Presentation laddar. Vänta.

Presentation laddar. Vänta.

A Federation-Ninja’s warstories from the field…

Liknande presentationer


En presentation över ämnet: "A Federation-Ninja’s warstories from the field…"— Presentationens avskrift:

1 A Federation-Ninja’s warstories from the field…
Fredrik ”DXter” Jonsson Senior Security Consultant Sigma IT & Management Sweden AB Deep dive into ADFS & DRS (Device Registration Service) in Windows Server 2012 R2 A Federation-Ninja’s warstories from the field…

2 Hur skiljer sig IAM i molnet generellt?
Man administerar inte molntjänsten man använder. Molntjänsten har ingen direktförbindelse (Site-to-Site VPN, svartfiber, etc) till den lokala infrastrukturen. Man vet inte vilket operativsystem, vilken mjukvara, etc, som finns under skalet. Man har väldigt få möjligheter att anpassa systemet efter egna säkerhetskrav gällande identiter (krav på smartcards, etc.). Man har en lägre tillit mot externa tjänster. Man byter leverantörer potentiellt sätt oftare.

3 Active Directory Federation Services 2
Active Directory Federation Services 2.x Security Token Service Signing Provider Component (ADFS-STS) Tjänst som utfärdar biljetter Ge den “något” Användarnamn/lösenord X509 certifikat Kerberosbiljett Annan typ av biljett Och du får ett “äkthetsintyg” tillbaka SAML SWT WS* Cookie (Något annat) “något” “äkthetsintyg”

4 claims transformation
title Konsult title Employee dept IS org Sigma ADFS 2.x tel no. tel no. limit 10 000:- if title == “Employee” AND department == “Sigma”: purchaselimit = “10 000:-” if title == “Manager” AND department == “Sigma”: purchaselimit = “ :-”

5 Identity Federation Authentication flow (Passive/Web profile)
Customer Microsoft Online Services User Source ID NET ID User Source ID

6 Vad är nytt i ADFS 3.0? Man kan inte längre installera stand alone instanser, endast farmar. ADFS kan nu använda GMSA (Group Managed Service Accounts). IIS är borttaget och ersatt med en egen embedded webserver. GUI:et är utökat, med bland annat stöd för SQL native i wizarden. Utökat PowerShell stöd för ALLT! Nya inloggningssidor. ADFS-Proxyn är död och ersatt av WAP (Web Application Proxy). Ny tjänst – Device Registration Service. Autentiserings inställningar i GUI:et (inget mera hackande i web.config i ADFS). Autentisering görs nu per browsersession, baserad på user agents. Autentication Policies – Ställ dina autentiseringskrav för inloggning utifrån kriterier som RP, grupp, device och location. HRD (Home Realm Discovery) helt omskriven från scratch – möjliggör samma inloggningsflöde till ADFS som i Office 365.


Ladda ner ppt "A Federation-Ninja’s warstories from the field…"

Liknande presentationer


Google-annonser