AZR303 雲端整合企業識別 進行單一簽入 張書源 資深開發技術經理 台灣微軟.

Presentation on theme: "AZR303 雲端整合企業識別 進行單一簽入 張書源 資深開發技術經理 台灣微軟."— Presentation transcript:

1 AZR303 雲端整合企業識別 進行單一簽入 張書源 資深開發技術經理 台灣微軟

2 大綱 應用程式安全性的挑戰 Claim-based應用程式架構 Windows Azure存取控制服務 WIF 4.5 在開發工具的支援
設定使用企業識別單一簽入

3 應用程式安全性的挑戰 你的應用程式 開發人員您好, 感謝您在應用程式安全上所做的努力! 使用者敬上 客戶支援 資安 管理介面 忘記密碼?
個資存放 使用者帳號 對應 LDAP 更多的使用者帳號對應 驗證 授權 與AD整合 資料同步 Facebook Auth API 你的應用程式 更多的 資料同步 整合 Facebook

4 ? 解決方案: Claim-based 架構 信任圈 ACS ACS + + WIF WIF “User is Joe”
“Role is Administrator” 信任圈 你的應用程式

5 數位身分驗證情境 要求身分識別資訊(RP) Claim: Seat is 28A 權杖(Token) 識別提供者(IdP) 轉換
主領域探索 WIF 存取控制服務(ACS) 識別提供者(IdP) 使用者

6 雲端的身分識別管理 使用者 使用者的識別 應用程式 全部都加入安全聯盟中 企業內部 合作夥伴 任何地方!!! 企業內部 合作夥伴
帳號: Fred 密碼: ***** 年齡: 107 國籍: Japan 使用者 企業內部 合作夥伴 任何地方!!! 使用者的識別 企業內部 合作夥伴 第三方識別提供者 應用程式 企業內部 合作夥伴 任何地方!!!

7 Windows Azure Active Directory
Windows Azure AD 包括了存取控制服務 (ACS) 提供應用程式與服務驗證授權使用者的方法 ACS 支援熱門的識別提供者 信賴憑證者(Relying parties) 可以是應用程式或是AD FS

8 存取控制服務 讓使用者驗證授權變得更容易 將單一簽入(Single Sign On) 與集中式授權整合到你的網際網路應用程式中
以標準為基礎的識別提供者 企業目錄服務 (Active Directory Federation Server v2.0) 網際網路識別 (Windows Live ID, Google, Yahoo!, and Facebook)

9 使用存取服務 存取控制服務 信賴憑證者 AD FS 伺服器 或是應用程式 規則引擎 管理服務 信任 使用者 STS 管理網頁 驗證
Azure 信任 使用者 STS 管理網頁 驗證 識別提供者 LiveID Google Yahoo AD FS 2.0 Facebook OpenID IdP 權杖 ST ST IdP 權杖 按照規則處理 ST ACS 管理員 ACS 權杖 ST

10 使用Windows Azure 存取控制服務 整合Facebook驗證

11 之前的身分識別開發工具

12 WIF 4.5 的新工具 Visual Studio 擴充功能 流程簡化 減化開發claims-based 應用程式開發時所需要的環境
著重在開發時期操作經驗 減少必要的網域相關知識 減化開發claims-based 應用程式開發時所需要的環境 包含一個測試的STS 與Windows Azure 存取控制服務整合

13 直接連結ADFS2

14 結合ACS

15 透過Visual Studio 2012 與WIF 4.5 建立Claim-based應用程式

16 透過ADFS 2.0 結合Windows Azure 存取服務 進行企業單一簽入(SSO)

17 立即啟動！免費開發人員帳戶!! Windows Store / Windows Azure / Windows Phone
擁有 MSDN 訂閱 「取得代碼」後進行註冊 優惠內容: Windows Store / Windows Phone – 啟用後12個月, 完全免費！ Windows Azure – 訂閱期間, 每月固定的免費使用量！

18

19

20

21