Integrate ADFS / Azure AD with Rails

Transcript

1. None

2. Hi, I am Luka Huang ( Hi, I am Luka

   Huang ( ). ). A backend engineer work for A backend engineer work for .. @codingluka @codingluka Splashtop Splashtop
3. None
4. None

5. 常常就有⼈問我⼀個問題 常常就有⼈問我⼀個問題

6. Splashtop 跟 Teamviewer 有什麼不同? Splashtop 跟 Teamviewer 有什麼不同?

7. None

8. How to integrate ADFS or Azure How to integrate ADFS

   or Azure AD with Rails AD with Rails

9. 在了解如何去整合 ADFS 或 Azure AD 到 Rails 之前 在了解如何去整合 ADFS

   或 Azure AD 到 Rails 之前

10. 有⼀個更重要的問題需要去了解 有⼀個更重要的問題需要去了解

11. 就是為什麼我們要去把 AD 跟 Rails 整合? 就是為什麼我們要去把 AD 跟 Rails 整合?

12. ⽤ Oauth 2.0 不就好了嘛? ⽤ Oauth 2.0 不就好了嘛?

13. 我們已經有會員系統了， 我們已經有會員系統了， 為什麼還要去整合 AD 呀？ 為什麼還要去整合 AD 呀？

14. 相信⼤家現在很疑惑 相信⼤家現在很疑惑

15. 沒事我們去碰 Microsoft 的東⻄幹嘛? 沒事我們去碰 Microsoft 的東⻄幹嘛?

16. 所以今天⾸先要介紹的是 所以今天⾸先要介紹的是 Why we integrate AD with Rails? Why we

    integrate AD with Rails?

17. Why we integrate AD with Rails? Why we integrate AD

    with Rails?

18. 在知道「為什麼要整合 AD 跟 Rails ?」之前，有幾 在知道「為什麼要整合 AD 跟 Rails ?」之前，有幾

    個問題需要了解 個問題需要了解

19. Three Questions: Three Questions: What is AD? What is AD?

    What is SAML? What is SAML? Why we integrate AD with Rails? Why we integrate AD with Rails?

20. What is AD? What is AD?

21. AD (Active Directory) AD (Active Directory)

22. Rails Developer 可能對 Active Directory 比較不熟悉 Rails Developer 可能對 Active

    Directory 比較不熟悉

23. ⼤部分的情況下 Rails Developer 不會想要使⽤ AD ⼤部分的情況下 Rails Developer 不會想要使⽤ AD

    來做權限管理 來做權限管理

24. 有⼈知道為什麼嘛? 有⼈知道為什麼嘛?

25. 因為 AD 長這樣!! 因為 AD 長這樣!!

26. None

27. 圖形化介⾯ + Windows 圖形化介⾯ + Windows 恐怖吧！！ 恐怖吧！！

28. 不過不⽤害怕 不過不⽤害怕

29. 因為呢，AD 由客⼾的公司的 IT 部⾨負責管理。 因為呢，AD 由客⼾的公司的 IT 部⾨負責管理。

30. Rails Application 只需要提供串接的接⼝就可以了。 Rails Application 只需要提供串接的接⼝就可以了。

31. AD 是 Windows 的權限管理系統， AD 是 Windows 的權限管理系統， 我們來看⼀下 AD

    的結構圖 我們來看⼀下 AD 的結構圖
32. None

33. AD 的存在，對 IT 來說是⼀個基礎的技能 AD 的存在，對 IT 來說是⼀個基礎的技能

34. 可以看⼀下 AD 的出版物 可以看⼀下 AD 的出版物

35. None
36. None

37. 英⽂的出版物也很多 英⽂的出版物也很多

38. None
39. None

40. 更神奇的是 更神奇的是

41. 居然有 Active Directory 的 Conference 居然有 Active Directory 的 Conference

42. None

43. 可以說 Active Directory 可以說 Active Directory 對 IT 來說是⼀個很重要的項⽬ 對

    IT 來說是⼀個很重要的項⽬

44. What is SAML? What is SAML?

45. SAML - Security Assertion Markup Language SAML - Security Assertion

    Markup Language Security 安全 Security 安全 Assestion 斷⾔ Assestion 斷⾔ Markup Language 標記式語⾔ Markup Language 標記式語⾔
46. None

