Føderal identitet Morten Strunge Nielsen msn@globeteam.com Globeteam Virumgårdsvej 17A 2830 Virum
Agenda Muligheder med føderation Strategiske fordele Taktiske fordele Lidt om teknologien Løsningsmodeller Tilkobling af applikationer Sådan fungerer det
Føderation: Mange nye muligheder.. Vaskeægte single sign-on: Et enkelt login! Ingen ekstra logins: Eksisterende login til fx Active Directory genbruges! Frit valg mellem loginmetoder Mulighed for at følge brugeren fra fødsel til grav, selv ved skift af loginmetode Muliggør sømløst samarbejde på tværs af sikkerhedsgrænser Både indenfor og udenfor organisationen Giver mulighed for at opnå tæt integration hvor man måtte ønske det Kortere vej til data og tjenester Fuld støtte af mobile enheder og forskellige platforme og web-browsere Klar til cloud! Meget større agilitet fsva etablering af nye systemer og tjenester Autentificering og autorisation sker i infrastrukturen Gemmer de komplekse virkelighed fra brugerne såvel som udviklerne Fordrer ikke en svær og hård migrering, da den kan rumme den eksisterende infrastruktur Kan opfylde snart sagt ethvert behov via konfigurering
Strategiske fordele Eneste mulighed for: At gå på tværs af interne sikkerhedsperimetre At komme henover internettet At gå i cloud Løst koblet arkitektur = løse integrationer Opkøb og frasalg Forskellige niveauer af tillid fremfor fuld eller ingen tillid Undgå at blive låst til en bestemt platform eller infrastruktur Umiddelbar dækning af mobility og sociale netværk Mange unikke egenskaber til B2B såvel som B2C
Taktiske fordele Eksempler på direkte økonomiske besparelser BYOD i stedet for anskaffelse af pc er og andre enheder CAL-licenser Reducerede omkostninger til tilkobling og vedligeholdelse Omkostninger til flerfaktorlogin Licenser og/eller devices
Set med IT-afdelingens øjne Højere sikkerhed Valideret til høj sikkerhed på internet Ingen passwords Flerfaktor-autentificering Mulighed for differentiering af sikkerhedsniveauet efter brugergrupper Ingen brugere og passwords med usikker lagring ude i applikationerne Reduceret kompleksitet Kompleksiteten samles i en enkelt central komponent (evt. med dublering for bedre oppetid) Hurtigere tilkobling af nye løsninger Lavere udviklingsomkostninger Lavere driftsomkostninger Mange af login-metoderne er gratis! Mulighed for selvadministration af brugere (inkl. passwords!) og roller Et password = færre supportkald Samlet opkobling og administration af partnere Eliminering af dobbeltadministration Kræver ikke opgradering eller udfasning af den eksisterende infrastruktur
Lidt om teknologien Baseret på internationale standarder SAML 2.0, WS-Trust, WS-Federation, OpenID Connect Er stort set tilgængeligt fra alle computerplatforme allerede nu Bygget til at fungere med både webapplikationer og webservices Og kan kobles op mod mange andre platforme via tredjepartsløsninger Prisbilligt og hurtigt at implementere
De grundlæggende løsningsmønstre Indenfor organisationen Internt i organisationen På tværs af sikkerhedsgrænser, tekniske grænser etc. Fra eksterne parter til de tjenester, som bliver udbudt af organisationen Tjenesterne kan placeres frit på internettet! Mod andre organisationer og tjenester Partnering Cloud/dynamisk data center Mod cloud services Office 365, Google, Salesforce, SAP SuccessFactors etc.
