Freigeben über


Federação entre sistemas heterogêneos e “Active Directory Federation Services”

Na semana passada eu escrevi um blog sobre a mudança dos nomes do codinome Geneva:

Neste blog eu gostaria mostrar para você a possibilidade de integrar ADFS (Active Directory Federation Service) com varios  provedores de recursos. Vamos começar com as definições básicas de um ambiente de SSO.

Infraestruturra de um Ambiente SSO

Como nos podemos ver nesta arquitetura de um ambiente básico, a interoperabilidade entre os dois STS é garantida através dos padrões de mercado “WS-Trust, SAML 2.0”. A autenticação e garantida via o provedor de identidade, que em este exemplo é Active Directory.

                image

Processo de Autenticação e Autorização (Processo Simplificado)

Vamos analisar os passos básicos durante o processo de autenticação e autorização:

image[16]

Passos:

  1. O cliente se autêntica via o STS Brasil (Active Directory) e recebe o token de segurança com as declarações
  2. O cliente entrega o token de segurança para o STS México que verifica se o token fui criada via um servidor STS de confiança. Depois deste passo o STS Mexico transforma o token em um token novo e entrega o próprio para o cliente.
  3. O cliente entrega o token para o recurso que baseado nas declarações do token concede acesso.

Considerações

    • Toda arquitetura definida precisa ser revisada baseada nas mudanças de cada beta do Servidor Geneva
    • Os padrões WS-Federation, WS-Trust e SAML 2.0 precisam ser suportados pelos STS
    • Aplicações “Relying parties” precisam suportar autorização baseado em declarações
      Technorati Tags:
    • Autenticação precisa ser executada através do serviço de “Active Directory”
    • Geneva Server esta na versão Beta 1

Espero que eu consegui esclarecer algumas perguntas de vocês ;)

Grato,