Microsoft TechDays Lisboa

Transcrição

1 DEV025 Segurança na Windows Communication Foundation Pedro Félix pedrofelix em cc.isel.ipl.pt. Professor, ISEL Patrocinadores Objectivos da sessão Aspectos de segurança a considerar? Aspectos de segurança na arquitectura da WCF? Quais os padrões e boas práticas para cenários clássicos? Utilização da WCF em novos cenários (Federação, Identity Metasystem, )? Formas de extensão? This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary. 1

2 Agenda Objectivos e modelos Representação da identidade e modelos de protecção Espaço de configurações no WCF Padrões de segurança, cenários e WSSF Autorização baseada em claims Agenda Objectivos e modelos Representação da identidade e modelos de protecção Espaço de configurações no WCF Padrões de segurança, cenários e WSSF Autorização baseada em claims Objectivos Confidencialidade do receptor Autenticidade do produtor Integridade Autorização Decisão baseada na identidade Outros Universal Principal Name (UPN) Nomes X.500 Outros Nomes DNS Service Principal Name (SPN) Produtor Receptor This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary. 2

3 Channel Stack Channel Stack Security Tokens vs. (username+password) Universal Principal Name (UPN) Bilhetes Nomes X.500 Certificados Outros ex. SAML (Secure Assertions Markup Lang.) Nomes DNS Certificados Service Principal Name (SPN) Bilhetes Protecção criptográfica da mensagem XML-DSIG, XML-ENC, WS-* Canal de transporte seguro Ex.: SSL, Segurança na WCF Modo Operação Operação Operação Operação Behaviors AuthorizationBehavior Proxy ClientCredentials Dispatcher ServiceCredentials Protocolo Protocolo Encoder Encoder Protecção entre produtor e receptor final Flexibilidade: tipos de credenciais (normas WS-*) Independência do transporte Suporte e interoperabilidade (SSL é ubíquo) Desempenho Facilidade de deployment : confidencialidade e integridade : credenciais This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary. 3

4 Credenciais do cliente Certificado IssuedToken Certificado IssuedToken Intranet ou Internet Internet Intranet Federação ServiceCredentials ServiceAuthorizationBehavior Relação directa entre cliente e serviço s com certificados Domínios Windows Infocard CardSpace Certificado do serviço Validação da password Thread. CurrentPrincipal Authorization Manager tem acesso à Identity Store B2B Utilização de PrincipalPermission Autorização clássica do.net Autorização baseada em claims (Identity Model) Certificados Certificado IssuedToken Certificado IssuedToken ServiceCredentials ServiceAuthorizationBehavior ServiceCredentials ServiceAuthorizationBehavior Certificado do serviço Validação da password Windows Thread. CurrentPrincipal Windows Authorization Manager Certificado do serviço Validação do certificado do cliente Thread. CurrentPrincipal Windows Authorization Manager SQL Server ADAM + AzMan Membership Provider Proprietária Role Provider Proprietário Proprietária Chain/Peer Trust Role Provider Proprietário This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary. 4

5 Implementação Desenho Arquitectura Certificado Thread. CurrentPrincipal ServiceAuthorizationBehavior Windows IssuedToken Authorization Manager Agenda Objectivos e modelos Representação da identidade e modelos de protecção Espaço de configurações no WCF Padrões de segurança, cenários e WSSF Autorização baseada em claims Padrões e práticas Padrões de autenticação Web Services Security, Patterns & Practices Padrões Arquitectura Desenho Implementação (para WSE 3.0) Padrões nucleares Autenticação e Protecção Padrões adicionais Trusted Subsystem e Constrained Delegation Validator e Exception Shielding Perimeter Service Router Direct Authentication Direct Authentication Variantes AD SQL Server LDAP certificates certificates Brokered Authentication Security Token Service This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary. 5

