Active Directory Federation Services

ADFS מסייע בעת השימוש ביכולת SSO המקנה יכולת הזדהות משתמשים הקשורה באפליקציות אינטרנט "הרוכבות" על אותו Session מקוון בודד ע"י שיתוף זהות דיגיטלית מאובטחת וזכאות לזכויות מעבר לגבולות אבטחת הארגון. במאמר זה אציג מעט אודות ארכיטקטורת ADFS ויכולותיה.

מאת: שוקי נוי.


Active Directory Federation Services Active Directory Federation Services

פדרציה בין ארגונים שונים, מציגה ארכיטקטורה הפועלת ברמת מבנה החלוקה לסניפים\אזורים הנדרשים לבצע הזדהות עם אותו שם משתמש וסיסמא. אך, כל סניף הוא דומיין בפניי עצמו כאשר נושא ה – Trust הוא הדבר החם כאן ולמעשה אין צורך לבצע הזדהות נוספת היות ומתקיים SSO בין הדומיינים

דוגמא מאוד נפוצה כיום ניתן לראות במוצר Office 365 העושה שימוש ב SSO כאשר המעבר של שירות ארגוני לבין שירותים "היושבים" בענן – מהיר ומקוון וקיים הצורך לבצע את השילוב ביניהם – החיבור מאובטח ומעבר לכך נגיש כל הזמן בין שתי הסביבות .    

ADFS מספק ארכיטקטורה מורחבת התומכת בטוקן העונה לשם SAML – Security Assertions Markup Language טוקן זה מיוצג ע"י טענות XML , בברירת המחדל שלו SAML TOKEN WCF עושה שימוש בפדרציית אבטחה. טוקן זה נושא עמו סט של טענות שהועלו ע"י ישות אחת לטובת ישות אחרת.

Active Directory Federation Services

דוגמה טובה לשימוש בטכנולוגיה זו היא דוחות ביטחוניים הנחתמים ע"י SAML Token באמצעות משתמש מצד אחד של הארגון (Retailer Online) אותם מבקש משתמש אחר בארגון הנמצא בדומין שונה (Tailspin Toys).

על מנת לאפשר את הגישה למידע החתום ב SAML Token אנו זקוקים ל – Federation Services בכדי ליצור פדרציה בין הדומיינים השונים בארגון. לאחר הגדרת התצוגה נוכל ליצור מצב בו הזדהות מקומית בודדת מדומיין Toys Tailspin מספיקה דיו בכדיי להגיע לדוחות מדומיין Retailer Online .

ה – SAML Token מייצג את מפתח ההצפנה של המשתמש – למעשה ה-Token  מספק הוכחה העונה על סיבת ההסתמכות שאכן אותו SAML Token היה למעשה זה שהונפק עבור משתמש זה.

כיצד זה בעצם קורה?

1. לקוח מבקש SAML Token מ STS (שירות המספק טוקן אבטחה), מתבצעת הזדהות לשירות STS ע"י שימוש ב Windows Credential.

2. ה STS מנפיק SAML token עבור הלקוח, ה SAML token מבצע כניסה באמצעות תעודה המשוייכת ל STS המכילה הוכחה הייתכנות למפתח המוצפן עבור השירות הייעודי.

3. הלקוח בנוסף מקבל העתק של הוכחת ייתכנות המפתח, לאחר מכן הלקוח מציג את ה SAML token לשירות האפליקציה ואז מסמן זאת ע"י הודעה המוכיחה ייתכנות המפתח.

4. החתימה מעל ה SAML token מורה לצד הסומך שה STS הנפיק את הטוקן. הודעה על חתימה שנוצרה עם הוכחת ייתכנות המפתח מורה לצד הסומך שהטוקן הונפק ללקוח.

Active Directory Federation Services


מעבר מהיר על SAML Tokens & Claims

דוגמא לשימוש נכון :

מ Claims ל SamlAttributes

תחת Windows Communication Foundation קיימות הצהרות XML ב SAMLtokens המשמשות מודל לאובייקטי SamlAttribute שמאוכלסות היישר מתוך אובייקטי ה Claims,

SamlAttribute מספק זכויות בעלות לאובייקט ה Claim עבור מחרוזת מסוג

PossessProperty ול Resource property .

Active Directory Federation Services

עד כאן בקצרה על ADFS , במדריך הבא אציג Live Demo שיתאר כיצד נראית חווית המשתמש , לבנתיים תוכלו להכיר את עולם ה ADFS במעבדה הבאה – שאני מאוד ממליץ לעשות אותה:

Windows Server 2012 R2: Implementing Claims-Aware Applications

אשמח לסייע ולענות על כל שאלה הקשורה בנושא זה ובנושאי תשתיות אבטחת מידע מייקרוסופט.

שוקי נוי.


נתקלתם בתקלה בעת ביצוע המדריך ? לא הצלחתם להגיע לתוצאה המבוקשת ? מעוניינים במדריך על נושא כלשהו שלא קיים בבלוג או סתם לשוחח איתנו ? הגיבו עכשיו במערכת התגובות כאן בבלוג, קפצו לבקר אותנו בעמוד ה Facebook שלנו , בערוץ ה YouTube או במערכת MSA והישארו מעודכנים על ידי הצטרפות RSSשלנו !

אהבתם? שתפו...Email this to someoneShare on FacebookShare on Google+Share on LinkedInTweet about this on Twitter

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *