Active Directory Federation Server - ITEK - ETH Zürich

itek.ethz.ch

Active Directory Federation Server - ITEK - ETH Zürich

Informatikdienste der ETH Zürich

Active Directory

Federation Server

Tibor Magoc

© ETH Zürich |

Datum 21.11.2012


Agenda

AD und ADFS

Claim basiertes Authentisieren

Zusammenspiel

21.11.2012 Tibor Magoc / ID-BD Mail/ tibor.magoc@id.ethz.ch 2


AD und ADFS

AD (Active Directory)

Kerberos Authentisierung Firmennetzwerk

ADFS (Active Directory Federation Server)

SAML (Claim) Authentisierung

Firmennetzwerk und Firmenübergreifend

21.11.2012 Tibor Magoc / ID-BD Mail/ tibor.magoc@id.ethz.ch 3


AD und ADFS

AD (Active Directory)

Kerberos Authentisierung Firmennetzwerk

- Service Ticket nach der Authentisierung

Kommunikation Client / Kerberos Server

- TGT (Ticket Granting Ticket)

Tickets für Dienste

- No Man-In-The-Middle-Angriffe

21.11.2012 Tibor Magoc / ID-BD Mail/ tibor.magoc@id.ethz.ch 4


AD und ADFS

ADFS (Active Directory Federation Server)

SAML

Security Assertion Markup Language

- 2001 Entwickelt im OASIS-Konsortium

- XML-basiertes-Framework

Austausch von Authentifizierungs- und Autorisierungsinformationen

- Ziele

Single Sign-on, Verteilte Transaktion, Autorisierung

«Vorwiegend nur für WebServices»

21.11.2012 Tibor Magoc / ID-BD Mail/ tibor.magoc@id.ethz.ch 5


AD und ADFS

The official name is the Security Services

Technical Committee (SSTC).

It is sometimes unofficially called the

"SAML TC" or the "SSTC/SAML committee".

21.11.2012 Tibor Magoc / ID-BD Mail/ tibor.magoc@id.ethz.ch 6


Agenda

AD und ADFS

Claim basiertes Authentisieren

AD Objects

21.11.2012 Tibor Magoc / ID-BD Mail/ tibor.magoc@id.ethz.ch 7


Claim basiertes Authentisieren

Benötigte Komponenten

Identity Provider (Idp / IP)

Service Provider (SP/ RP)

Discovery Service (WAYF)

Optionale Komponente

21.11.2012 Tibor Magoc / ID-BD Mail/ tibor.magoc@id.ethz.ch

8


21.11.2012 Tibor Magoc / ID-BD Mail/ tibor.magoc@id.ethz.ch 9


Claim basiertes Authentisieren

Shibboleth

LDAP (LDAPS)


Renationale Datenbank

AD Federation

Active Directory

LDAP

SQL Server

21.11.2012 Tibor Magoc / ID-BD Mail/ tibor.magoc@id.ethz.ch

10


Claim basiertes Authentisieren

Warum ADFS

Sharepoint Claims-based Authorisation

Kommende Microsoft Applikationen

Wie SMB 3.0 Claim Aware

Integration mit Dynamic Access Control

Form Based Authetication

Windows Integrated Authetication

Externe Ressourcen wie Gartner Federation

21.11.2012 Tibor Magoc / ID-BD Mail/ tibor.magoc@id.ethz.ch

12


Agenda

AD und ADFS

Claim basiertes Authentisieren

Zusammenspiel

21.11.2012 Tibor Magoc / ID-BD Mail/ tibor.magoc@id.ethz.ch 13


Zusammenspiel

Zugriff Sharepoint

https://dt-sharepoint-adfs-test.ethz.ch/

Redirect to ADFS

Auswahl ETHZ-aai Redirect to Shibboleth

21.11.2012 Tibor Magoc / ID-BD Mail/ tibor.magoc@id.ethz.ch

15


Zusammenspiel

Authetisierung Redirect to Start URL

21.11.2012 Tibor Magoc / ID-BD Mail/ tibor.magoc@id.ethz.ch 16


Zusammenspiel

21.11.2012 Tibor Magoc / ID-BD Mail/ tibor.magoc@id.ethz.ch 17


21.11.2012 Tibor Magoc / ID-BD Mail/ tibor.magoc@id.ethz.ch 18


ADFS 2012

Neu in Windows 2012


Integration with Dynamic Access Control scenarios

AD DS Issued Claims Work with AD FS

AD FS to consume AD DS claims that are included in Kerberos tickets New CIFS SMB 3.0

Windows 7 / Windows Server 2008 R2 SMB 2.1

Windows 8 / Windows Server 2012 SMB 3.0



Improved installation experience using Server Manager

Additional Windows PowerShell cmdlet tools

21.11.2012 Tibor Magoc / ID-BD Mail/ tibor.magoc@id.ethz.ch 19


21.11.2012 Tibor Magoc / ID-BD Mail/ tibor.magoc@id.ethz.ch


21.11.2012 Tibor Magoc / ID-BD Mail/ tibor.magoc@id.ethz.ch 21


OASIS Konsortium

www.oasis-open.org

Shibboleth

http://shibboleth.net/

Danke

21.11.2012 Tibor Magoc / ID-BD Mail/ tibor.magoc@id.ethz.ch 22

More magazines by this user
Similar magazines