47. 名詞解釋: 名詞解釋: IdP – Identity Provider IdP – Identity Provider

    SP – Service Provider SP – Service Provider SSO – Single Sign-on SSO – Single Sign-on

48. 跟 Oauth 的使⽤者體驗幾乎⼀樣 跟 Oauth 的使⽤者體驗幾乎⼀樣

49. 差別在於 Oauth 是去跟第三⽅服務去做認證 差別在於 Oauth 是去跟第三⽅服務去做認證

50. ⽽ SAML 是使⽤客⼾公司的權限管理系統來做認 ⽽ SAML 是使⽤客⼾公司的權限管理系統來做認 證，這個權限管理系統就是 AD。 證，這個權限管理系統就是 AD。

51. Why we integrate AD with Rails? Why we integrate AD

    with Rails?

52. 既然可以讓客⼾的 IT 部⾨來做認證 既然可以讓客⼾的 IT 部⾨來做認證

53. 這樣客⼾就不需要到 Service Provider 申請帳號。 這樣客⼾就不需要到 Service Provider 申請帳號。

54. 例如: 現在 Splashtop 提供遠端桌⾯的服務提供者。 例如: 現在 Splashtop 提供遠端桌⾯的服務提供者。

55. 客⼾卻可以⽤⾃⼰的 AD 來管理帳號。 客⼾卻可以⽤⾃⼰的 AD 來管理帳號。

56. ⽤⾃⼰內部網路來做認證。 ⽤⾃⼰內部網路來做認證。

57. 總結⼀下，為什麼我們要串接 Rails 與 AD 總結⼀下，為什麼我們要串接 Rails 與 AD

58. 因為我們可以提供客⼾⼀個很可靠的選擇 - 讓客⼾ 因為我們可以提供客⼾⼀個很可靠的選擇 - 讓客⼾ ⾃⾏做帳號的驗證。 ⾃⾏做帳號的驗證。

59. 通常會需要使⽤到 AD 的公司比較⼤型的公司，才 通常會需要使⽤到 AD 的公司比較⼤型的公司，才 會有資源來做權限管理。 會有資源來做權限管理。

60. 所以我們可以藉由整合 AD 與 Rails，來獲取更多的 所以我們可以藉由整合 AD 與 Rails，來獲取更多的 企業⽤⼾。 企業⽤⼾。

61. 接下來進入下⼀章 接下來進入下⼀章

62. Topics Topics Introduce SAML in details Introduce SAML in details

    Introduce SSO and SLO Introduce SSO and SLO Introduce ADFS? Introduce ADFS? Introduce Azure AD? Introduce Azure AD? How to integrate ADFS/Azure AD with Rails How to integrate ADFS/Azure AD with Rails

63. Introduce to SAML in details Introduce to SAML in details

64. 我們來看⼀下 SAML 這個協定是怎麼運作的。 我們來看⼀下 SAML 這個協定是怎麼運作的。

65. None

66. Source: Source: SSTC SAML Tech Overview 2.0 SSTC SAML Tech

    Overview 2.0

67. Step 2 - Service Provider ⽤ Form 的型式發出 Step 2

    - Service Provider ⽤ Form 的型式發出 Request 通知 Browser Request 通知 Browser < <form form method method= ="post" "post" action action= ="https://idp.example.org/SAML2/SSO "https://idp.example.org/SAML2/SSO < <input input type type= ="hidden" "hidden" name name= ="SAMLRequest" "SAMLRequest" value value= ="<samlp:Aut "<samlp:Aut ... other input parameter.... ... other input parameter.... < <input input type type= ="submit" "submit" value value= ="Submit" "Submit" /> /> </ </form form> > < <javascript javascript> > document.form[0].submit(); document.form[0].submit(); </ </javascript javascript> >

