Windows Azure:以 ADFS 驗證 Windows Azure
為滿足隨時隨地存取公司資料的需求,必須有多層的遠端驗證。
Dan Griffin 和 Tom Jones
精明的經理們使用的移動和雲計算作為一項戰略資產,增加其決策過程的靈活性和速度。 行動裝置已在業務中證明其價值。 使用者有任何地方,隨時隨地訪問他們需要以保持生產的資料。
智慧手機和平板電腦的擴散 — 更不用提對雲的需求計算 — 增加了對 IT 部門提供有價值的企業內容安全移動訪問的壓力。 總之,如果你不投資在正式它對安全移動計算的支援,可以確保你的競爭對手。 他們將使它的獨特優勢。
移動計算中的任何內部投資必須考慮資料的安全性。 您還必須為安全障礙可以承擔的使用者滿意度中的潛在成本計畫。 例如,長久以來對統一的機制,可以安全地進行身份驗證的處所和遠端使用者的渴望。 這包括手持設備、 桌面設備,以及新的和舊的應用程式。
靈活且經濟高效的身份管理解決方案已難找到。 在又一次的登錄憑據的請求,使用者會很生氣。 此外,當使用者擁有相同的登錄憑據存儲在多個網站,身份盜竊或意外洩漏的風險增加。
它的好消息是移動計算是 IT 安全作為業務的推動力量的一個明顯的例子。 另外,最新的身份驗證和授權技術可以使真正的安全無縫的使用者。
在 2013 RSA 會議上,美國國家安全署的流動性特派團經理解釋為什麼即使最安全敏感的環境中需要凝聚力支援公路勇士。 IT 部門需要啟用服務和支援使用者身份驗證機制的各種設備。
你可以將現有的身份管理解決方案,例如微軟活動目錄驗證服務 (AD FS) 適應典型的業務線 (LOB) Web 應用程式在 Windows Azure 雲環境中運行。 你也很容易可以應用到其他的身份管理解決方案,在這裡描述的解決方案的一般形式的應用程式和雲服務。
現有的身份驗證方法
Windows 框架內,目錄服務一直是企業使用者身份的傳統存儲庫。 這被為了讓雇員訪問位於防火牆後面的網路資產哪裡 Kerberos 是主導的協定。
因為在 Internet 上使用不推薦使用 Kerberos,大多陣列織使用基於 Web 的身份驗證協定 (如安全聲明標記語言 (SAML)、 簡單 Web 權杖 (SWT) 和 JSON Web 權杖 (JWT)。 這些更新的 Web 標記沒有尚未容納大多數企業目錄服務,所以你需要附加的服務 — 稱為安全權杖伺服器 (STS) — 連接到最新的 Web 應用程式的傳統的目錄。
分離的角色是重要的。 每個 LOB 應用程式伺服器還應該負責的使用者身份驗證。 應用程式伺服器需要的是依靠一些其他服務做繁重的靈活方式,提供身份和授權資訊的能力。 這是一般稱為"聯合身份"。
聯邦意味著應用程式伺服器 (依賴方或 RP) 與身份標識提供程式建立一種信任關係。 它必須瞭解如何評估索賠要求的形式提供的使用者標識中繼資料。
例如,假設使用者試圖訪問網路服務的內容 (請參閱圖 1)。 RP 要求索賠路由由應用程式 (例如,Web 瀏覽器) 的集合到一個或多個 STSes 在使用者設備上。 使用者向已提供任何憑據與 STS 進行身份驗證:密碼、 智慧卡等等。 RP 和 STS 之間的唯一的直接連接是其中兩個之間建立信任的初始配置 (通常情況下,您將配置每個與其他伺服器憑證)。
.jpg)
圖 1 當使用者請求時安全的內容時,這一請求揭開序幕一系列交叉檢查。
AD FS 和 Windows Azure 在真實的世界
