la fédération d'identité : une nécessité pour le cloud
DESCRIPTION
Dans un environnement de type Cloud, la gestion de l'identité fédérée joue un rôle essentiel en permettant aux entreprises d'authentifier leurs utilisateurs (collaborateurs, partenaires et/ou utilisateurs externes) des services Cloud à l'aide du ou des fournisseurs d'identité souhaités. Dans ce contexte, l'échange et la transformation d'attributs d'identité de manière sécurisée et digne de confiance entre le ou les fournisseurs d’identités/d’autorisations et le service considéré constitue une condition importante pour protéger la confidentialité et l’intégration tout en prenant en charge la non-répudiation. Ce rôle central de la fédération est largement indépendamment du modèle de service (IaaS, PaaS et SaaS) et du modèle de déploiement (privé, public et hybride). Cette session s’intéresse aux différents défis à relever, aux approches et modèles possibles pour répondre à des scénarios typiques. Cette session illustrera ces éléments au travers de démonstration s’appuyant sur les offres Cloud Microsoft et des produits et technologies tels qu’Active Directory Federation Services (AD FS) 2.0, Azure AppFabric Access Control Services (ACS) ou encore Windows Identity Foundation (WIF).TRANSCRIPT
palais des congrès Paris
7, 8 et 9 février 2012
La fédération d'identité : une nécessité pour le Cloud
Philippe BERAUDConsultant ArchitecteDirection Technique et SécuritéMicrosoft France
Jean-Yves GRASSETConsultant ArchitecteDirection Technique et SécuritéMicrosoft France
Code Session : SEC2204
Analyser différents scénarios d’extension de votre Système d’Information vers le Cloud Comprendre que l’adoption de services Cloud rend indispensable la fédération d’identitéMettre en évidence que l’identité ne se réduit pas à la notion d’utilisateur et intègre la notion de contexte Illustrer l’usage de la fédération avec des scénarios concrets
Objectifs de la session
Cf. The NIST Definition of Cloud Computing
Quelques définitions pour le Cloud
Services Cloud : 3ième priorité technologique des DSI pour 2012
Sous toutes les formes (IaaS, PaaS, SaaS) Enquête annuelle du Gartner intitulée "Amplifying the
Enterprise: The 2012 CIO Agenda"
80 % des entreprises françaises vont démarrer en 2012 un projet Cloud selon KPMG
1/3 des projets sur des domaines Cœur de métier 49 % souhaitent investir dans le SaaS, 35 % le IaaS, 31 % le
PaaS
Vers une informatique fédérée
PaaS
IaaS
Cloud public
…PaaS
IaaS
Cloud publicVers l’informatique fédérée
Google App Engine
amazonweb servicessalesforce
…
PaaS
SaaS
IaaS
Cloud privé
SaaS
Cloud publicEntreprise
SI fédéré (multi-sources)
Le développement du Cloud est en marche pour transformer de manière durable et profonde l’informatique
Vers l’informatique fédérée
Modèles de déploiement et opérateurs
multiples
Modèles de mise en œuvre multiples
Modèles de canaux multiples
Cloud privéCloud communautaireCloud publicAuto-hébergé SaaS PaaS IaaS Centre de données
conventionnel
Direct pour le SI Revente par le biais
de fournisseur de services
Système d’information (SI)
Freins et modérateurs
Meilleur des solutions courantes
Solutions les plus innovantes
Sécurité et vie privée Conformité et tendances
en termes de politiques Charge d’administration Facilité d’utilisation,
d’exploitation Gain ou perte pour
l’intégration
ROI Réduction des coûts Agilité, évolutivité et élasticité « Emancipation » des « Business Units » Périphériques mobiles et Consumérisation
de l’IT
Pilotes du changement
L’économie du Cloud crée l’informatique fédérée Le Cloud est ce que les fournisseurs informatiques vendent… …Une informatique fédérée est ce que les entreprises mettent en
place
L’identité joue un rôle central pour la mise en place de cette informatique fédérée
Avec une expérience transparente pour l’utilisateur Avec de multiples implications d’intégration en termes
d’authentification, de contrôle d’accès, de protection de l’information
Transmission sécurisée de crédentités (credentials), provisioning d’utilisateurs, expression et application de politiques, etc.
