Úvod do Azure AppFabric Michael Juřek Software Architect Microsoft s.r.o.
Agenda App Fabric? Service Bus Access Control Závěrem...
Současnost – zmatení pojmů Windows Azure AppFabric Service Bus Access Control Windows Server AppFabric Beta 1 Workflow Services („Dublin“) Cache („Velocity)
Plán do budoucna AppFabric = aplikační infrastruktura Komunikační rozhraní (Service Bus) Autentizace a řízení přístupu (Access Control) Workflow Services Cache Vše popsáno deklarativním modelem Volba možnosti nasazení – čistě konfigurací: Windows Azure platforma (cloud) Windows Server platforma (on premise) Detaily dosud nebyly oznámeny
Bezpečné spojení mezi službami Napříč hranicemi organizace Řízení přístupových práv
Cena za použití Azure AppFabric Service Bus: $3.99 USD za 1 připojení $9.99 USD za předplacený balíček 5 připojení Počítá se průměr z maximálního počtu současných připojení v každý den účtovaného měsíce Access Control: $1.99/ transakci Navíc za přenos dat mimo MS data centrum: $0.10/GB dovnitř $0.15/GB ven
Agenda App Fabric? Service Bus Access Control Závěrem...
Service Bus Bezpečné propojení aplikací Přes Internet Napříč libovolnou síťovou topologií – vždy pouze odchozí spojení z vaší infrastruktury Napříč hranicemi organizací Autentizace pomocí služby Access Control Práva listen, send, manage 3 základní návrhové vzory Eventing: Doručování zpráv libovolnému množství předplatitelů Service Remoting: Opublikování služby skryté za firewallem na web Tunneling: Komunikace mezi aplikacemi přes NAT a firewally
Vzor 1: Eventing Jednosměrná komunikace Neomezený počet odesilatelů (klientů) i příjemců (služeb) Síťová komunikace se Service Busem: Klient – odchozí TCP nebo HTTP (volitelně přes SSL), proprietární binární formát Server – odchozí TCP nebo HTTP (volitelně přes SSL), proprietární binární formát
Service Bus: Eventing
Vzor 2: Service Remoting Jednosměrná nebo obousměrná komunikace Data strukturovaná dle standardů Schema, contract,... Síťová komunikace se Service Busem: Klient – odchozí HTTP (volitelně přes SSL) Základní standardy podle WS Basic Profile 1.0 WS-Security, WS-Reliable Messaging Server – odchozí TCP nebo HTTP (volitelně přes SSL), proprietární binární formát
Service Bus: Service Remoting
Vzor 3: Tunelling Jednosměrná nebo obousměrná komunikace Libovolný formát přenášených dat Síťová komunikace se Service Busem: Klient – odchozí TCP nebo HTTP (volitelně přes SSL), proprietární binární formát Server – odchozí TCP nebo HTTP (volitelně přes SSL), proprietární binární formát
Service Bus: Tunneling
Agenda App Fabric? Service Bus Access Control Závěrem...
Poskytovatel identity (identity provider) Externalizace autentizace 4. Předložení známky důvěra 2. Vyhledání tvrzení, výběr a transformace pro aplikaci 1. Autentizace 3. Známka (tvrzení) Služba, aplikace (relying party) Klient 6. Další požadavky 5. Ustanovení spojení
Základní pojmy Tvrzení (claim): výrok o subjektu (klientovi), o kterém jiný subjekt (identity provider) tvrdí, že je pravdivý = Age > 21 Manager = John Doe Role= Architect Známka (token) Soubor tvrzení, opatřený kryptografickým důkazem vydavatele (identity provider)
Proč je to výhodné? Provozovatel aplikace: Nemusí udržovat vlastní stínovou databázi uživatelů B2B: Již jsou autentizováni ve svém síťovém prostředí B2C: Již mají identitu LiveID, Facebook, Google,... Automatický provisioning nového uživatele (snížení nákladů) Automatický deprovisioning zaniklého uživatele (bezpečnost) Uživatel aplikace: Nemusí znát další jméno/heslo Vyšší bezpečnost Vyšší komfort
Access Control v1 Poskytuje přístupová práva na základě známek pro webové služby typu REST Základní schopnnosti: Použitelný na libovolné platformě Implementuj OAuth profily: Web Resource Authorization Protocol (WRAP) Simple Web Tokens (SWT) Společně vyvinul Microsoft, Google, Yahoo Možnost jednoduché delegace
Jak AC funguje... Fabrikam AC Service Namespace (WRAP: Authorization Server) Fabrikam AC Service Namespace (WRAP: Authorization Server) Fabrikam REST Web Service (WRAP: Protected Resource) 2. Známka žádosti o přístup (vstupní) 4. Přístupová známka (výstupní) 5. Žádost o službu + přístupová známka 0. Výměna klíčů (jednou za čas) Zákazník Fabrikam (WRAP: Client) 1. Definování pravidel pro přístup zákazníka 6. Ověrení známky 3. Mapování vstupních tvrzení na výstupní na základě pravidel
Podporované typy známek ve v1 Přijímané: Jednoduché jméno/heslo uložené v AC Provizorní řešení pro účely ladění Simple Web Token LiveID WS-Trust Vydané AD FS v2 nebo jiným vydavatelem Ve vaší aplikaci je možné využít knihovnu WIF (Windows Identity Foundation), která s WS-Trust umí pracovat AC musí znát klíč, kterým je známka podepsána (AC umí publikovat i parsovat metadata, nastavení není složité) Vydávané: Simple Web Token
Integrovaná autentizace mezi Fabrikam a Contoso Fabrikam AC Service Namespace Fabrikam AC Service Namespace Fabrikam REST Web Service Contoso (zákazník Fabrikam)
Hierarchie položek ve správě AC Service Namespace ScopeIssuerRule SetRule Token Policy
Položky ve správě AC Politika pro známky (token policy) Doba života (expirace), klíč pro podepisování Vydavatel (issuer) Identifikace akceptovatelného vydavatele, jeho podepisovací klíč Rozsah (scope) URI, které definují rozsah platnosti sady pravidel Sada pravidel (rule set) Kontejner pro pravidla Pravidlo (rule) Určuje tvrzení, která se mají objevit ve výstupní známce
Agenda App Fabric? Service Bus Access Control Závěrem...
Budoucnost Azure AppFabric Parita s Windows Server AppFabric Workflow Services Cache Access Control: Podpora pro webové poskytovatele identity Live ID, Facebook Connect, Google, Open ID,... Jednoduchá podpora pro firemní poskytovatele identity Nativní podpora standardů WS-Trust a WS-Federation Podpora Cardspace Vizuální nástroj pro administraci
Doporučené odkazy Windows Azure Platform AppFabric White Paper AppFabric SDK
Úplným závěrem Azure AppFabric dnes: Service Bus = bezpečné spojení mezi službami Access Control = řízení přístupových práv AppFabric do budoucna: Aplikační infrastruktura Service Bus, Access Control, Cache, Workflow Services Vše popsáno deklarativním modelem Volba možnosti nasazení čistě konfigurací
© 2009 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.