1 ... CZYLI 100% HYBRID Tomasz Onyszko IAM Kung-Fu Evangelist
2
3
4
5
6 6 Home, sweet home
7
8 4 ELEMENTY
9 O BEJMUJE CAŁE ŚRODOWISKO Kontrola Łatwość użycia Otwarte na przyszłość UŻYTKOWNIK URZĄDZENIA INFRASTRUKTURAAPLIKACJE Tożsamość TOŻSAMOŚĆ
10 ADFS
11
12 D OSTĘP FEDROWANY Z UŻCIEM SAML LUB O AUTH U WIERZYTELNIENIE WIELOSKŁADNIKOWE (M ULIT - F ACTOR A UTHENTICATION D OSTOSOWANIE METODY W ZALEŻNOŚCI OD KONTEKSTU \ RYZYKA TRENDY W ROZWIĄZANIACH
13
14
15
16
17
18 Źródła danych Przejdź do aplikacji Przekieruj do IdP ADFS Uwierzytelnienie Pobierze token (claims) Token Id Validated Is Member of Group Przekieru do IdP SP Zweryfikowany Token Dostęp do aplikacji przyznany Dostawca tożsamości (Identity Provider) Token Dostawca usług (ServiceProvider)
19 O PARTY NA STANDARDACH DOSTĘP PRZEZ PRZEGLĄDARKĘ Wszystkie wywołania to HTTPS SSO DO APLIKACJI LOKALNYCH I DOSTAWCÓW A UTORYZACJA OPARTA NA CLAIMS Zestaw informacji dostowany dla aplikacji USŁUGA FEDERACJI
20 20 Home, sweet home
21 Web application proxy
22 ADFS Dodatkowy element (od WS2012 w systemie) Dostęp tylko do claim based apps N ON - CLAIM BASED APPS User Application Gateway (UAG) DOSTĘP PRE-WS2010R2
23 N OWY ELEMENT W W INDOWS S ERVER 2012 R2 Publikacja aplikacji claims-aware i standardowych (jak TMG/UAG) Warunkowe metody uwierzytelnienia Element Remote Access Service -Zastępuje ADFS Proxy WEB APPLICATION PROXY
24 24 Publikowane aplikacje
25 DEMO TIME
26 Multi Factor Authentication
27
28
29 MFA M ULTI -F ACTOR A UTHENTICATION Web application proxy pozwala na wprowadzenie MFA Kontekstowe: aplikacja \ użytkownik \ lokalizacja Urządzenie jako dodatkowy element MFA
30 DEMO TIME
31 31 Publikowane aplikacje
32
33 Workspace join
34
35 D OSTĘPNE W W INDOWS S ERVER 2012 R2 Usługa rejestracji urządzeń poprzez ADFS Usługa publikowana przez web application proxy U RZĘDZENIE Nie jest członkiem domeny \ zarządzane Jest znane w domenie WORKPLACE JOIN
36
37 WEB APP PROXY I URZĄDZENIA
38
39 H OSTOWANA PRZEZ M ICROSOFT W 14 DATA CENTERS M ULTI - TENANT A CTIVE D IRECTORY W CYFRACH ( MAJ 2013): 420 000 domen 265 miliardów transakcji uwierzytelnienia 9000 transakcji / sek. WINDOWS AZURE AD
40 UŻYTKOWNICY W WAAD M ICROSOFT UTRZYMUJE USŁUGĘ Dostęp WS-Fed, SAML, Oauth Access Control Service M Y UTRZYMUJEMY DANE Użytkownicy z organizacji -DirSynch -Uwierzytelnienie hasłem lub poprzre ADFS Użytkownicy zewnętrzni -Istniejący tylko w WA AD
41 41 Publikowane aplikacje
42 42 Publikowane aplikacje
43 DEMO TIME
44
45
46
47 POROZMAWIAJMY O PLN == 0 PLN(*) * - Windows Server 2012 R2 * - Do 500 000 obiektów, PhoneFactor będzie płatny za opcje telefoniczne
48
49 DZIĘKUJĘ / PYTANIA? @tonyszko http://facebook.com/predicabusinesssolutions http://blog.predica.pl @PredicaBusiness