Vers l’informatique fédérée
Tendances pour les Clouds privés Capitalisation sur les services d’annuaires de l’entreprise
Tendances au niveau des fournisseurs Cloud Les fournisseurs exposent leur service sous forme d’API
Ces API sont conçues pour accepter des jetons plutôt que des mots de passe
Les standards de fédération sont largement exploités pour le SaaS, et à un niveau moindre pour le PaaS
Fédération d’identité et contrôle d‘accès Besoin éventuel de synchronisation de comptes (à
travers des environnements hétérogènes)
Vers l’informatique fédérée
PaaS
IaaS
Cloud public
…PaaS
IaaS
Cloud publicImpacts sur l’identité
SaaS
Cloud public
Fournisseur d’identité
PaaS
SaaS
IaaS
Cloud privé
Fédération d’identité
Entreprise
DEMO
Accéder à un service SaaS (Office 365)
Utilisation croissante des applications d’entreprise par les partenaires et les clients de l’entreprise (collaboration étendue) : B2B et/ou B2CS’applique également au Cloud !L’identité concerne les personnes ET les organisations
Impose de consommer des identités de multiples organisations
Suppose de prendre en charge l’identité choisie "Bring Your Own Identity" (BYOI)
Entreprise, Web/réseau social, Etat
Impacts sur l’identité
Impacts sur l’identité
SI fédéré (multi-
sources)Fournisseur d’identité /
Fournisseur de ressource
Cloud privé
PaaS
SaaS
IaaS
Cloud(s) public(s)
PaaS
SaaS
IaaS
PaaS
IaaS
Entreprise
Entreprise partenaire
Fournisseur d’identité
B2B via la fédération
B2B via la fédération
B2C via le Cloud
Facebook, Google,
Windows Live, etc.
L’identité Devient un ensemble de revendications (claims) qui sont
consommées au sein de l’informatique fédérée Pour l’authentification (unique), la délégation
d’identité et le contrôle d’accès, (voire le peuplement) Condition pour l’utilisateur final d’une expérience
transparente Expérience d’authentification unique étendue
(BYOI/BYOD), collaboration facilité avec les partenaires commerciaux, identité transparente entre différents types d’appareils
Est véhiculée sous forme d’un jeton selon un protocole
Evolutions résultantes
2 rôles canoniques Fournisseur de revendications (Claims
Provider) Prend en charge des protocoles et
des formats de jetons standards pour délivrer les revendications
Partie consommatrice (Relying Party) Requiert et consomme des
revendications pour matérialiser l’identité en entrée
Suppose une relation entre les deux rôles
Contexte dans lequel la confiance est établie et les revendications définies
Identité fondée sur les revendications
Fournisseur de revendications (Service de jetons de sécurité)
Partie consommatrice
Entité Relation de
confiance
2. Obtient des revendications
1. Requiert des revendications
3. Transmet des revendications
Suppose la prise en charge des standards ouverts Au niveau format de jetons et protocolaires
Formats de jeton SAML, OpenID, Simple Web Tokens (SWT), JSON Web
Tokens (JWT), etc. Protocoles
SAML-P 2.0, WS-Federation, WS-Trust, OAuth(2), Simple Web Discovery (SWD), OpenID (Connect), etc.
Pour l’intégration et l’interopérabilité en fonction des capacités des fournisseurs Clouds, des ressources mises en œuvre et invoquées
Identité fondée sur les revendications
Application Web
Accès transparent via l’identité d’entreprise Utilisation des comptes et des groupes AD
Identité fondée sur les revendications
AD FS 2.0AD DS Relation via
échange de métadonnées
Cloud public (PaaS)
DEMO
Accéder à une application dans le Cloud public
3 modèles d’interface avec les fournisseurs de revendications1. Modèle de forme libre (Free-form
Model) ou point à point Chaque partie consommatrice
est configurée directement pour interagir avec différents fournisseurs de revendications
Modèles d’architecture
3 modèles d’interface avec les fournisseurs de revendications2. Structure en étoile (Hub-and-Spoke)
Centralisation de la gestion des fournisseurs de revendications pour l’interaction avec les parties consommatrices
Chaque partie consommatrice délègue au concentrateur (hub) cette gestion
Le concentrateur est son unique fournisseur de revendication
Modèle à la base des passerelles de fédération
Modèles d’architecture
3 modèles d’interface avec les fournisseurs de revendications3. Modèle hybride
Selon les parties consommatrices, les fournisseurs Cloud, etc.
Utilisation de courtiers de revendications (Claims brokers) pour l’abstraction de divers (niveaux de) fournisseurs de revendications
Adaptation protocolaire, transformation de revendications, transformations de formats de jetons
Modèles d’architecture
Application Web
Invoquer depuis l’application un service RESTful Accès via un jeton d’autorisation obtenu à partir de l’identité
d’entreprise
Quelques illustrations…
AD FS 2.0AD DS
Service RESTful
Cloud public (PaaS)
ACS
amazonweb services
Cloud public (IaaS)
DEMO
Invoquer depuis l’application un service RESTful
amazonweb services
Application Web
Ouvrir l’application à des partenaires Utilisation d’ACS comme passerelle de fédération
Quelques illustrations…
AD FS 2.0AD DS
Service RESTful
Cloud public (PaaS)
ACS
amazonweb services
Cloud public (IaaS)
Fournisseur de
revendications
DEMO
Ouvrir l’application à des partenaires
amazonweb services
Application Web
Ouvrir l’accès aux clients Utilisation d’ACS comme passerelle de fédération
Quelques illustrations…
AD FS 2.0AD DS
Service RESTful
Cloud public (PaaS)
ACS
amazonweb services
Cloud public (IaaS)
Fournisseur de
revendications
Google Accounts
DEMO
Ouvrir l’accès aux clients
amazonweb services
Nouveau périmètre de sécurité : la ressource et le contexte d’accès à la ressourceL’identité n’est donc PAS uniquement une référence pour l’authentification
Besoin de collecter plus d’information
L’identité s’applique EGALEMENT aux appareils Avec la consumérisation de l’IT et le "Bring Your Own Device"
(BYOD) Cf. session SEC2209 demain à 13h00
Besoin d’identifier l’appareil, de connaître son état de santé, son statut, sa localisation, etc.
