infocard, sélecteur d'identité dans un méta- système d'identité philippe beraud...
TRANSCRIPT
InfoCard, sélecteur d'identité dans un méta-système d'identité
InfoCard, sélecteur d'identité dans un méta-système d'identité
Philippe BeraudConsultant Principal
Microsoft France
Identité sur l’Internet aujourd’hui
L’Internet s’est construit sans fournir les moyens de connaître L’Internet s’est construit sans fournir les moyens de connaître sur QUI et QUOI vous êtes en train de vous connectersur QUI et QUOI vous êtes en train de vous connecter
Les menaces vis-à-vis de la sécurité en ligne ne cessent de Les menaces vis-à-vis de la sécurité en ligne ne cessent de croîtrecroître
Vol d’identité: phishing, pharming, fraudes, etc.Vol d’identité: phishing, pharming, fraudes, etc.
« Fatigue » des mots de passe« Fatigue » des mots de passe
Considérations relatives au respect de la vie privéeConsidérations relatives au respect de la vie privée
Nous avons oublié la « Couche Identité » pour l’InternetNous avons oublié la « Couche Identité » pour l’Internet
Tout ce qui est actuellement en service peut être considéré Tout ce qui est actuellement en service peut être considéré comme un contournementcomme un contournement
Aucune solution simpliste n’est réalisteAucune solution simpliste n’est réaliste
La résolution du problème de l’identité bénéficie à chacun – y La résolution du problème de l’identité bénéficie à chacun – y compris Microsoft - et cela est essentiel si nous voulons libérer compris Microsoft - et cela est essentiel si nous voulons libérer le potentiel des services de Weble potentiel des services de Web
Les leçons tirées de Passport
Passport a été conçu pour résoudre deux problèmesPassport a été conçu pour résoudre deux problèmesFournisseur d’identité sur MSNFournisseur d’identité sur MSN
+250 millions d’utilisateurs, 1 milliard de logons par jour+250 millions d’utilisateurs, 1 milliard de logons par jour
Fournisseur d’identité sur InternetFournisseur d’identité sur InternetUn échecUn échec
La leçon : la solution aux problèmes de la gestion des La leçon : la solution aux problèmes de la gestion des identités doit être différente de Passportidentités doit être différente de Passport
Méta-système d’identité
Nous avons besoin d’un « méta-système d’identité » pourNous avons besoin d’un « méta-système d’identité » pourProtéger et isoler les applications de la complexité de l’identitéProtéger et isoler les applications de la complexité de l’identité
Permettre aux utilisateurs d’utiliser leur(s) identité(s) dans un Permettre aux utilisateurs d’utiliser leur(s) identité(s) dans un monde hétérogènemonde hétérogène
Plusieurs technologies d’identitéPlusieurs technologies d’identité
Plusieurs opérateursPlusieurs opérateurs
Plusieurs implémentationsPlusieurs implémentations
Ce n’est pas la première fois où nous voyons l’émergence d’un tel Ce n’est pas la première fois où nous voyons l’émergence d’un tel besoin dans l’informatiquebesoin dans l’informatique
Emergence de TCP/IP unifiant Ethernet, Token Ring, Frame Relay, Emergence de TCP/IP unifiant Ethernet, Token Ring, Frame Relay, X.25, et même les protocoles Wifi pas encore inventésX.25, et même les protocoles Wifi pas encore inventés
Une nouvelle définition de l’identité numérique
Un ensemble de Un ensemble de claimsclaims qui caractérise une qui caractérise une personne ou une « chose » (sujet personne ou une « chose » (sujet numérique) dans le monde numériquenumérique) dans le monde numérique
Un Un claimclaim est une déclaration faite sur est une déclaration faite sur quelqu’un/quelque chose par quelqu’un/quelque chose par quelqu’un/quelque chose quelqu’un/quelque chose