Den prototypiske føderationsløsning True SSO login (0 logins) Cloud Remote corporate users SSO login via other IdP or local login Corporate users Active Directory True SSO login (0 logins) True SSO login (0 logins) with or without role info Directory services IdP and SP Internal network IdP Corporate users Organization (federation partner) True SSO login (0 logins) with or without role info SSO login via other IdP or local login (roles being administered Directory service Corporate users Organization (not federation partner) by service provider or home org using web app) SSO login via other IdP or local login (roles being administered by service provider using web app) app for administering users and roles IdP and SP Directory service DMZ Individual users Everyone else Service Provider
Sådan starter man ofte på indersiden.. External service(s) External service(s) True SSO login (0 logins) Federation protocol (SAML 2.0 & WS- Federation) Federation protocol (SAML 2.0 & WS- Federation) True SSO login (0 logins) IdP Active Directory Database Internal network
Udbygning til remote access External service(s) External service(s) True SSO login (0 logins) Federation protocol (SAML 2.0 & WS- Federation) Federation protocol (SAML 2.0 & WS- Federation) True SSO login (0 logins) IdP/SP Active Directory Remote users SSO login username password OTP (email and/or SMS) Proxy Database Internal network
Sådan kan man starte på ydersiden Credential auth for username/ password login Pre-existing user database username password SSO login IdP/SP Database Users DMZ
Eksempel på en fuld løsning (kommune) External service(s) True SSO login (0 logins) Federation protocol (SAML 2.0 & WS- Federation) Directory services True SSO login (0 logins) with or without role info Database IdP Corporate users Organization (federation partner) SSO login SSO login SSO login IdP/SP OTP (email and/or SMS) username password OTP (email and/or SMS) True SSO login (0 logins) DMZ True SSO login (0 logins) Employees Teachers Citizens External service(s) True SSO login (0 logins) SSO login Federation protocol (SAML 2.0 & WS- Federation) OTP (email and/or SMS) username password Proxy IdP/SP Active Directory Database Remote users Internal network
Tilkobling af applikationer.net Framework-baserede applikationer (inkl. Sharepoint) Java Velopdragne applikationer baseret på best practices virker out-of-the-box Mindre velopdragne applikationer kræver tilretning/opdatering Kan almindeligvis bringes til at fungere i løbet af nogle dage (max. en uge) altafhængig af implementering Windows-klientapplikationer Kan bringes til at fungere ved hjælp af Citrix 4.5 eller senere Active Directory-bundne (legacy)-webapplikationer Kan bringes til at fungere med Microsoft UAG, Juniper SA-serien & Citrix NetScaler Legacy-applikationer Individuelle løsninger.. Flere ting i værktøjskassen.. og masser af erfaring..
Standardapplikationer tilkoblet føderation Java- og.net webapplikationer, der opfylder nogenlunde bedste praksis Outlook Access 2010+ SharePoint 2007+ Drupal-baserede PHP-løsninger SiteCore Citrix XenApp 4.5+ Giver adgang til Windows-applikationer Joomla-applikationer Wordpress-applikationer phpbb-fora Dokuwiki Office 365 Google SAP NetWeaver ABAP application server.net og Java-baserede SOAPwebservices via hhv. Windows Identity Foundation (WIF) og Java Metro SQL Reporting -rapporter De helt specielle cases Fx mainframe-baseret RACF-applikation og CA SiteMinder fra før den blev føderationsenablet
Sådan fungerer det i praksis Organisationens interne sikkerhedsdomæne Applikationsleverandørens sikkerhedsdomæne Active Directory Føderationsserver (Security Token Service) Føderationsserver (Security Token Service) ` Intern klient applikation
Globeteam Value Proposition Førende i DK indenfor føderation Første installation påbegyndt i maj 2006 Spidskompetence på Microsofts føderationsserver Opkøb af Safewhere, der udvikler det eneste andet kommercielle føderationsprodukt til Microsoftplatformen Føderal platform væg-til-væg Integration og code samples til de gængse platforme og it-systemer Værktøjer og extensions til udbedring af begrænsningerne på de eksisterende platforme og systemer En række add-on produkter Portal, der samler alle brugerens applikationer et enkelt sted, uanset deres placering Fil og print Self-service administration inkl. relevante tools Sikkerhedsløsninger (logning samt proaktiv og reaktiv overvågning) Bistand til design, implementering og udvikling For yderligere information http://vimeo.com/globeteam www.safewhere.com og www.globeteam.com