6 WSSF Web Service Software Factory (WSSF) Versão de Dezembro de 2006, implementação de padrões para a WCF Padrões de segurança Anonymous Authentication Direct Authentication com Windows accounts, SQL Server ou ADAM Brokered Authentication Certificados Aplicáveis a projectos de hosts Reflectidos no ficheiro de configuração WSSF - Token Utilização da WSSF para implementação do padrão de autenticação directa baseado em usernames e passwords Configuração <binding name="directauthenticationusernametokensql"> <security mode="message"> <message clientcredentialtype="username" negotiateservicecredential="true" establishsecuritycontext="true" /> </security> </binding> WSSF Certificados <servicecredentials> <servicecertificate findvalue="cn=localhost" storelocation="localmachine" storename="my" x509findtype="findbysubjectdistinguishedname" /> <usernameauthentication usernamepasswordvalidationmode="membershipprovider" membershipprovidername="sqlprovider" /> </servicecredentials> Utilização da WSSF para implementação do padrão de autenticação mediada baseado em certificados <serviceauthorization principalpermissionmode="useaspnetroles" roleprovidername="sqlprovider" /> This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary. 6

7 WS-Trust Agenda Identity Metasystem Objectivos e modelos Representação da identidade e modelos de protecção Espaço de configurações no WCF Padrões de segurança, cenários e WSSF Autorização baseada em claims Sujeito WS-Trust Identity Provider Emissor Security Tokens = Conjunto de Claims Digital WS-SecurityPolicy WS-Security SAML Consumidor Federação Federação IssuerMetadataAddress IssuerTokenType ClaimTypeRequirements IP/STS IP/STS-C IP/STS-R IssuerMetadataAddress IssuerTokenType any IssuerMetadataAddress IssuerTokenType Security Token ClaimTypeRequirements ClaimTypeRequirements WSFederationHttp WSFederationHttp This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary. 7

8 WS-Trust Federação IP/STS-R IP/STS-C Federação IP/STS-C STS IssuerTokenType ClaimTypeRequirements IP/STS-R WS-MEX WS-Trust Obter metadata Obter metadata Obter metadata Requisitar Token Requisitar Token WSDL + WS-Policy WSDL + WS-Policy WSDL + WS-Policy any CardSpace IssuerMetadataAddress IssuerTokenType ClaimTypeRequirements WSFederationHttp Enviar CardSpace Utilização do CardSpace Agenda Objectivos e modelos Representação da identidade e modelos de protecção Espaço de configurações no WCF Padrões de segurança, cenários e WSSF Autorização baseada em claims This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary. 8

9 Claim e ClaimSet Claim the expression of a right with respect to a particular value Membros de Claim ClaimType: string (URL) Resource: object (tipo exacto depende de ClaimType) Right: string (URI) ClaimSet Implementa IEnumerable<Claim> Propriedade Issuer do tipo ClaimSet ClaimSet contains Claim Issuer ClaimType : string Right : string Resource : object Identity Model Token Certificados Bilhetes Outros Tokens Autenticador Autenticador Autenticador Autenticador Conjunto de Claims Inserção de claims com base na claims existentes no conjunto: Derivação de claims Normalização de claims ServiceAuthorizationManager Decisão de autorização baseada nas claims existentes CheckAccess Políticas de Autorização Sumário Validação de Security Tokens Tokens Verificação de certificados Definição do Thread.CurrentPrincipal Associação dos Roles Políticas de autorização baseadas em claims Security Tokens proprietários Provider, Serializer, Authenticator Canais de protocolo Modelos Padrões de segurança, cenários, configurações e WSSF This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary. 9

10 Resources/Recursos Úteis Windows Communication Foundation Especificações Outros Nicholas Allen s blog: blogs.msdn.com/drnick Kim Cameron s blog: Outros Recursos Para Profissionais de TI Questionário de Avaliação Passatempo! TechNet Plus 2 incidentes de suporte gratuito profissional software exclusivo: Capacity Planner software Microsoft para avaliação actualizações de segurança e service packs acesso privilegiado à knowledge base formação gratuita e muito mais. Complete o questionário de avaliação e devolva-o no balcão da recepção. Habilite-se a ganhar uma Xbox 360 por dia! DEV025 Segurança na WCF This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary. 10

11 This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary. 11