Un Un claimclaim constitue une assertion de la vérité constitue une assertion de la vérité de quelqu’un/quelque chosede quelqu’un/quelque chose
Les Les claimsclaims sont exigés pour les transactions sont exigés pour les transactions dans le monde réel et en lignedans le monde réel et en ligne
Les Les claimsclaims sont véhiculés dans des jetons de sont véhiculés dans des jetons de sécurité qui transitent entre les frontières de sécurité qui transitent entre les frontières de processus, de machines, d’organisation et processus, de machines, d’organisation et de sécuritéde sécurité
Acteurs d’un méta-système d’identité
Le méta-système d’identité permet à une organisation de Le méta-système d’identité permet à une organisation de consommer les identités émises par une autreconsommer les identités émises par une autre
Dans les modèles « traditionnels », les fournisseurs et les Dans les modèles « traditionnels », les fournisseurs et les consommateurs d’identité sont confinés dans le même domaineconsommateurs d’identité sont confinés dans le même domaine
Consommateur d’identité (Relying Party ou RP)Consommateur d’identité (Relying Party ou RP)Exprime sous forme de Politique les exigences en termes d’identitéExprime sous forme de Politique les exigences en termes d’identité
Une liste de Une liste de claimsclaims
Une liste de fournisseurs d’identité admissibles Une liste de fournisseurs d’identité admissibles
Une liste des formats de jetons de sécurité recevableUne liste des formats de jetons de sécurité recevable
Fournisseur d’identité (Identity Provider ou IP) Fournisseur d’identité (Identity Provider ou IP) Produit les jetons de sécurité au travers d’un Service de Jetons de Produit les jetons de sécurité au travers d’un Service de Jetons de Sécurité (Sécurité (Security Token ServiceSecurity Token Service ou STS) ou STS)
Un service qui échange un jeton de sécurité pour un autreUn service qui échange un jeton de sécurité pour un autre
Les entrées et les sorties d’un jeton de sécurité peuvent différer Les entrées et les sorties d’un jeton de sécurité peuvent différer ((claimsclaims, nombre de , nombre de claimsclaims, émetteur, type de jeton), émetteur, type de jeton)
Définit sous forme de Politique les conditions pour produire le jetonDéfinit sous forme de Politique les conditions pour produire le jetonLes crédentiels nécessaires Les crédentiels nécessaires
Si le consommateur d’identité doit être connu Si le consommateur d’identité doit être connu
Caractéristiques clés d’un méta-système
NégociationNégociationPermet au consommateur d’identité, au sujet et au fournisseur Permet au consommateur d’identité, au sujet et au fournisseur d’identité de négocier les exigences en termes de politiques d’identité de négocier les exigences en termes de politiques techniquestechniques
EncapsulationEncapsulationMécanisme Mécanisme agnostique agnostique d’échange des politiques et des d’échange des politiques et des claimsclaims d’identités entre fournisseur et consommateur d’identitéd’identités entre fournisseur et consommateur d’identité
Transformation des Transformation des claimsclaimsMécanisme de confiance pour échanger un jeu de Mécanisme de confiance pour échanger un jeu de claimsclaims d’identité en un autre indépendamment du format des jetons d’identité en un autre indépendamment du format des jetons d’identitéd’identité
Expérience utilisateurExpérience utilisateur
Interface homme – machine cohérente quels que soient les Interface homme – machine cohérente quels que soient les systèmes et les technologiessystèmes et les technologies
