Bevezetés az Active Directory összevonási szolgáltatások fejlesztők
Milyen problémák B2B kapcsolatok gondolok? Képzeljük el, hogy a gyártó cég a kerékpárok és az úgynevezett Fabrikam, akar létrehozni egy webes alkalmazás, amely lehetővé teszi az engedélyezett kereskedők, hogy megvásárolja a kerékpárok és alkatrészek nagykereskedelmi áron. Ugyanakkor a cég több mint kétszáz kereskedők szervezetek, amelyek mindegyike több ember, akiknek szükségük van a kb. Fabrikam vállalatnak szüksége van egy biztonságos bejelentkezést mechanizmus.
A kézenfekvő megoldás az, hogy egy adatbázis létrehozása, amely tartalmazza a felhasználó nevét és jelszavát, de ez a megoldás nagyon költséges és munkaigényes. Ha valaki felhívja a Fabrikam, amelyben kijelenti, hogy a munkavállaló egy adott kereskedő, a cég ellenőrzi ezt a kijelentést? Valószínűleg, akkor kapcsolatba kell lépnie egy megbízható személy a kereskedõ állapotának ellenőrzése előtt munkaviszonyban, hogy adjon neki egy új fiókot. Most képzeld el, a költségek ilyen szolgáltatás fiók, hogy az emberek néha elfelejti, jelszavak és egyéb problémák. Mi történik, ha a munkavállaló elutasítja a forgalmazási? Függetlenül attól, hogy minden rendben lesz emlékezni, hogy időre van szüksége, hogy értesítse a Fabrikam törölni a felhasználói fiókot? Ha nem, akkor a felhasználó jött haza, és a helyére hamis megbízások nevében a kereskedő.
Megjegyezzük, hogy a bizalmi tényező is szerepet játszik itt. Fabrikam bízik minden kereskedő az, hogy ad neki egy részletes listát az alkalmazottak, akik hagyjuk, hogy megrendeléseket egy web-alapú alkalmazás Fabrikam.
A megoldás segítségével ADFS
ADFS segít építeni a bizalmat és csökkenti annak szükségességét, hogy a felhasználói fiókok. Miért adatbázis létrehozása felhasználói fiókokat a kérelmet, ha a kereskedők már a szoftvert, hogy hitelesítse a felhasználókat?
építészet ADFS
Most mutatok neked egy másik része ADFS és magyarázza egy bizonyos mennyiségű szókincs. Mindenesetre szövetségi kapcsolatok, az egyik fél biztosítja a felhasználók (számlák), és a többi - alkalmazások (erőforrások). Beállítása ADFS, konfigurálja a politikai hitelesség révén ADFS beépülő modul (ez tartalmazza a Felügyeleti eszközök mappa), és készíts egy listát a partnerek, akikkel szeretnénk létrehozni egyesület (a szövetség). Tagjai a partner szervezet a meglévő számlák érvényes lesz alkalmazások ADFS támogatást az erőforrás partner. Ábra. Az 1. ábrán egy fa ADFS bizalom politika mindkét oldalán, kialakítva a szövetség.
Ábra. 1. A két partner Policy
egyesített Bejelentkezés
Ne feledje, a web szer alkalmazása, amelynek célja a cookie bejelentkezni? Ő volt az, aki elindította az egész eseménysor. Most, hogy a cookie létezik, a Web Agent kinyitja és elolvassa nyilatkozatok (követelések) az SAML token által kiadott, az összevonási szolgáltatás Fabrikam. Ezután Web Agent alkalmazás segítségével letölteni weboldalakat. Ha az alkalmazás kell tudni a nevét, a bejelentkezett felhasználó, elegendő, hogy ellenőrizze a szokott helyen: HttpContext.User.Identity.Name.
IIdentity, közvetíteni az információkat, végre a típus SingleSignOnIdentity, amely szintén számos hasznos funkciók, többek között hitelesítési eljárás, amelyet a számla partner a felhasználó azonosítása a szervezetükben. Az ebbe a csoportba tartozó alkalmazás is megtanulják az egész készlet kimutatások küldött a Szövetség Service.
Védelem összevont bejelentkezési
Most, hogy közelebbről megvizsgálják, hogy milyen a bejelentkezési biztonság. Egy támadási lehet olvasni a SAML token, majd játssza le őket, felváltva a jogszerű felhasználó. Ennek megelőzése érdekében minden kommunikáció történik HTTPS protokollon keresztül. Ez nagyon fontos; ha megpróbálja telepíteni az ADFS nem telepít egy SSL tanúsítvány egy weboldal alapértelmezés szerint az IIS ADFS telepítő figyelmezteti, és jön ki a beállítási módban megkezdése előtt.
