Deep dive into ADFS and DRS

Report
Fredrik ”DXter” Jonsson
Senior Security Consultant
Sigma IT & Management Sweden AB
Deep dive into ADFS & DRS
(Device Registration Service) in
Windows Server 2012 R2
A Federation-Ninja’s warstories from the field…
Hur skiljer sig IAM i molnet generellt?
• Man administerar inte molntjänsten man använder.
• Molntjänsten har ingen direktförbindelse (Site-to-Site VPN, svartfiber, etc) till den
lokala infrastrukturen.
• Man vet inte vilket operativsystem, vilken mjukvara, etc, som finns under skalet.
• Man har väldigt få möjligheter att anpassa systemet efter egna säkerhetskrav gällande
identiter (krav på smartcards, etc.).
• Man har en lägre tillit mot externa tjänster.
• Man byter leverantörer potentiellt sätt oftare.
Active Directory Federation Services 2.x Security Token Service Signing
Provider Component (ADFS-STS)
• Tjänst som utfärdar biljetter
– Ge den “något”
•
•
•
•
Användarnamn/lösenord
X509 certifikat
Kerberosbiljett
Annan typ av biljett
– Och du får ett “äkthetsintyg” tillbaka
“något”
“äkthetsintyg”
•
•
•
•
•
SAML
SWT
WS*
Cookie
(Något annat)
claims transformation
E-mail [email protected]
email [email protected]
title
Konsult
title
Employee
dept
IS
org
Sigma
tel no. 076 858 22 99
ADFS 2.x
tel no. +46 76 858 22 99
limit
10 000:-
if title == “Employee” AND department == “Sigma”: purchaselimit = “10 000:-”
if title == “Manager” AND department == “Sigma”: purchaselimit = “100 000:-”
Identity Federation
Authentication flow (Passive/Web profile)
Customer
Microsoft Online Services
Active Directory
User
Sourc
e ID
AD FS 2.0 Server
NET
ID
Authentication platform
`
Client
(joined to CorpNet)
Exchange Online or
SharePoint Online
Vad är nytt i ADFS 3.0?
• Man kan inte längre installera stand alone instanser, endast farmar.
• ADFS kan nu använda GMSA (Group Managed Service Accounts).
• IIS är borttaget och ersatt med en egen embedded webserver.
• GUI:et är utökat, med bland annat stöd för SQL native i wizarden.
• Utökat PowerShell stöd för ALLT!
• Nya inloggningssidor.
• ADFS-Proxyn är död och ersatt av WAP (Web Application Proxy).
• Ny tjänst – Device Registration Service.
• Autentiserings inställningar i GUI:et (inget mera hackande i web.config i ADFS).
• Autentisering görs nu per browsersession, baserad på user agents.
• Autentication Policies – Ställ dina autentiseringskrav för inloggning utifrån kriterier som
RP, grupp, device och location.
• HRD (Home Realm Discovery) helt omskriven från scratch – möjliggör samma
inloggningsflöde till ADFS som i Office 365.

similar documents