Cortego skickade två konsulter  till årets Microsoft Tech-Ed Europa i Berlin, som gick av stapeln 8-12  November, för att övervaka Microsofts erbjudande ur ett IAM perspektiv. Tech-Ed  är en Microsoft konferens vars målsättning är att utbilda besökarna i Microsofts teknik (Tech-Ed = Technical Education). Slutsatsen är att Microsoft  pratar mer om IAM än någonsin – framförallt i samband med molnet. 

Molnet

Microsoft pratade intensivt om Molnet under hela konferensen och de satsar stenhårt på sin Azure plattform. Det finns många vinster med att använda molnet;

• Snabbt och billigt kan skala upp vid ökat tryck
• Snabbt kan skala ner vid minskat tryck
• Slipper oroa sig för backuper, uppgraderingar, patchningar etc
• Slipper oroa sig för failover
• Slipper oroa sig för spegling (i fallet för databaser)
• Slipper oroa sig för att ha säkra datorhallar
• Etc
  

Att t.ex. hyra en Microsoft Azure server på molnet kostar $59,95/månad, vilket blir runt 420 kr. Då kan mant.ex. skala upp till 10 Servrar mellan 08:00 till 18:00 och sedan skala ner till 1 server mellan 18:00-08:00 och helger. Man betalar bara för den tiden man använder (1 server dygnet om, 9 servrar 10h/veckodag), så i det här fallet skulle priset bli några tusenlappar per månad, trots att man har 10 servrar under peak load!

Men användarna då?

Ett problem är att era användare inte finns på Molnet, de finns bara på insidan av ert företagsnätverk, hur löser man detta? Speciellt om man vill ha någon form av Singel Sign On?

• Man kan skapa ett trust från sitt interna företags AD till ett externt AD i Molnet, men det är det verkar vanskligt.
• Man kan skapa sina användare en gång till i molnet – för hand eller automatiserat, men detta är inte heller ett speciellt aptitlig alternativ, speciellt när man skall lösa lösenordssynkning, automatisk deprovisionering etc.

Federation

Lösningen heter Federation, där en applikation litar på identiteter som utfärdas av en extern part utan att själv ha ett register över dessa användare. Molnettjänsten litar helt enkelt på vad er organisation har att säga om era användare och användarna får därmed tillgång till tjänsten på molnet. I samma sekund som användaren försvinner från ert interna AD så kan denne inte längre komma åt molntjänsten!

Microsofts produkt för Federation heter AD FS 2.0 och ingår kostnadsfritt i Windows Server 2008 R2. ADFS 2.0 kan hämta behörighetsinformation, helt utan mjukvaruutveckling, från t.ex. ett Active Directory (eller annan LDAP katalog) eller en SQL Server. Har man lagrat sin identitets- och behörighetsinformation i en annan källa så går det att utveckla egna plugins.

Utöver Molnet

Behovet att dela identiteter mellan olika realms har funnits sedan länge, långt innan namnet Molnet myntades, och även här är Federation en bra lösning.

En organisation (A) ge en annan organisations (B) användare tillgång till dess (A:s) system. Även här kan man lösa det med ett trust eller genom att låta B mata in sina användare i någon form av lagring hos A – vilket är omständligt för både A och B.

Risken att B glömmer bort att redera användare som slutat ur A:s system är överhängande. Det leder till säkerhetsrisker för A vilket i slutänden kan leda till rättsliga problem för B eftersom B inte levt upp till det kontrakt som skrevs på med A (där man garanterade att stänga av användare som inte längre är behöriga). Varken A eller B borde acceptera den lösningen!

En bättre lösning är att använda Federation – det är mycket troligt att B kommer radera/spärra användaren ur sina egna system, varför inte använda den användarinformation som B redan har i sitt system även för As system!

Sharepoint

Under konferensen demonstrerades det att man på under en halvtimme kan släppa in en annan organisations användare på en delad Sharepoint 2010 (som är förbered för att hantera behörigheter via federation) med hjälp av AD FS 2.0. Men den killen hade övat lite och preppat miljöerna…

Cortego

Cortego har installerat AD FS 2.0 hos ett flertal kunder och använder det även internt hos oss för att federera mot molntjänster. Är ni intresserade av att installera AD FS 2.0 så hör av er så hjälper vi till! Vår erfarenhet är att det oftast går väldigt smidigt, men det gäller att tänka till i förväg så man inte målar in sig i ett hörn (tips, skapa en kluster med 1 server hellre än en stand-alone AD FS 2.0).

För klientprogramvaran krävs det i allmänhet viss utveckling för att det skall fungera med Federation, men det finns i dagsläget mycket information på nätet om hur man uppnår detta och flera  mjukvarulösningar som går att plugga in i olika plattformar (Java/php/.Net). Även här har vi på Cortego erfarenhet och hjälper gärna till.
Det bör nämnas att det börjar komma applikationer som stödjer Federation out-of-the-box, t.ex. Sharepoint 2010 och Office365.

Kontakta Henrik Jondell om ni har några frågor!

Joel Snyder har publicerat en checklista med punkter att ta hänsyn till vid en upphandling av ett Security Information Management system eller ett logghanteringssystem – läs gärna mitt blogginlägg om detta.

Det kanske intressantaste (?) är att hela checklistan börjar med (och innehåller uteslutande) tekniken, vilket förstås är helt fel!

Första punkten måste alltid vara utred behoven och förväntningarna – att börja i den tekniska änden kommer alltid att sluta i tårar!

Läs gärna mitt blogginlägg på loggproffs.se, som handlar insiderbrott och betydelsen av loggning för att avskräcka.