Dienstag, November 07, 2006

DEV309 The Identity Metasystem, Active Directory Federation Services (ADFS) and Windows CardSpace (formerly 'InfoCard')



Keith Brown
http://www.pluralsight.com/keith
Abstract:
The Identity Metasystem is a new way of representing digital identity. It's a claims-based identity backplane that can be used for authentication and authorization on the Internet. This session will introduce these concepts in a very concrete way including demos of ADFS that show how you can reap the benefits of federated and claims-based identity in your own Web applications. We'll follow up with a discussion of Windows CardSpace, which surfaces the metasystem to end users and puts them in control of their identities. You'll take away from this session fresh ideas about how to authenticate and authorize users in your Web applications and Web services. You'll also learn how important it is to avoid creating more identity silos!


Die Diskussion beginnt damit, dass MIIS zu teuer sei… und weshalb kein "Single Identity System" Erfolg hat. Passport funktioniere zwar super, aber eben nur auf MS Systemen.

Die sieben "Laws" of a stable Identity system:

User Control an consent
Minimal disclosure
Justifiable parties
Directional identity$Mutliple operators and technologies
Human integration
Consistent expirience across contexts

Wieso funktioniert Passport nicht ? Weil niemand sich trauen würde, sich bei seinem e-banking System mit dem Passport Account einzuloggen. Microsoft sei zwar fein, aber gewisse Daten will man nicht jedem anvertrauen…

Dem Identity Metasystem: Keine Identity Technologie oder Provider "rule them all" =Law 5 ! Es sei aber möglich, ein Identity Backplane zu machen, wo diverse Systeme miteinander arbeiten. Denn kein System erfülle alle Anforderungen aus allen Systemen. Nun wird erklärt, was claims sind.





Die Active Directory Federation Services wurden letzten Dezember mit Windwos 2003 R2 Server ausgeliefert.

• Adds support for WS-Federation (passive profile)
• Passive profile is for browser clients
• Active profile (ADFS v2) will support smart clients
• ADFS supports several modes of operation
• B2B federation (this talk will focus on this mode)
• B2E extended intranet access for mobile users
• B2C single-sign on using account database in perimeter network

• Architects: federation with ADFS has many benefits!
• Reduces cost and latency
• Single-sign on means users don’t need yet another password
• Ditch those passwords and use strong authentication!
• Devs: learn how to support ADFS in your web apps!
• ADFS comes with an HttpModule called the “ADFS web agent” that does all the heavy lifting for you (decrypting SAML tokens, etc.)
• ADFS class library adds a couple of new namespaces
○ System.Web.Security.SingleSignOn
○ System.Web.Security.SingleSignOn.Authorization
• HttpContext.User.IsInRole works like you expect for group claims

Sorry wenn ich hier Teile in English poste, aber es geht so schnell… Ich werde die Folien organisieren, denn es ist mit einer Animation sehr viel einfacher zu erklären, wie die ADSF funktionieren, als jetzt step by step zu beschreiben. (Oder ihr fragt Roger , der kann euch dies sicher besser erklären, als ich im Blog. )



Nun geht es um Windows Card Space… und ich verstehe endlich, was das genau ist.
Windows Card Space funkioniert so, dass wenn ich irgendwo einlogge, wo (Card Space vorausgesetzt) ich mit meiner "Card" einloggen kann. Ich brauche dazu kein PW oder so. Meine Card ist wie eine Art "Pass". Dieser Pass muss nicht von der Seite stammen, wo ich mich einlogge, sondern kann z.B (wie ein Zertifikat) von Verisign sein oder so. Übertragen werden nun nicht alle Informationen, die die Seite von mir haben muss. Es ist eine Art Token, sieht aus wie ein Kerberos Ticket. Nun weiss die Site, woher meine Card kommt und fragt diese an. Die Antwort ist nun einfach OK, oder NOK. Ich erhalte Zugang zu Website, ohne einen "eigenen" Account dort zu habe.



Sehr interressante Session, ich werde hier sicher mündlich oder so noch mehr erklären können. Ist nicht immer ganz einfach, aufzupassen, zu bloggen und alles auch noch so wiederzugeben, dass verstanden wird was ich sagen will ;-)

Keine Kommentare: