Upload
microsoft-technet-france
View
558
Download
1
Embed Size (px)
DESCRIPTION
Windows Server Active Directory (AD) a permis aux développeurs de se concentrer sur les fonctionnalités de leurs applications métiers plutôt que d’avoir à se préoccuper de la gestion des identités. Windows Azure Active Directory (AAD) est l’Active Directory réinventé pour le cloud, un service conçu pour résoudre pour vous les nouveaux challenges en matière d’identités organisationnelles et sociales et de contrôle des accès qui viennent avec le passage à un monde centré sur le Cloud. Assistez à cette session pour voir comment tirer parti de Windows Azure Active Directory avec vos souscriptions SaaS, dans vos applications Cloud pour proposer notamment une authentification unique (SSO) étendue avec des identités organisationnelles ou sociales. Si vous avez déjà un investissement dans Active Directory et Visual Studio, vous découvrirez comment Windows Azure AD permet de valoriser encore plus votre investissement. Si votre solution fonctionne sur différentes plates-formes, vous apprécierez la facilité avec laquelle vous pouvez vous intégrer à Windows Azure AD via la prise en charge des standards ouverts tel que les protocoles SAML 2.0 et OAuth 2 et l’API REST Directory Graph. Cette session introduira également la nouvelle API cliente Windows Azure Authentication Library (AAL) pour l’interaction avec AAD.
Citation preview
Donnez votre avis !
Depuis votre smartphone, sur : http://notes.mstechdays.fr
De nombreux lots à gagner toutes les heures !!!
Claviers, souris et jeux Microsoft…
Merci de nous aider à améliorer les TechDays
http://notes.mstechdays.fr
SEC402 Windows Azure AD, SSO étendu et services
d’annuaire pour les applications Cloud et SaaS
Philippe BeraudSébastien Brasseur
Microsoft France
Architecture / Azure / Cloud
#WindowsAzurehttp://windowsazure.com
Souscrivez à l’offre d’essai ou activez votre accès Azure MSDN
Présentez-vous sur le stand Azure (zone Services & Tools)
Participez au tirage au sort à 18h30 le 12 ou le 13 février
1
2
3
Gagnez une Tablette Windows 8 !
Les annuaires offrent le meilleur modèle pour les applications Métier
Les annuaires traditionnels ne fonctionnent pas des mieux avec les
applications dans le Cloud
Un annuaire Cloud pour chaque organisation
Apps Cloud et les utilisateurs des organisations
• Le modèle d’annuaire• Les applications SaaS avec votre annuaire Cloud• La fédération de votre annuaire Cloud avec votre
annuaire sur site• Votre annuaire et vos applications Métier dans le Cloud• Vos applications dans le Cloud avec les identités
sociales : Bring Your Own Identity (BYOI) ! • L’annuaire de votre client et vos applications SaaS le
Cloud
Notre agenda pour la session
• Sessions complémentaires– SEC308 Identity as a Service (IDaaS), un service prêt à l’usage avec Windows
Azure Active Directory
Annuaires
Votre locataire AAD
Gestion Authentification
L’approche graphe de l’annuaire AAD
MemberOf
Anatomie d’AAD
AG
Locataire AAD Contoso
Windows Azure Active Directory
Portail de gestion
Interface RESTful
Graph API
Cmdlets Windows PowerShell pour AAD
OAuth2
SAML-P
Metadata
WS-Federation
Synchronisation + Fédération
AAD pour les organisations
Votre locataire AAD
demoACCÈS AU PORTAIL WINDOWS AZURE AD AVEC UNE IDENTITÉ D’ORGANISATION
AAD pour les organisations
• Provisionnement et déprovisionnements gérés de façon centrale
• Politiques de gestion des crédentités
• Authentification multi-facteurs• Meilleure expérience utilisateur
– Moins d’identifiants/mots de passe à mémoriser
Avantages de l’usage des identités d’organisation
En un mot:
contrôle
Fédération avec votre annuaire sur site
Votre locataire AAD
SynchronisationET fédération
• Nécessite de synchroniser les identités sur site avec votre locataire Windows Azure AD– Différentes approches pour créer des identités fédérées en
fonction de votre environnement• Microsoft Azure AD Directory Synchronization Tool (DirSync)• Connecteur Windows Azure AD pour FIM 2010 (R2)• Cmdlets Windows PowerShell pour Windows Azure AD