Besoin d’augmenter la force d’authentification Cf. session SEC211 aujourd’hui tout de suite après !
Autres impacts sur l’identité
Nouveau périmètre de sécurité : la ressource et le contexte d’accès à la ressourceL’identité s’applique EGALEMENT au code
Besoin d’identifier son contexte d’exécution Besoin de connaître son origine, sa nature, son niveau de
privilège, etc. Besoin de prendre en compte un graphe d’appel
Ex. Application Cloud composite invoquant des services Cloud s’exécutant depuis le même fournisseur Cloud, d’autres fournisseurs Cloud, sur site
Autres impacts sur l’identité
Investir dans la fédération d’identité et les revendicationsConduire des activités de preuves de concepts / d’évaluationCommencer à se connecter aux services CloudTirer parti des revendications pour les nouvelles applications métier pour le Cloud hybride
En guise de conclusion
Des ressources Windows Azure gratuites
Testez Windows Azure gratuitement pendant 90 jours
http://aka.ms/tester-azure-90j
Abonnés MSDN, vous bénéficiez de Windows Azure
http://aka.ms/activer-azure-msdn
AD FS 2.0 http://www.microsoft.com/adfs Carte du contenu AD FS 2.0
http://social.technet.microsoft.com/wiki/contents/articles/2735.aspx
Windows Azure Access Control Services (ACS) http://msdn.com/acs Carte du contenu ACS
http://social.technet.microsoft.com/wiki/contents/articles/1546.aspx
Windows Identity Foundation (WIF) http://www.microsoft.com/adfs Carte du contenu WIF
http://social.technet.microsoft.com/wiki/contents/articles/1546.aspx
Pour aller au-delà
Sessions Microsoft TechDays 2011 http://www.microsoft.com/france/mstechdays/showcase/default.aspx Session ARC203 "Architecture des applications et des services fondés
sur la fédération d'identité et les revendications : une introduction" Session SEC2306 "Utiliser Active Directory Federation Services 2.0
pour une authentification unique interopérable entre organisations et dans le Cloud"
Identity Developer Training http://bit.ly/cWyWZ2
A Guide to Claims-based Identity And Access Control 2nd Edition
http://bit.ly/uHsywx
Pour aller au-delà
Portail Microsoft France Interopérabilité http://www.microsoft.com/france/interop/ Portail US
http://www.microsoft.com/interop/
Portail Microsoft Spécifications Ouvertes http://www.microsoft.com/openspecifications
Portail Port 25 http://port25.technet.com/
Portail "Interop Vendor Alliance" http://interopvendoralliance.com/
Portail "Interoperability Bridges and Labs Center" http://www.interoperabilitybridges.com/
Weblog Interoperability@Microsoft http://blogs.msdn.com/b/interoperability/
Plus d’informations
Groupe "Forum des architectures applicatives Microsoft"
http://bit.ly/archiappms
Plus d’informations
Ce forum regroupe des architectes en informatique qui ont des choix de technologies à faire dans les projets pour lesquels ils travaillent. L’architecte applicatif, en situation de projet, travaille typiquement aux côtés de la direction de projet pour choisir et assumer des choix techniques en fonction des contraintes du projet (fonctionnalités, délais, ressources). Pour effectuer ces choix à bon escient, il doit connaître ce que le marché offre en termes de technologies. Cela peut prend typiquement deux formes : veille technologique continue, recherches dans le cadre du projet.
L’architecte applicatif a aussi pour rôle de faire le lien entre les équipes de développement et les équipes d’infrastructure et d’exploitation de la future application. Il doit également veiller à ce que ses choix soient bien mis en œuvre pendant le développement. Ce forum, à l’initiative de Microsoft France, a pour but d’aider les architectes applicatifs • A faciliter la connaissance de l’offre de Microsoft pour les projets en entreprise (envoi de liens vers des
présentations, documents, webcasts, conférences, etc.), mais également • A échanger sur des problématique d’architecture ayant un rapport, même partiel, avec la plateforme Microsoft
(est-ce que AD FS 2.0 fonctionne dans un environnement SAML-P 2.0, comment se passe la réversibilité d’une application développée pour le Cloud, quelles sont les implications d’un déploiement sur une ferme Web, etc.).
Cet espace est le vôtre, faites le vivre, nous sommes aussi et surtout là pour vous lire.
Microsoft France39, quai du président Roosevelt
92130 Issy-Les-Moulineaux
www.microsoft.com/france