Powered by MVP: Mis on Windows Identity Foundation?
09.03.2011 | Gunnar
Tänase Powered by MVP seminari raames tehtud ettekandele lubasin kirjutada mõned täiendavad postitused, mis minu seekordset teemat – Windows Identity Foundation – valgustavad. Esimesed postituses annan ülevaate sellest, millega on tegemist ja miks seda võiks kasutada. Detailidesse ei lasku, kuna neid on palju ja see teeks pildi segaseks.
Nagu ettekandes mainitud sai, siis on probleeme meie tänase kasutajate tuvastamise juures hulganisti. Peamine mure on kasutajate tuvastamine kodukatel, kus kasutajate andmed on tihti väga nõrgalt kaitstud, samuti tuleb mängu inimfaktor, keda ei ole just kuigi raske lollitada ja enda pilli järgi tantsima panna. Viimasel teemal soovitan lugeda sellist teost nagu The Art of Deception: Controlling the Human Element of Security.
Kui tehnika alt ei vea ja kõik plaanide kohaselt kulgeb, siis saab ettekandeid vaadata ka hiljem videotena. Samuti saab juurdepääsu slaididele. Kellel huvi, siis jälgige toimuvat Eneta portaalis ja kui on küsimusi, siis on selleks Eneta foorumid avatud.
Windows Identity Foundation
Windows Identity Foundation (WIF) on Microsofti poolt loodud autentimise raamistik, mis üldistab kasutajate tuvastamise ja viib selle rakendustest väljapoole. Ettevõtetes on võimalik SSO stsenaariumite jaoks kasutada sellist asja nagu Active Directory Federation Services, kuid alati saab kirjutada ka oma enda kasutajate tuvastamise teenused.
Azure AppFabric Access Control Service (ACS) on teenus, mille abil saab WIF peale tuua kasutajate tuvastamise Live ID, Google Accounts, Yahoo! ja Facebook kaudu. Samuti on seal olemas ADFS-i tugi. Seega kujutab ACS endast integratsioonipunkti, mis rakenduste jaoks standardiseerib ära ja eelmainitud teenuste vastu autentimise ning rakenduste jaoks on tegemist tavalise WIF-põhise autentimisega, kus kasutatakse tuntud turvaprotokolle, mida WIF toetab.
Kasutajate tuvastamine veebis
Kuigi WIF ja ADFS on väga suured sõbrad, juhin ma tähelepanu ühele huvitavale pisiasjale kasutajate ja paroolide osas – millegi pärast annavad inimesed meeleldi kolleegile oma kasutajatunnuse ja parooli, kui see on mõeldud töistesse süsteemidesse sisenemiseks. Kuid niisama lihtsasti ei anta ära oma juurdepääse erinevatele süsteemidele, kus asuvad mittetöised privaatsed andmed (Live, Google, Facebook jne).
See on minu meelest üks põhjus, miks kaaluda seda, et igasugused veebipõhised süsteemid oleksid seotud inimeste selliste tuvastuspunktidega, millest nad ise hoolivad.
Miks Windows Identity Foundation on turvaline?
Turvalisuse osale ei saa WIF-i juures eriti midagi ette heita, sest andmeid liigutatakse mööda turvalisi krüpteeritud kanaleid ja see välistab vähemasti man in the middle tüüpi rünnakud. Samuti pole võimalik kasutajate tuvastamist pealt kuulata, sest andmete lahti krüpteerimiseks vajalik arvutipark peaks olema äärmiselt võimas.
Sertifikaadid, võtmed, allkirjad, valideerimine – see pole paljude arendajate jaoks asi, millest unistada. Tuleb nokitseda, proovida ja palju uut juurde õppida. Samas ei jää kuigi palju muud varianti praegusel kiirel küberkuritegevuse laineharjal, kus maailm pole võimeline küberkriminaale ohjama. Me kas anname oma parima, et meie kasutajad oleks kaitstud või me vilistame sellele ja kiunume hiljem tagajärgede käes (tühistatud tellimused, kõrged leppetrahvid, halb maine avalikkuses jne).
Protokollid, mida WIF toetab, on järgmised:
- WS-Federation
- WS-Trust
- WS-Security
- WS-SecurityPolicy
- WS-Addressing
Hetkel ei ole toetatud SAML-P protokoll, kuid SAML 1.1 ja SAML 2.0 tokenite tugi on kenasti olemas.
Kas Windows Identity Foundation on keeruline?
Aus vastus: jah ja ei. Kujuta seda ette kui 10km sügavust basseini, mille pinnal ujuvad päästerõngad ja ujumislauad. Kes ei tunne ennast vees kindlalt, saab hakkama. Ka tavaline ujumisvõimeline kodanik saab hakkama. Akvalangist ja tuuker võivad minna neile sobivate sügavusteni. Ja kõige lõpuks võib põhjas batüskaafiga ära käia ka teadlane, kes maailma sügavamate saladuste vastu huvi tunneb.
Microsoft on hoolikalt järginud kontseptsiooni, et WIF peab olema lihtne ja jõukohane kõikidele selle kasutajatele, tegemata seejuures järeleandmisi turvalisuse arvelt. Samas on paindlikult konfigureeritav ja tänu väga heale API-le ka mugavalt laiendatav. WIF integreerub sujuvalt meie rakendustesse ja tegutseb seal päris märkamatult.
Arenduskeskkonnast päris töökeskkonda pole WIF toega rakendust keerukas viia. Peale rakenduse paigaldamist tuleb serveris lihtsalt FedUtil.exe käivitada, näidata sellele ette kasutajate tuvastamise teenuse definitsiooni asukoht ning lasta sellel teha muudatused rakenduse konfiguratsioonifaili. Võimalik, et on vaja vaikimisi genereeritud konfi pisut muuta, kuid üle poole tunni see tegemine aega ei tohiks võtta.
Kokkuvõtteks
Windows Identity Foundation on küllaltki uus asi, mida arenduse maailm tasapisi avastab. Tänu kõrgele turvalisusele on Microsoft toonud WIF-i arendajate ja administraatoriteni väga paindliku komplektina, mida saab kasutada minimaalse vaevaga, kuid mida keerukamatel juhtudel saab arendaja suures osas ise kontrollida. Windows Azure AppFabric ACS teenus pakub integratsioonipunkti WIF-i ja erinevate veebipõhiste kasutajate tuvastamise teenuste vahel. Samuti on federeerimise teenuste näol hästi toetatud Active Directory, mille tulemusena on WIF hästi kasutatav ka ettevõtete tehnilistes keskkondades.