Respect des 7 « lois de l’identité » établies au travers d’une dialogue Respect des 7 « lois de l’identité » établies au travers d’une dialogue avec l’industrie…avec l’industrie…
Les 7 lois de l’identité
1.1. Contrôle et consentement de l’utilisateurContrôle et consentement de l’utilisateur
2.2. Divulgation minimale pour un usage définiDivulgation minimale pour un usage défini
3.3. Présence justifiée des parties en présencePrésence justifiée des parties en présence
4.4. Support d’identités publiques et privéesSupport d’identités publiques et privées
5.5. Pluralisme des opérateurs et des technologiesPluralisme des opérateurs et des technologies
6.6. Prise en compte de l’humainPrise en compte de l’humain
7.7. Expérience cohérente entre les contextesExpérience cohérente entre les contextes
Rejoindre les discussions surRejoindre les discussions sur
http://http://www.identityblog.com www.identityblog.com
Contrôle d’accès basé sur les claims
ConsommateConsommateur d’identitéur d’identité
ClientClient
« Passer une « Passer une commande » requiert le commande » requiert le claimclaim {Acheteur} {Acheteur}
1.1. Lecture de la Lecture de la politique pour politique pour « Passer une « Passer une commande »commande »
2.2. Appel de « Passer une Appel de « Passer une commande » avec un jeton de commande » avec un jeton de sécurité comprenant le sécurité comprenant le claimclaim {{Acheteur=Acheteur=True}True}
{{Acheteur=Acheteur=TruTrue}e}
Contrôle d’accès basé sur les claims
ClientClient ConsommateConsommateur d’identitéur d’identité
FournisseurFournisseurd’identitéd’identité
STS_ASTS_A
« Passer une « Passer une commande » requiert le commande » requiert le claimclaim {Rôle} émis par {Rôle} émis par STS_ASTS_A
1.1. Lecture de la politique Lecture de la politique pour « Passer une pour « Passer une commande »commande »
2.2. Lecture de la Lecture de la politique pour politique pour demander un jeton demander un jeton de sécuritéde sécurité
{Rôle} requiert comme {Rôle} requiert comme crédentiel [Nom/Mot de crédentiel [Nom/Mot de passe]passe]
3.3. Demande d’un jeton de Demande d’un jeton de sécurité en passant sécurité en passant [Jean,****][Jean,****]
Contrôle d’accès basé sur les claims
ClientClientConsommateConsommateur d’identitéur d’identité
FournisseurFournisseurd’identitéd’identité
STS_ASTS_A
« Passer une « Passer une commande » requiert le commande » requiert le claimclaim {Rôle} émis par {Rôle} émis par STS_ASTS_A
{Rôle} requiert comme {Rôle} requiert comme crédentiel [Nom/Mot de crédentiel [Nom/Mot de passe]passe]
Mappage :Mappage :[Jean,****] [Jean,****] {Rôle=Acheteur}{Rôle=Acheteur}
5.5. Appel de « Passer une Appel de « Passer une commande » avec un commande » avec un jeton de sécuritéjeton de sécurité
4.4. Demande d’un jeton de Demande d’un jeton de sécurité en passant sécurité en passant [Jean,****][Jean,****]
{Rôle=Acheteu{Rôle=Acheteur}r}
signé par signé par STS_STS_AA
{Rôle=Acheteu{Rôle=Acheteur}r}
signé par signé par STS_STS_AA
Contrôle d’accès basé sur les claims
ClientClient
ConsommateConsommateur d’identitéur d’identité
« Passer une commande » « Passer une commande » requiert {Passer une requiert {Passer une commande} émis par commande} émis par STS_AuthZSTS_AuthZ
Fournisseur de Fournisseur de claimsclaims d’identitéd’identité
Fournisseur Fournisseur d’identitéd’identité
STS_IdentitéSTS_Identité
{Rôle} requiert comme {Rôle} requiert comme crédentiel [jeton Kerberos] crédentiel [jeton Kerberos] ou [Nom/Mot de passe]ou [Nom/Mot de passe]
ConsommateConsommateur d’identitéur d’identité
STS_AuthZSTS_AuthZ
