Presentation laddar. Vänta.

Presentation laddar. Vänta.

Deep dive into ADFS & DRS (Device Registration Service) in Windows Server 2012 R2 A Federation-Ninja’s warstories from the field… Fredrik ”DXter” Jonsson.

Liknande presentationer


En presentation över ämnet: "Deep dive into ADFS & DRS (Device Registration Service) in Windows Server 2012 R2 A Federation-Ninja’s warstories from the field… Fredrik ”DXter” Jonsson."— Presentationens avskrift:

1 Deep dive into ADFS & DRS (Device Registration Service) in Windows Server 2012 R2 A Federation-Ninja’s warstories from the field… Fredrik ”DXter” Jonsson Senior Security Consultant Sigma IT & Management Sweden AB

2 Hur skiljer sig IAM i molnet generellt? Man administerar inte molntjänsten man använder. Molntjänsten har ingen direktförbindelse (Site-to-Site VPN, svartfiber, etc) till den lokala infrastrukturen. Man vet inte vilket operativsystem, vilken mjukvara, etc, som finns under skalet. Man har väldigt få möjligheter att anpassa systemet efter egna säkerhetskrav gällande identiter (krav på smartcards, etc.). Man har en lägre tillit mot externa tjänster. Man byter leverantörer potentiellt sätt oftare.

3 Active Directory Federation Services 2.x Security Token Service Signing Provider Component (ADFS-STS) Tjänst som utfärdar biljetter – Ge den “något” Användarnamn/lösenord X509 certifikat Kerberosbiljett Annan typ av biljett – Och du får ett “äkthetsintyg” tillbaka SAML SWT WS* Cookie (Något annat) “något”“äkthetsintyg”

4 claims transformation ADFS 2.x title dept tel no. Konsult IS title org tel no. Employee Sigma limit if title == “Employee” AND department == “Sigma”: purchaselimit = “10 000:-” if title == “Manager” AND department == “Sigma”: purchaselimit = “ :-” :-

5 Customer Microsoft Online Services User Sourc e ID NET ID

6 Vad är nytt i ADFS 3.0? Man kan inte längre installera stand alone instanser, endast farmar. ADFS kan nu använda GMSA (Group Managed Service Accounts). IIS är borttaget och ersatt med en egen embedded webserver. GUI:et är utökat, med bland annat stöd för SQL native i wizarden. Utökat PowerShell stöd för ALLT! Nya inloggningssidor. ADFS-Proxyn är död och ersatt av WAP (Web Application Proxy). Ny tjänst – Device Registration Service. Autentiserings inställningar i GUI:et (inget mera hackande i web.config i ADFS). Autentisering görs nu per browsersession, baserad på user agents. Autentication Policies – Ställ dina autentiseringskrav för inloggning utifrån kriterier som RP, grupp, device och location. HRD (Home Realm Discovery) helt omskriven från scratch – möjliggör samma inloggningsflöde till ADFS som i Office 365.


Ladda ner ppt "Deep dive into ADFS & DRS (Device Registration Service) in Windows Server 2012 R2 A Federation-Ninja’s warstories from the field… Fredrik ”DXter” Jonsson."

Liknande presentationer


Google-annonser