– Directory Graph API ne permet pas de créer des identités fédérées– Cf. session SEC308 Identity as a Service (IDaaS), un service prêt à
l’usage avec Windows Azure Active Directory
• Prise en charge des standards OASIS WS-Federation/WS-Trust et SAML 2.0
Fédération avec votre annuaire sur site
• Permet de couvrir l’ensemble des scenarios clients– Les scénarios d’entreprise MS Online utilisent toujours la pile WS-*– OASIS WS-Federation fournit un support pour l’authentification
cliente web/passive et les métadonnées de fédérations (sur-ensemble des métadonnées d’OASIS SAML 2.0)
– OASIS WS-Trust fournit un support pour l’authentification des clients riches• Ex. Lync 2010, Office 2013 avec une souscription Office 365
• Propriétés clés du jeton SAML 1.1– Issuer : Utilisé pour identifier le fournisseur d’identité. Globalement
unique– ImmutableID : Identifiant unique de l’utilisateur, lié à son
provisionnement– UPN : UPN de l’utilisateur, lié à la valeur fournie durant le
provisionnement
• Cf. livre blanc "Office 365 Single Sign-On with AD FS 2.0"
Fédération AAD basée sur WS-*
• Aujourd’hui avec Shibboleth 2• Permet de couvrir certains scénarios clients
– Support des clients Web/passifs à travers le profil SAML 2.0 Web SSO• "Post Redirect bindings" supportés : HTTP-POST, HTTP-POST-
SimpleSign• Pas de support pour Office 2013
– Support de client actif (Outlook) avec ECP (Enhanced Client Profile)
• Propriétés clés du jeton SAML 2.0– Issuer : Utilisé pour identifier le fournisseur d’identité.
Globalement unique– NameID : Identifiant unique de l’utilisateur, lié à son
provisionnement– IDPEmail : UPN de l’utilisateur, lié à la valeur fournie durant le
provisionnement
• Cf. livre blanc "Office 365 Single Sign-On with Shibboleth 2"
Fédération AAD basée sur SAML 2.0
demoFÉDÉRATION AVEC UN IDP SAML 2.0Fédération avec votre annuaire sur site
Vos applications dans le Cloud
Votre locataire AAD Locataires AAD
Comment une application Cloud se connecte a un annuaire Cloud?
?
??
Votre locataire AAD
Anatomie d’une application Cloud classique
Les clients peuvent provenir de tout types de terminaux/langages/plateformes
Les applications serveurs utilisent une grande variété de plateformes/langages
Navigateur
Application mobile
Application serveur
Un utilisateur autorisé crée dans l’annuaire un Principal représentant l’application, l’autorisant à accéder à l’annuaire en l’associant avec le bon rôle
Utilisateur autorisé
Utilisateur final
Locataire AAD Contoso
Authentification utilisateur
Connecter votre application LOB à Windows Azure AD
L’utilisateur final s’authentifie auprès de l’annuaire pour obtenir un jeton de sécurité à inclure dans les requêtes vers l’application CloudUtilisateur autorisé
Utilisateur final
Locataire AAD Contoso
Authentification utilisateur
Connecter votre application LOB à Windows Azure AD
demoUTILISER LES OUTILS ASP.NET POUR SE CONNECTER A WINDOWS AZURE AD
Vos applications dans le Cloud
Windows Azure Active Directory
OAuth2
SAML-P
WS-Federation
Metadata
Portail de gestion
Cmdlets Windows PowerShell pour AAD
Interface RESTful
Graph API
Connecter votre application LOB à Windows Azure AD
Locataire AAD Contoso
• Interface RESTful vers Windows Azure Active Directory• Compatible avec OData V3• Utilises OAuth 2.0 pour l’authentification et l’assignement de rôles aux
applications et utilisateurs pour la gestion des autorisations• Accès programmatique à Windows Azure Active Directory• Objets tels que Users, Groups, Contacts, Tenant Information, Licensing, Roles• Relations entre les objets telles que Member, memberOf, Manager,
DirectReport• Requêtes différentielles
• Les requêtes sont basées sur les verbes HTTP standards• GET, POST, PUT, DELETE pour lire, créer, mettre à jour ou effacer des objets de
l’annuaire• Formats XML ou JSON pour les réponses et codes HTTP standards
Directory Graph API
L’application Cloud obtient un jeton et accède à la Graph API en utilisant ce jeton.