一個選項是將 AD FS 配置為 STS。 AD FS 盾內部 Active Directory 域服務 (AD DS) 從外部攻擊由接受來自 Internet 的身份驗證請求。 AD FS 將基於 Active Directory 的身份轉化為互聯網友好的格式。
在這種情況下,外部設備是 Windows 平板電腦。 該設備在外部網路連接到 Windows Azure 雲計算的 Web 應用程式伺服器 (RP) 的溝通。 應用程式伺服器需要知道 AD FS 通過身份驗證的使用者使用是符合網路原則的電腦。
作為安全專家信賴已說,多年來,"所有的信任是當地"。換言之,RP 需要,以便能夠執行其自己的索賠驗證之前它可以授權對應用程式內容的訪問。 驗證和授權基於由 STS 頒發的使用者身份和設備規範索賠。 該身份驗證資料交換磁碟機然後使用者的設備 (見圖 2)。
.jpg)
圖 2 需要一系列的索賠答覆來驗證資料的請求。
代理設備上的從各種來源收集的索賠,並將它們合併到應用程式伺服器的回應。 該回應必須滿足所有條件才能啟用受保護的資料的訪問。 使用者標識索賠和遵從性保健設備索賠可能來自不同的 STSes 中所示圖 2,或從單個 STS 與多個來源的索賠中繼資料 (例如,Active Directory 加 Microsoft 系統中心組態管理員)。
您可以改變混合的身份和屬性的供應商,以滿足 RP Web 服務的需要。 例如,您可以將合併 Office 365 身份驗證用戶端設備測量資料,以滿足防止資料丟失的政策。 在所有情況下,RP 請求會轉到一個使用者代理在使用者設備中。 那將封送處理的索賠從幾個來源以滿足 RP 的需求。
很多 Web 身份驗證方案讓使用者設備緩存索賠供以後使用。 這通常稱為"保持我簽署了在"方案。 RP 甚至有從使用者所需的使用者請求的交易請求額外索賠的選項。 這被稱為"加強"授權。
AD FS 和身份支援
基於 Windows 的 LOB 應用程式開發人員,聯邦支援內置 Microsoft.NET 框架 4.5。 開發人員不需要成為安全專家,使此處描述的情況。
雖然.NET 框架 4.5 不附帶 SWT 和智威湯遜的支援,這些結構中添加有證可循。 Microsoft 已經發佈了.NET 框架 4.5 的智威湯遜處理常式。 Windows 伺服器 2012年與 AD FS 2.1 之際,現在支援的.NET 框架 4 應用程式池集成的伺服器角色。 你會需要這個支援的智威湯遜處理常式和其他的高級的功能。
跨企業邊界建立夥伴關係,因為它分離 (例如,到上處所 Active Directory) 從 (例如,在雲計算中的共用的資料服務) 授權的身份驗證時,基於索賠的訪問控制項很有用。 索賠使基於角色的存取控制更易於管理因為 AD FS 和其他標識提供程式可以發出索賠這種支援在 RP 授權的各種檢查。
本文演示了如何使用索賠要啟用從多種設備安全的使用者身份驗證。 使用者來期望隨時隨地對企業資源的訪問。 它被強制執行微妙的平衡。
您必須啟用可擴展支援移動計算的基礎架構與業務。 同時,你已經用來保護業務資料安全機制,是易於管理和微侵入。
.jpg)
Tom Jones 是的美國國家標準電子支付小組 ASC X9A10 委員會創始主席。 他曾在金融服務社區內與多個組織,包括電子資料交換 (EDI X 12) 和認可的標準委員會 X 9 公司。 電子支付,並與第一資料公司、 英特爾公司。 和微軟。
.jpg)
Dan Griffin 是的 JW 安全公司創始人 與微軟企業安全最有價值球員。 他是"雲安全和控制"(CreateSpace 獨立發佈平臺,2012年) 和"四個支柱的端點安全,"將在 2013 年出版的書的作者。 他也是頻繁的會議發言者。