68. Step 3 - POST SAML infos to identity provider Step

    3 - POST SAML infos to identity provider < <samlp:AuthnRequest samlp:AuthnRequest xmlns:samlp xmlns:samlp= ="urn:oasis:names:tc:SAML:2.0:protocol" "urn:oasis:names:tc:SAML:2.0:protocol" xmlns:saml xmlns:saml= ="urn:oasis:names:tc:SAML:2.0:assertion" "urn:oasis:names:tc:SAML:2.0:assertion" ID ID= ="aaf23196-1773-2113-474a-fe114412ab72" "aaf23196-1773-2113-474a-fe114412ab72" Version Version= ="2.0" "2.0" IssueInstant IssueInstant= ="2004-12-05T09:21:59" "2004-12-05T09:21:59" AssertionConsumerServiceIndex AssertionConsumerServiceIndex= ="0" "0" AttributeConsumingServiceIndex AttributeConsumingServiceIndex= ="0" "0"> > < <saml:Issuer saml:Issuer> >https://identity-provider.example.com/SAML2 https://identity-provider.example.com/SAML2< < < <samlp:NameIDPolicy samlp:NameIDPolicy AllowCreate AllowCreate= ="true" "true" Format Format= ="urn:oasis:names:tc:SAML:2.0:nameid-format:trans "urn:oasis:names:tc:SAML:2.0:nameid-format:trans </ </samlp:AuthnRequest samlp:AuthnRequest> >

69. 接著來看 step 4, 5, 6 接著來看 step 4, 5, 6

70. None

71. Step 6 傳送的資料 Step 6 傳送的資料 < <form form method

    method= ="post" "post" action action= ="https://service-provider-example "https://service-provider-example < <input input type type= ="hidden" "hidden" name name= ="SAMLResponse" "SAMLResponse" value value= ="<samlp:Re "<samlp:Re < <input input type type= ="hidden" "hidden" name name= ="RelayState" "RelayState" value value= ="''token''" "''token''" ... ... < <input input type type= ="submit" "submit" value value= ="Submit" "Submit" /> /> </ </form form> > < <javascript javascript> > document.form[0].submit(); document.form[0].submit(); </ </javascript javascript> >

72. Step 7 - 最重要的⼀步 Step 7 - 最重要的⼀步 Browser 從

    Identity Provider 拿到 Assertion 後， Browser 從 Identity Provider 拿到 Assertion 後， 由 Service Provider 的 Assertion Consumer 由 Service Provider 的 Assertion Consumer Service 做驗證 Service 做驗證 驗證成功即可確定 Browser 為合法使⽤者。 驗證成功即可確定 Browser 為合法使⽤者。
73. None

74. 資料範例，注意到裡⾯有⼀個 資料範例，注意到裡⾯有⼀個 <saml:Assertion <saml:Assertion ... ... ，即是認證的關鍵 ，即是認證的關鍵 < <samlp:Response

    samlp:Response xmlns:samlp xmlns:samlp= ="urn:oasis:names:tc:SAML:2.0:protocol" "urn:oasis:names:tc:SAML:2.0:protocol" xmlns:saml xmlns:saml= ="urn:oasis:names:tc:SAML:2.0:assertion" "urn:oasis:names:tc:SAML:2.0:assertion" ID ID= ="identifier_2" "identifier_2" InResponseTo InResponseTo= ="identifier_1" "identifier_1" Version Version= ="2.0" "2.0" IssueInstant IssueInstant= ="2004-12-05T09:22:05" "2004-12-05T09:22:05" Destination Destination= ="https://sp.example.com/SAML2/SSO/POST" "https://sp.example.com/SAML2/SSO/POST"> > < <saml:Issuer saml:Issuer> >https://idp.example.org/SAML2 https://idp.example.org/SAML2</ </saml:Issuer saml:Issuer> > < <samlp:Status samlp:Status> > < <samlp:StatusCode samlp:StatusCode Value Value= ="urn:oasis:names:tc:SAML:2.0:status:Success" "urn:oasis:names:tc:SAML:2.0:status:Success"> ></ </ </ </samlp:Status samlp:Status> > < <saml:Assertion saml:Assertion xmlns:saml xmlns:saml= ="urn:oasis:names:tc:SAML:2 0:assertion" "urn:oasis:names:tc:SAML:2.0:assertion"

