3 votes

omni avatar

Confiance transitive ADFS v.2.0 dans un scénario de fédération

Demandé el 30 de Août, 2012
Quand la question a-t-elle été
1395 affichage
Nombre de visites la question a
1 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Je travaille actuellement avec ADFS pour établir une confiance fédérée entre deux domaines séparés.

Ma question est simple : Est-ce que l'ADFS v. 2.0 supporte la confiance transitive entre les fournisseurs d'identité fédérés ? Si oui, voir les questions ci-dessous. (Je ne parle pas des trusts de la forêt AD mais de domaines complètement séparés utilisant l'ADFS 2.0 dans un scénario de fédération).

Je sais que l'ADFS v 1.0 ne le fait pas, comme indiqué dans le document ce document à la page 9. Mais en regardant les règles de réclamation qui accompagnent l'ADFS 2.0, il semble que ce soit possible, en tant que partenaire Microsoft confirmé. Cependant, la documentation sur ce sujet est un véritable fouillis ! Je n'ai trouvé aucune déclaration relative à l'ADFS v. 2.0 sur ce sujet ( SI vous avez de la documentation à ce sujet, S'IL VOUS PLAÎT, aidez-moi les gars ! ).

Pour être plus clair, supposons ce scénario :

Federation provider (A) trust federation provider (B) which trusts identity provider (C).
So, does (A) trust identities comming from (C) across (B)?

Questions de Fruther en cas de soutien de la confiance transitive :

  • Est-il possible de restreindre la confiance transitive dans l'ADFS de quelque manière que ce soit ? Si oui, comment ? (Commande Powershell ou entrée du menu de l'ADFS GUI où le trouver)
  • Comment la confiance transitive affecte-t-elle les propriétés Issuer et OriginalIssuer des créances ?
  • Si la confiance transitive est utilisée avec les transformations de créances et que le fournisseur (B) transforme les créances courantes de (C) de manière à ce qu'elles soient transformées en (nouvelles) créances de même type et de même valeur, comment cela affecterait-il les propriétés de l'émetteur et de l'émetteur d'origine ?

IMPORTANT : qu'il soit pris en charge ou non, j'ai besoin de sources officielles à ce sujet. Cependant, si personne d'autre ne peut les fournir et que quelqu'un est capable de répondre aux questions avec son expérience, je suis prêt à lui donner la prime même sans sources officielles.

Demandé el 30 de Août, 2012 par omni

Réponse

Trop de publicités?

0voto

omni avatar
omni Points 313

Comme personne n'a répondu, j'ai pris le temps d'installer un laboratoire de test et de renifler le trafic HTTPS. Voici les résultats de mes recherches au cas où quelqu'un d'autre tomberait sur cette chose :

  • Je n'ai toujours pas de source officielle pour ces questions
  • Tout d'abord, oui, la confiance transitive est possible et il n'y a aucun moyen de la bloquer, sauf pour des raisons juridiques. Un accord sur le niveau de service (SLA) est la base de tout scénario de fédération de toute façon.
  • Il n'y a pas de "paramètre" spécial pour le désactiver ou l'activer, mais en utilisant le moteur de règles de réclamation, un partenaire de confiance peut configurer N'IMPORTE QUEL type de réclamation sortante SI N'IMPORTE QUEL type de réclamation entrante est détecté, il n'y a donc aucun moyen de "protéger" l'accès illégal.
  • Dans mes tests, aucun des modèles de règles fournis avec l'ADFS n'a modifié la propriété OriginalIssuer des demandes. On peut penser : Ok, donc je peux utiliser cette propriété pour vérifier la source originale de toute réclamation et construire un filtre pour n'autoriser que les réclamations provenant directement d'un partenaire de confiance (et non traversées, ce qui par défaut n'affecte que l'émetteur mais pas la propriété OriginalIssuer). Mais c'est faux, pourquoi ? Regardez la ligne suivante.
  • Comme je l'ai dit, les modèles par défaut ne touchent pas la propriété OriginalIssuer. Mais vous pouvez créer des règles personnalisées en utilisant le moteur de règles. En utilisant celui-ci, vous pouvez modifier à peu près tous les types de créances, leurs valeurs et leurs propriétés. Et oui : également l'OriginalIssuer. Ainsi, pour le fournisseur de la fédération, il semble que les demandes proviennent directement du partenaire de confiance, alors qu'en réalité, elles sont seulement transformées.

Donc, ce que je suggère pour minimiser au moins les scénarios "transitifs" s'ils sont indésirables, c'est de vérifier l'OriginalIssuer. Cela ne protège pas contre les connexions transitives, mais un administrateur devrait le configurer explicitement - ce qui faciliterait grandement les démarches légales en cas de violation d'un SLA. De plus, je ne considère pas la possibilité de changer l'OriginalIssuer comme un "bug", en fait : même sans cette fonctionnalité, chaque logiciel tiers pourrait toujours le rendre capable d'agir comme un proxy entre les systèmes backend et le fournisseur d'identité de confiance. Par exemple, le fournisseur d'identité pourrait créer des comptes fantômes pour le partenaire (C) - il y aura donc toujours une solution de contournement, car en utilisant la fédération, vous abandonnez le contrôle sur qui peut déléguer les droits d'accès à des ressources spécifiques.

Quoi qu'il en soit, si vous étiez aussi curieux que moi de savoir comment ADFS 2.0 gère les trusts transitifs, vous le savez maintenant sans avoir besoin de construire un testlab et de renifler le trafic HTTPS.

Répondu el 2 de Septembre, 2012 par omni (313 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X