS. Bon courage et bonne lecture.

 

Vidéo: comprendre le modèle de sécurité des « claims » et de la fédération avec Microsoft SharePoint 2010

Ayant travaillé dernièrement sur des spécifications fonctionnelles liées aux différentes méthodes de publication et d’authentification sur SharePoint 2010,  je me suis rendu compte à quel point les notions de Fédération et de publications web fédérées étaient encore réellement obscures pour la majorité de mes interlocuteurs. J’ai donc décidé de prochainement réaliser quelques articles un peu plus techniques et moins stratégiques sur le sujet de la Fédération, notamment dans le cadre de l’utilisation des produits Microsoft: SharePoint, Lync, Office365, UAG, etc…

En attendant, je vous invite à visualiser une vidéo postée hier sur Channel19, la chaine vidéo MSDN généraliste. Cette courte vidéo reprend les éléments de base et vous présente en moins de 20 minutes ce que vous devez savoir pour bien comprendre le principe de l’utilisation des claims avec SharePoint 2010:

Microsoft annonce le support de SAML 2.0 dans Windows Identity Foundation (WIF)

Microsoft a annoncé la mise à disposition en CTP de l’extension WIF pour le protocole SAML 2.0. Cette extension WIF permet aux développeurs .NET pour créer des applications capables de consommer des « Claims » SP-Lite construits sur SAML 2.0.

La CTP est accessible sur Connect.

Si l’on essaie de lire entre les lignes, il y a fort à parier que cette annonce prépare le support pour d’autres technologies que la technologie WS-Fed pour les application Microsoft, et bien sur pour Azure. Nous pouvons même imaginer que cela puisse être vrai pour les applications en ligne dans le Cloud Microsoft (Office 365 for ever). Cela pourrait signifier qu’il serait possible à terme de réaliser du SSO vers Office 365 via des technologies de fédération différentes de ADFS 2.0 (tant que la technologie utilisée est capable de faire de la fédération en mode Web et en mode client lourd, ce qui n’est pas le cas de Shibboleth mais qui est le cas d’ADFS).

Bref, ça bouge chez Microsoft en ce qui concerne la Fédération, et cela est très bon signe pour l’interopérabilité.

Vidéo: Les basiques de l’accès fédéré à Office365 via ADFS et Microsoft Federation Gateway

Une des grandes nouveautés d’Office365 par rapport à BPOS réside dans le support de la fédération, via ADFS, pour accéder aux ressources Office365 hébergées par Microsoft. Cette technique permet globalement aux utilisateurs finaux de bénéficier du Single Sign On (SSO) et aux DSI de ne pas avoir à gérer les règles de gestion des identités des utilisateurs au niveau du cloud de Microsoft.

Cette vidéo présente en des termes extrêmement simples les différentes pièces techniques de la fédération et vous donne les clés pour un premier niveau de compréhension technologique:

How ADFS and the Microsoft Federation Gateway work together up in the Office 365 Cloud. from Steve Plank on Vimeo.

Livre: « Programming Windows Identity Foundation »

Un livre très intéressant sur la programmation autour de « Windows Identity Foundation »  (WIF) qui permet une approche pragmatique du dév ASP.NET lié à WIF.

Avec l’avènement des solutions de fédération et l’adoption de la plateforme Azure chez certains prestataires, les informations contenues dans ce livre devraient trouver leur public.

Au programme:

Chapter 1 : Claims-Based Identity

  • What Is Claims-Based Identity?
  • WIF Programming Model
  • Summary

Chapter 2 : Core ASP.NET Programming

  • Externalizing Authentication
  • Authorization and Customization

Avec la possibilité de télécharger les codes exemple du livre sur ce lien: http://examples.oreilly.com/9780735627185-files/

 

Microsoft permettra le SSO sur son offre cloud “Azure”

windows_azure_logo Microsoft implémente le support des identités tierces telles que Google, Facebook, LiveID et OpenID à sa plateforme cloud Azure via une mise à jour du composant Windows Azure AppFabric.

Windows Azure AppFabric est le nom d’un service .NET qui ne permet pour l’instant qu’un service de control d’accès simple. La mise à jour du mois d’Aout va grandement améliorer les processus et les fonctionnalités autour de l’authentification et du control d’accès :

  • Intégration avec Windows Identity Foundation (WIF) et les outils connexes à WIF
  • Support des fournisseurs d’indentité suivants : Windows Live ID, OpenID, Google, Yahoo et FaceBook
  • Support d’ADFS 2.0
  • Support des protocoles OAuth WRAP, WS-Trust et WS-Federation
  • Support des formats SAML 1.1, SAML 2.0 et Simple Web Token (SWT)
  • Fonction « Home Realm Discovery » permettant à l’utilisateur final de choisir son fournisseur d’identité
  • Un service « OData-based Management » permettant un accès via du code à la configuration ACS
  • Un portail web permettant la configuration en ligne d’ACS

Plus d’information (en anglais) sur cette mise à jour [ ici ]

La fédération d’identités en 9 questions

icon_valicert http://www.itrmanager.com propose une serie d’articles (3 articles) proposant une reflexion très interressanet sur la fédération d’identité. Ces 3 articles résumnet bien les questions à se poser lors d’un projet de fédération. Au delà de l’aspect stratégique, ces articles ne font pas l’impasse sur la partie technique, et les principaux protocoles sont bien repertoriés. A LIRE.

Les 3 articles sont accessibles ici:

1 – http://www.itrmanager.com/articles/105984/dossier-1ere-partie-federation-identites-9-questions.html

2 – http://www.itrmanager.com/articles/106016/dossier-2e-partie-federation-identites-9-questions.html

3 – http://www.itrmanager.com/articles/106082/dossier-derniere-partie-federation-identites-9-questions.html