75. Assertion - 斷⾔使⽤者是否合法 Assertion - 斷⾔使⽤者是否合法 < <saml:Assertion saml:Assertion xmlns:saml

    xmlns:saml= ="urn:oasis:names:tc:SAML:2.0:assertion" "urn:oasis:names:tc:SAML:2.0:assertion" xmlns:xs xmlns:xs= ="http://www.w3.org/2001/XMLSchema" "http://www.w3.org/2001/XMLSchema" xmlns:xsi xmlns:xsi= ="http://www.w3.org/2001/XMLSchema-instance" "http://www.w3.org/2001/XMLSchema-instance" ID ID= ="b07b804c-7c29-ea16-7300-4f3d6f7928ac" "b07b804c-7c29-ea16-7300-4f3d6f7928ac" Version Version= ="2.0" "2.0" IssueInstant IssueInstant= ="2004-12-05T09:22:05" "2004-12-05T09:22:05"> > < <saml:Issuer saml:Issuer> >https://idp.example.org/SAML2 https://idp.example.org/SAML2</ </saml:Issuer saml:Issuer> > < <ds:Signature ds:Signature xmlns:ds xmlns:ds= ="http://www.w3.org/2000/09/xmldsig#" "http://www.w3.org/2000/09/xmldsig#"> >... ...</ </ds:Si ds:Si < <saml:Subject saml:Subject> > .......... .......... </ </saml:Subject saml:Subject> > < <saml:Conditions saml:Conditions .........

76. 我們再看⼀次這張圖，可以發現… 我們再看⼀次這張圖，可以發現…

77. Service Provider 沒有直接跟 Identity Provider 做溝 Service Provider 沒有直接跟 Identity

    Provider 做溝 通 通

78. 這意味著什麼事情呢? 這意味著什麼事情呢?

79. Identity Provider 可以是內部網路。 Identity Provider 可以是內部網路。 這點非常的重要。 這點非常的重要。

80. 因為有這個特性， 因為有這個特性， 企業得以不透過外部網路來做認證。 企業得以不透過外部網路來做認證。

81. 企業可以使⽤內部的 AD 來做認證。 企業可以使⽤內部的 AD 來做認證。

82. 這對很多企業來說，是非常有誘因的。 這對很多企業來說，是非常有誘因的。

83. 因為很多企業不願意把資料放在外部。 因為很多企業不願意把資料放在外部。

84. 希望⾃⼰保存資料。 希望⾃⼰保存資料。

85. 如果你想要跟這些企業做⽣意。 如果你想要跟這些企業做⽣意。

86. SAML 可以幫助你達到。 SAML 可以幫助你達到。

87. SSO and SLO SSO and SLO

88. SSO (Single Sign On) SSO (Single Sign On)

89. None

90. SLO (Single Log Out) SLO (Single Log Out)

91. SAML Single Logout - What You Need to Know |

    SAML Single Logout - What You Need to Know |

92. What is ADFS? What is ADFS?

93. ADFS - Active Directory Federation Services ADFS - Active Directory

    Federation Services

94. 是⼀種可以讓 Active Directory(AD) 加入的服務。 是⼀種可以讓 Active Directory(AD) 加入的服務。

95. 整合陸續加入的 AD，進⽽逹到跨網域的控管。 整合陸續加入的 AD，進⽽逹到跨網域的控管。

96. 這樣的特性剛好可以跟單⼀認證系統SSO做互相的 這樣的特性剛好可以跟單⼀認證系統SSO做互相的 整合與應⽤ 整合與應⽤

97. None

98. What is Azure AD? What is Azure AD?

99. Azure AD 使⽤介⾯ Azure AD 使⽤介⾯

100. None

101. 架構 架構

102. How to integrate Azure AD / How to integrate Azure

     AD / ADFS with Rails? ADFS with Rails?