Mi a helyzet a használt bejáratánál a cookie rendszer, amely a kérelmet? Ha a felhasználó szeretné felhívni a kiváltságaikat elérésekor az alkalmazás, akkor is egyszerűen hozzá az alkalmazást a SAML token egy süti! De ez a fajta adatok illetéktelen lehet kimutatni, mivel minden SAML token által aláírt egy titkos kulcsot ismert, csak a kibocsátó hivatal a szövetség. Mindez azért fontos, ha telepítésével ADFS. Ha az erőforrás partner, minden fiókja partnereknek kell tanúsítványokat azok Federation Services. Az erőforrás-összevonási szolgáltatás fogja használni a tanúsítványt a számla partner, hogy ellenőrizze a aláírások SAML zsetont. Web Agent tenni valamit, mint ez, annak ellenőrzése, hogy az egyes SAML token hogy megkapja a cookie bejelentkezési szolgáltatás által aláírt erőforrás partner szövetség.
A sütik az ADFS mindig jelölt bites Secure zászló azt jelzi, hogy a böngésző kell küldenie a cookie HTTPS-en keresztül, csak nem a HTTP. Ezért, ha bármely része az alkalmazás használja a HTTP protokoll, a cookie bejelentkezési eltekintünk, és ezért nem férnek hozzá a felhasználói azonosító információkat. Ez történik például, ha a felhasználó anonim. Azt javasoljuk, hogy végezze el a teljes alkalmazás segítségével SSL, hogy könnyebbé teszik életüket, és csökkenti a valószínűségét, hogy az érzékeny adatokat a támadó.
Kapcsolatos hibák a hívást, cross-site scripting (XSS, XSS) súlyos következményekkel járhat az ADFS web-alapú alkalmazások, valamint bármely rendszer, amely cookie-t használ, hogy képviselje a bejelentkezési munkamenet. A cookie könnyű ellopni egy alkalmazásból, mint a kiszolgáltatottság, mintha képtelenek cookie és képes lesz arra, hogy jelentkezzen be. Mivel az intézkedés a védelmi cookie távú cselekvési ADFS bejelentkezési végén lejár a nap, és ez a tartomány lehet beállítani ADFS bizalom politika. Ha kényelmetlen XSS és hogyan kerüljük el őket, tölteni fél órát, hogy egy interaktív laborban XSS, én írtam.
Hogyan, a felhasználó?
Az egyik cél az ADFS-alkalmazások - nem tömíti el a fejét, így a felhasználó adatait. Vásároljon a Northwind, adja kerékpárok kihagyhatja ezt a lépést, így a felhasználók hozzáférést Fabrikam webhely linken keresztül a mágikus paraméter a lekérdezési karakterlánc - Wh. Web Agent néz ki ezt a paramétert a query string, és ha talál, távolítsa el azt a query string idején előkezelés. A paraméter értéke a URI a szolgáltató partnere szövetség (Federation of egyes szolgáltatások saját URI). Ezért a dolgozók a boltban Northwind lehet megkerülni a következő linken:
Ez ad ADFS elég információt, hogy nem mutatja a felhasználó egy interaktív oldal egy listát a kereskedőket, amelyben fel kell tüntetni a szervezet.
Nyilatkozatok és az átalakulás
Már sokat beszéltünk alkalmazások (követelések) ebben a cikkben. Bemutatjuk az új és egyre fontosabb fogalom fogalmához kapcsolódó védelem a Windows platformon, az alkalmazás egy univerzális módszer alkotó állításokat, az ilyen jellegű, mint a felhasználó. Tekintsünk egy Kerberos jegyet, amely tartalmazza a felhasználói azonosítót és a domain csoportok a bejelentkezett felhasználó. Valójában ez csak egy sor állítás által aláírt tartományvezérlő generált a jegyet. Felhasználói azonosító - a kérelem az azonosító. Bár egy ilyen kijelentés lehet használni az ellenőrzési vagy egyéniség, ez általában nem használják hozzáférés-szabályozás. Sokkal valószínűbb, hogy az említett csoportokat a jegy fogják használni, hogy ellenőrizze a hozzáférési jogok. Például, ha Ön tagja a Menedzserek csoport, akkor lehet engedélyezni, hogy hagyja jóvá a vásárlás drága.