Utilisateur autorisé
Utilisateur final
Locataire AAD Contoso
Authentification déléguée
Interface RESTful
Connecter votre application LOB à Windows Azure AD
demoUTILISER LE GRAPHE SOCIAL D’ENTREPRISE
Vos applications dans le Cloud
Protocoles pour se connecter avec AADProtocol Objectifs Détails
REST/HTTP Créer, lire, mettre à jour ou effacer des objets et relations de l’annuaire
Compatible avec OData V3Authentification avec OAuth 2.0
OAuth 2.0 Authentification service à serviceAccès délégué
Format de jeton JWT
Open ID Connect Authentification d’application WebAuthentification de clients riches
En cours d’investigationFormat de jeton JWT
SAML 2.0 Authentification d’application Web Format de jeton SAML 2.0
WS-Federation 1.3
Authentification d’application Web Format de jeton SAML 1.1Format de jeton SAML 2.0Format de jeton JWT
Vos applications dans le Cloud avec le BYOI
Votre locataire AAD Locataires AAD
demoSE CONNECTER AVEC UNE IDENTITÉ FACEBOOK
Vos applications dans le Cloud avec le BYOI
Vos applications SaaS dans le Cloud
Votre locataire AAD Locataires AAD
demoCONSENTEMENT TRANSPARENT POUR LES APPLICATIONS SAAS
Vos applications SaaS dans le Cloud
La chaîne de publication d’une application
Visual Studio Seller Dashboard App
Portail Windows Azure ADModifier votre application pour :• Admettre de multiples locataires• Gérer les messages de
consentement
Enregistrer votre application auprès du Seller Dashboard• Créer les clés et entrées du
catalogue…• Copier les clés dans le code de
l’application
demoCYCLE DE PUBLICATION D’UNE APPLICATION SAAS
Vos applications SaaS dans le Cloud
Windows Azure Active Directory
Graph API
OAuth2
SAML-P
WS-Federation
Métadonnées
Portail de gestion
Interface RESTful
STS
Multi-location et chaîne de consentement
Locataire AAD Contoso
Locataire AAD Fabrikam
Un annuaire Cloud pour chaque organisation
Votre locataire AAD Locataires AAD
• Inscrivez-vous pour un locataire http://g.microsoftonline.com/0AX00en/5
Version Preview autonome disponible :)
• Livre blanc "Active Directory from on-premises to the Cloud"
Pour plus d’information
• Regarder les annonces sur le blog Windows Azure– http://blogs.msdn.com/windowsazure– Reimagining Active Directory for the Social Enterprise (P
art 1)
– Reimagining Active Directory for the Social Enterprise (Part 2)
– Announcing the Developer Preview of Windows Azure Active Directory
– Enhancements to Windows Azure Active Directory Preview
Pour aller d’informations
• Documentation TechNethttp://technet.microsoft.com/en-us/library/hh967619.aspx
• Documentation MSDNhttp://msdn.microsoft.com/en-us/library/windowsazure/jj673460.aspx– Exemples et tutoriels
https://activedirectory.windowsazure.com/develop/
– Forumhttp://social.msdn.microsoft.com/Forums/en-US/WindowsAzureAD/
Pour aller plus loin
Formez-vous en ligne
Retrouvez nos évènements
Faites-vous accompagner gratuitement
Essayer gratuitement nos solutions IT
Retrouver nos experts Microsoft
Pros de l’ITDéveloppeurs
www.microsoftvirtualacademy.com
http://aka.ms/generation-app
http://aka.ms/evenements-developpeurs http://aka.ms/itcamps-france
Les accélérateursWindows Azure, Windows Phone,
Windows 8
http://aka.ms/telechargements
La Dev’Team sur MSDNhttp://aka.ms/devteam
L’IT Team sur TechNethttp://aka.ms/itteam