103. Open Source Solution Open Source Solution ruby-saml by Onelogin ruby-saml

     by Onelogin

104. Onelogin 是⼀家怎麼樣的公司呢? Onelogin 是⼀家怎麼樣的公司呢?

105. 它整合了 jira, BOX, Google Drive …等等的服務，應 它整合了 jira, BOX, Google

     Drive …等等的服務，應 有盡有。 有盡有。
106. None

107. Part 1 - Rails Part 1 - Rails onelogin/ruby-saml-example onelogin/ruby-saml-example

108. 有幾個重點 有幾個重點

109. metadata metadata class class SamlController SamlController < ApplicationController < ApplicationController

     . . . . . . def def metadata metadata settings = Account.get_saml_settings(get_url_base) settings = Account.get_saml_settings(get_url_base) meta = OneLogin::RubySaml::Metadata.new meta = OneLogin::RubySaml::Metadata.new render render :xml :xml => meta.generate(settings, => meta.generate(settings, true true) ) end end . . . . .

110. SAML settings SAML settings class class Account Account < ActiveRecord::Base

     < ActiveRecord::Base def def self self. .get_saml_settings get_saml_settings(url_base) (url_base) # this is just for testing purposes. # this is just for testing purposes. # should retrieve SAML-settings based on subdomain, IP-ad # should retrieve SAML-settings based on subdomain, IP-ad settings = OneLogin::RubySaml::Settings.new settings = OneLogin::RubySaml::Settings.new url_base url_base || ||= = "http://localhost:3000" "http://localhost:3000" # Example settings data, replace this values! # Example settings data, replace this values! # When disabled, saml validation errors will raise an exc # When disabled, saml validation errors will raise an exc settings.soft = settings.soft = true true #SP section #SP section settings issuer = url base + settings.issuer = url base + "/sa "/sa

111. SSO SSO class class SamlController SamlController < ApplicationController < ApplicationController

     . . . . . . def def sso sso settings = Account.get_saml_settings(get_url_base) settings = Account.get_saml_settings(get_url_base) if if settings. settings.nil nil? ? render render :action :action => => :no_settings :no_settings return return end end request = OneLogin::RubySaml::Authrequest.new request = OneLogin::RubySaml::Authrequest.new redirect to(request create(settings)) redirect to(request.create(settings))

112. ACS - Assertion Consumer Service ACS - Assertion Consumer Service

     class class SamlController SamlController < ApplicationController < ApplicationController . . . . . . def def acs acs settings = Account.get_saml_settings(get_url_base) settings = Account.get_saml_settings(get_url_base) response = OneLogin::RubySaml::Response.new(params[ response = OneLogin::RubySaml::Response.new(params[:SAMLR :SAMLR if if response.is_valid? response.is_valid? session[ session[:nameid :nameid] = response.nameid ] = response.nameid session[ session[:attributes :attributes] = response.attributes ] = response.attributes @attrs = session[ @attrs = session[:attributes :attributes] ] logger info logger.info "Sucessfully logged" "Sucessfully logged"
113. None

114. Part 2 - ADFS Part 2 - ADFS 我準備了⼀個教學，說明如何設定 ADFS

     跟 Rails 串 我準備了⼀個教學，說明如何設定 ADFS 跟 Rails 串 接。 接。 StevenTTuD/how-to-set-up-adfs-with-saml StevenTTuD/how-to-set-up-adfs-with-saml

115. 非常突然的，今天的簡報結束了。 非常突然的，今天的簡報結束了。

116. Thanks for listening Thanks for listening

117. References References AD architecture diagram AD architecture diagram sstc-saml-tech-overview-2.0-draft-03.pdf sstc-saml-tech-overview-2.0-draft-03.pdf