Kim Cameron nous présente une session d’introduction à la gestion d’identité, commençant par un rappel : chaque communication entre deux entités commence par
Qui es-tu ?
La discussion file vers la façon la plus naturelle de régler le problème : une base login/password. Il continue en passant sur Active Directory, puis OTP pour des accès externes, puis des audits de sécurité, puis … Bref.
Ensuite, il prend une comparaison avec la gestion des entrées/sorties en montrant qu’un flux d’octets est le bon niveau d’abstraction, et complète son analogie en introduisant la notion de Claims pour porter une information d’identité.
Il développe les grandes notions de façon un peu désordonnée : le besoin d’adoption du système par les utilisateurs, le besoin de définir des standards, le besoin de transformer d’un mode de représentation à un autre.. Bref, il nous faut un méta-système pour englober les spécificités de chaque système et permettre l’unification des formats, transports et responsabilités.
D’où : Geneva, un framework simplifiant l’implémentation de tout ça
Qui es-tu ?
insertion dans le App.Config d’une directive
<federatedAuthentication enabled=”true”>
wsFederation issuer =”” realm=”” passiveRedirectenabled=”true”
<federatedAuthentication >
Que peux-tu faire ?
IclaimsIdentity caller = Thread.CurrentPtincpal.Identity as IClaimsIdentity
string role = (from c in caller.claims where c.ClaimType = myClaimstype.Roles
select c.Vaue).Single
Geneva en détail :
Le FW
pour créer des applis orientées claims
Le Serveur Geneva
Un STS intégré à AD
Supporte Cardspace
Windows Cardspace Geneva
Client de fédération (un nouveau client Cardspace)
Ensuite, on va regarder ce qui se passe côté client : l’autre entreprise, l’autre utilisateur.
Les arguments sont : le FW supporte WS-Federation, WS-Trust, SAML 2.0, et peut donc fonctionner avec toute offre logicielle reposant sur l’un de ces standards.
DogFooding ?
Nous (MS) utilisons la même architecture en interne, et chaque application chez nous devient accessible via la Microsoft Federation Gateway, conforme à Ws-Fed et WS-trust
Live-ID ?
Conforme au sens où nous savons l’intégrer dans le système de fédération.
Nous lançons Mic’osoft Services Connector qui connecte AD à Mictrosoft Federation Gateway, download gratuit, pour les clients qui ont besoin d’un accès à la Gateway et pas plus, c’est bien sûr compatible avec Cardspace.
Faut-il impérativement reposer sur une ressource type Cloud, la Federation Gateway, pour tourner ? On peut tout à fait travailler en deux couches : un Geneva Server en local, qui sera capable daccepter des communications en provenance de la Gateway si nécessaire.
Encore du neuf : .Net access control service : c’est un service (un STS) qui prend des claims d’authentification et renvoie des claims d’autoirisation (en gros, on lui donne des règles et des rôles, et à partir de l’identité il renvoie les rôles auxquels appartient l’utilisateur). Ce service n’a rien de compliqué à écrire, c’est un peu l’AzMan du monde de lidentité fédérée
Après ces 30 minutes assez intenses (un vrai déluge d’annonces), Kim passe la parole à Vittorio Bertocci pour une série de démos. Je ne vais sans doute pas les reprendre dans ce compte-rendu, mais voilà quand même mes notes
--
La méga-démo reprend tous les éléments. Les forces en présence : une entreprise classique (ADatum), un éditeur qui fait du SaaS, et le Microsoft Services Identity Backbone avec tous les blocs derrière
La démo commence avec un empoloyé d’Adtum (l’entreprise) qui se loggue sur sa bécane et file sur une application CRM Online. La partie surprenante : on a eu un SSO entre adatum (le client initial) et l’application hostée par Microsoft
Traduction : l’appli hostée chez MS a eu besoin d’un token, ce token a été délivré par la Microsoft Federation Gateway qui est en fédération avec lo’AD de ADatum.
Il continue en disant “très bien, on sait le faire chez MS, et si vous voulez être l’hébergeur ?” En d’autres termes, pouvons-nous dynamiquement assirer la fédération ? Il montre que ça fonctionne, et présente dans les pages de l’application SaaS des données qui viennent de l’yutilisateur et expliquèe que ces données ont été trannsmises dynamiquement
Il lance un Geneva Server (enfin, la MMC associée) et montrre qu’on peut administrer des relying parties : à qui puis-je délivrer des tokens. La MMC permet de définir des claims s’appuyant sur l’Active Directory.
On file ensuite sur Fabrikam pour voir comment ils consomment les claims émises par le serveur Geneva
Il part d’une appli ASP.Net classique (au passage : Zermatt est dans Geneva maintenant).
Il montre qu’il accepte les caims de adatumcorporation, et qu’on fait ensuite des requêtes LINQ sur les claims
firstname = from c in claims …
Fin du scénario : à la fin de la journée, l’employé rentre chez lui. Il ouvre son portable, retourne sur son applicatyion, mais ce coup-ci il n’y a pas de sso actif puisque son AD n’est pas là. Donc on lui propose de s’identifier (Geneva et le connector ont des pages type pour ça, qui proposent CardSpace et un autre que j’ai pas vu)
Il montre le nouveau Cardspace : interfae très lég_re, qui lui demande de fournir es credentials de domaine, et hop ça passe
le cheminement : de chez moi je file vers l’AD de mon entreprise, qui me délivre un jeton consommable par l’appli SaaS
Il termine en montrant une modification : refusée, il n’est pas manager. Mais ici on montre qu’on peut rendre magique ce déblocage d’accès : il utilise .Net Access Control Service
Il montre une appli qui utilise les APIS de gestion d’Azure et montre de façon graphique les règles qui présiednt à la transformation des claims donnant les claims d’autorisation
La fin : comment raccordement à LiveId, puis interop avec Tivoli d’IBM, avec le protocole SAML 2
11h56 : passe la parole à Kim
Oh : LiveId est maintenant BootStrappé sur OpenId (j’ai pas plus d’infos pour le moment, pas de lien )
Donc pour vos sites et applis : soit Live Framework (LiveId-based?), soit Framework Geneva, soit OpenId
Geneva Server :
Genevca RTM H2 CY09
13h45 : Geneva server Overview
3h30 : cpo,ecting AD to %ocrosoft Services