Minden cég meghatároz egy sor alkalmazás a szervezet számára; ez hasonló létre egy barátságos s szótárban. Így a Fabrikam tudja határozni az alkalmazás egy csoport az úgynevezett „tulajdonos”, amely a márkakereskedés tulajdonosa áruház, amely értékesíti kerékpárok. De az üzlet Northwind nyújthat be ugyanezt a szerepet az alkalmazás „Manager”. Ez rendben van, ha ezek a kijelentések jelentése ugyanaz, mint a tulajdonosa Northwind használhatja Egyesített bizalom politikája az erőforrás, hogy megfeleljen a kimenő alkalmazás „Manager” a nyilatkozat „tulajdonos” képes megérteni a Fabrikam. A rendszergazdák beállíthatják az ilyen összehasonlítások mindkét oldalán a kapcsolódó szövetségi kapcsolatokat. Ábra. A 3. ábra egy példát térképészeti alkalmazások a bizalom politikája az erőforrás partner.
Ábra. 3. Összehasonlítás kérelmek
Néhány összehasonlítás túl illékony, ezért is képviselteti magát egy statikus térképezés a bizalom politika. Tegyük fel, hogy az erőforrás-partner kell egy nyilatkozatot jogosult «IsOfLegalVotingAge», hogy megbizonyosodjon arról, hogy valaki több mint 18 éves, de tudod, a felhasználó születési dátuma formájában nem szabványos alkalmazások Active Directory. Tehát szükség van egy konverziós modul alkalmazások, amely a szerelvény, amely végre sikerült IClaimTransform osztályban. Akkor csatolja a bizalom politikája a tulajdonságok a bizalom politika (4.). Ez a modul az úgynevezett kétszer, egyszer, mielőtt a szokásos összehasonlítás a bizalom házirendet, majd egyszer, hogy lehetővé teszi, hogy végre valami pre- vagy postprotsessnuyu feldolgozás. Minden ADFS bizalom politikája lehetővé teszi, hogy létre egy ilyen egység, ezért a dinamikus átalakulás alkalmazások elvégezhető vagy az oldalán a számla partner, és az oldalán a forrás partner.
Ábra. 4. alkalmazások átalakítómodul
Ahol nem a kérelmet?
Hacsak nem írjuk meg a kérelmek átalakítómodulnak dinamikusan generáló alkalmazás, mind az alkalmazások származik majd venni üzletek, amelyek lehetnek Active Directory vagy ADAM (Active Directory Application Mode) - Server „könnyű” könyvtár, amely az Active alapkód könyvtárba. Munka tároló Active Directory-fiókja, akkor jelenítse meg az alkalmazást csoportok egy vagy több csoportot Active Directory; A boltozat ADAM, meg kell adnia az attribútum nevét, a felhasználó tárgy és az érték, amelynél lehetséges lesz, hogy meghatározza, hogy küldjenek a kérelem csoport szükséges a felhasználó számára. Minden nem szabványos nyilatkozat, vagy nyilatkozatot azonosító jelenik meg közvetlenül egy attribútum a felhasználói objektum a könyvtárban.
A szépség ez a rendszer, hogy az integráció a partnerekkel rendszergazda használhatja az azonosító adatok már rendelkezésre áll a vállalati könyvtárban és sok esetben írni a kódot nem szükséges.
névtelenség
Azokban a rendszerekben kérelmek alapján, van egy nagyon érdekes dolog - gyakran nem kell elküldeni a felhasználói nevét. Lehet, hogy egy partner érdekelt, csak egy dolog: attól, hogy a felhasználó jogosult a kérelmet. De a partner gyakran nagyon kényelmes, hogy legalább valamilyen személyazonosító leíró, ahonnan kaphat személyes adatait, vagy más feltétel a felhasználó számára.
Ahhoz, hogy támogassa ezt a névtelen üzemmódban van egy speciális beépített konverziós azonosítás alkalmazások - jobb azonosítását védelem (javított identitás privacy). Ha a számla partnere, és szeretné, hogy a felhasználók számára, hogy névtelen kezelése során egy adott erőforrás partner, csak be kell kapcsolni ezt a funkciót a partner számára a bizalom a politika, és ahelyett, hogy felhasználónév:
Generálni ez a leíró (fogantyú), összevonási szolgáltatás létrehoz egy hash értéket a tényleges alkalmazás azonosító, URI az erőforrás partner és egy bizonyos értéket, amit csak az összevonási szolgáltatás (ADFS terminológia ez az úgynevezett „kulcs a titkosság”). Azzal partner URI leírók eltérő az egyes erőforrás partner, amely megakadályozza, hogy a dosszié egy adott felhasználót. Adatvédelmi kulcsot adunk megnehezítik szótár támadások.
