A Federation-Ninja’s warstories from the field… Fredrik ”DXter” Jonsson Senior Security Consultant Sigma IT & Management Sweden AB Deep dive into ADFS & DRS (Device Registration Service) in Windows Server 2012 R2 A Federation-Ninja’s warstories from the field…
Hur skiljer sig IAM i molnet generellt? Man administerar inte molntjänsten man använder. Molntjänsten har ingen direktförbindelse (Site-to-Site VPN, svartfiber, etc) till den lokala infrastrukturen. Man vet inte vilket operativsystem, vilken mjukvara, etc, som finns under skalet. Man har väldigt få möjligheter att anpassa systemet efter egna säkerhetskrav gällande identiter (krav på smartcards, etc.). Man har en lägre tillit mot externa tjänster. Man byter leverantörer potentiellt sätt oftare.
Active Directory Federation Services 2 Active Directory Federation Services 2.x Security Token Service Signing Provider Component (ADFS-STS) Tjänst som utfärdar biljetter Ge den “något” Användarnamn/lösenord X509 certifikat Kerberosbiljett Annan typ av biljett Och du får ett “äkthetsintyg” tillbaka SAML SWT WS* Cookie (Något annat) “något” “äkthetsintyg”
claims transformation E-mail dxter@abc.com email dxter@abc.com title Konsult title Employee dept IS org Sigma ADFS 2.x tel no. 076 858 22 99 tel no. +46 76 858 22 99 limit 10 000:- if title == “Employee” AND department == “Sigma”: purchaselimit = “10 000:-” if title == “Manager” AND department == “Sigma”: purchaselimit = “100 000:-”
Identity Federation Authentication flow (Passive/Web profile) Customer Microsoft Online Services User Source ID NET ID User Source ID
Vad är nytt i ADFS 3.0? Man kan inte längre installera stand alone instanser, endast farmar. ADFS kan nu använda GMSA (Group Managed Service Accounts). IIS är borttaget och ersatt med en egen embedded webserver. GUI:et är utökat, med bland annat stöd för SQL native i wizarden. Utökat PowerShell stöd för ALLT! Nya inloggningssidor. ADFS-Proxyn är död och ersatt av WAP (Web Application Proxy). Ny tjänst – Device Registration Service. Autentiserings inställningar i GUI:et (inget mera hackande i web.config i ADFS). Autentisering görs nu per browsersession, baserad på user agents. Autentication Policies – Ställ dina autentiseringskrav för inloggning utifrån kriterier som RP, grupp, device och location. HRD (Home Realm Discovery) helt omskriven från scratch – möjliggör samma inloggningsflöde till ADFS som i Office 365.