Annak ellenére, hogy az azonosító védelme az erőforrás partner, akkor is nyomon követhető. Ha kell meghatározni valakinek a személyazonosságát, ez megtalálható az erőforrás-használat naplófájlt, és így a rendszergazda a számla partner, aki tudja használni az esemény naplók számlákat, hogy melyik felhasználónak az azonosítást.
Összevonás-szolgáltatási proxy
Ennek az az oka szétválasztás, hogy az ügyfél interfész (gazdasági bejárat) lehet helyezni a kerületét a hálózat (gyakran nevezik DMZ, demilitarizált zóna), és vzaimodeystovat a szerver web szolgáltatások szövetség egy ASMX szolgáltatás fut a belső hálózaton. Ebben a konfigurációban a kliens felületen úgynevezett proxy összevonási szolgáltatás.
Osszuk a rendszergazda, hogy a Szövetség szolgáltatás használata proxy egy gépen, a nagy nem számít, de minden esetben érdemes tudni, hogy ADFS képes működtetni a DMZ.
Befogadás ADFS támogatja a webes alkalmazás
Ha szembe a feladattal, ami egy web-alapú alkalmazás, amely támogatja bemeneti keresztül ADFS, meg kell csinálni néhány dolgot. Meg kell állítani a web.config fájlt letölteni, és konfigurálja a Web Agent ADFS. 1. lista mutatja a web.config fájl, amelyet az előállítás során felhasznált minta alkalmazás ezt a cikket.
1. lista példa web.config
Konfigurálásával web.config fájlt, akkor képes lesz arra, hogy kap adatokat bejelentkezési adatait ADFS-fiók partnerekkel. A következő lépés az lesz, hogy elfogadták a szervezet biztonsági megoldások alapján alkalmazásokat.
Ha azt szeretnénk, hogy a munka a rendszer szövetség, akkor létre kell hozni egy alkalmazást, amely megérti a kérelmet, és egyidejűleg nem lehet támaszkodni a mechanizmus megszemélyesítés (megszemélyesítés), mert akkor nem rendelkezik Windows tartományi fiók, ami a felhasználó fiókja partnerekkel. Nem lesz foglalkozó internetes szer, amely nem tesz összehasonlításokat Windows fiókok és küld egy nyilatkozatot fogadott HttpContext.User tulajdon. Ez a megközelítés azt alkalmazzuk példámat.
Kódot írni, hogy ellenőrizze az állításokat nehéz. Sőt, ha támaszkodnak elsősorban a zenekar, akkor nem kell külön gondolni a nyilatkozatokat. Csak tartsa a HttpContext.User.IsInRole, hogy ellenőrizze a jelenléte vagy hiánya az ilyen nyilatkozatok, figyelembe véve azokat az alkalmazás szerepet. Azaz, akkor az ASP.NET vezérlők, mint a LoginView, ami alapján működik szerepek szerzett HttpContext.User tulajdon.
Ha azt szeretnénk, hogy az érték nem szabványos alkalmazások, akkor kell egy kis kódot. Ebben a kódrészlet megkeresi alkalmazás Cím:
Egy másik érdekes tulajdonsága a AuthenticatingAuthority - URI a számla partner, amely hitelesíti az ügyfelet. Mindig hasznos a jelenléte gombok Log Off, és itt hasznos az Ön SignOutUrl tulajdon.
A minta felvitele a cikket létrehoz egy táblázatot az értékek minden SingleSignOnIdentity állami ingatlanok, ábrán látható. 5. Azt is kap egy sor lényeges sajátságait védelem, amely megmutatja az összes elküldött igazolások eredeti formájukat. De mielőtt futtatni ezt az alkalmazást, telepíteni kell ADFS.
Laboratóriumi munka ADFS
Van is, és egy minta alkalmazás, beleértve a konfigurációs fájl, amelyet fel lehet használni a vizsgálathoz. Egyszerűen másolja default.aspx és web.config fájlokat egy virtuális könyvtár a képre az erőforrás partnere; akkor képes lesz arra, hogy jelentkezzen be a kliens számítógép és adja a böngésző webes alkalmazás erőforrás partner kívánt belépni.
Műsor: öröklött Védett