Fournisseur de Fournisseur de claimsclaims d’autorisationd’autorisation
{Passer une commande} {Passer une commande} requiert un requiert un claimclaim {Rôle} {Rôle} émis par STS_Identitéémis par STS_Identité
1.1. Lecture de la politique Lecture de la politique pour « Passer une pour « Passer une commande »commande »
2.2. Lecture de la Lecture de la politique pour politique pour demander un demander un jeton de jeton de sécuritésécurité
3.3. Lecture de la Lecture de la politique pour politique pour demander un demander un jeton de jeton de sécuritésécurité
4.4. Demande d’un Demande d’un jeton de jeton de sécurité en sécurité en passant [jeton passant [jeton Kerberos de Kerberos de Jean]Jean]
Contrôle d’accès basé sur les claims
ClientClient
ConsommateConsommateur d’identitéur d’identité
{Passer une {Passer une commande=Vracommande=Vra
i}i}signé par signé par
STS_AuthZSTS_AuthZ
« Passer une commande » « Passer une commande » requiert {Passer une requiert {Passer une commande} émis par commande} émis par STS_AuthZSTS_AuthZ
{Passer une commande} {Passer une commande} requiert {Rôle} émis par requiert {Rôle} émis par STS_IdentitéSTS_Identité
ConsommateConsommateur d’identitéur d’identité
STS_AuthZSTS_AuthZ
Mappage :Mappage :{Rôle=Acheteur} {Rôle=Acheteur} {Passer {Passer une commande=Vrai}une commande=Vrai}
Mappage :Mappage :Jean Jean {Rôle=Acheteur} {Rôle=Acheteur}
Fournisseur Fournisseur d’identitéd’identité
STS_IdentitéSTS_Identité
{Rôle=Acheteu{Rôle=Acheteur}r}
signé par signé par STS_IdentitéSTS_Identité
{Rôle=Acheteu{Rôle=Acheteur}r}
signé par signé par STS_IdentitéSTS_Identité
{Passer une {Passer une commande=Vracommande=Vra
i}i}signé par signé par
STS_AuthZSTS_AuthZ
Appel de « Passer une commande »Appel de « Passer une commande »
Quelques scénarios d’utilisation…
11 Prénom, Nom, @ mèlPrénom, Nom, @ mèl
Carte Carte auto-auto-
généréegénérée jeux-en-jeux-en-ligne.comligne.com
bouquins.cobouquins.comm
RPRP
RPRP
IPIP
InternauteInternaute
22
IPIP
RPRPFabrikam, Fabrikam, Inc.Inc.
Contoso Contoso Corp.Corp.
Employé Employé Fabrikam, Fabrikam,
Inc.Inc.
Identité signée Identité signée parpar Fabrikam, Fabrikam,
Inc.Inc.
44
IPIP
RPRP
MembreMembre
Soleil Soleil ClubClub
Membre de Membre de Soleil Club ?Soleil Club ?
bon-bon-plans.complans.com
33
IPIP
RPRP
CitoyenCitoyen
Plus de Plus de 18 ans ?18 ans ?
GouvernemenGouvernementt
permis.copermis.comm
Une architecture pour un méta-système d’identité
La pile de spécification/protocoles WS-répond aux besoins d’un La pile de spécification/protocoles WS-répond aux besoins d’un méta-système d’identitéméta-système d’identité
STAR pour STAR pour SecureSecure, , TransactionalTransactional, , AsynchronousAsynchronous, , ReliableReliable« « An Introduction to the Web Services Architecture and Its An Introduction to the Web Services Architecture and Its SpecificationsSpecifications » »
http://msdn.microsoft.com/library/en-us/dnwebsrv/html/introwsa.asphttp://msdn.microsoft.com/library/en-us/dnwebsrv/html/introwsa.asp
Large participation de l’industrie à sa définitionLarge participation de l’industrie à sa définitionActional, BEA, CA, IBM, Layer 7, Microsoft, Oblix, OpenNetwork, Ping Actional, BEA, CA, IBM, Layer 7, Microsoft, Oblix, OpenNetwork, Ping Identity, Reactivity, RSA, SAP, Sun, VeriSign, WebMethods, etc.Identity, Reactivity, RSA, SAP, Sun, VeriSign, WebMethods, etc.
Architecture ouverte et disponible sans royaltiesArchitecture ouverte et disponible sans royalties« « Web Services Protocol Workshops Process OverviewWeb Services Protocol Workshops Process Overview » »
http://msdn.microsoft.com/library/en-us/dnwebsrv/html/http://msdn.microsoft.com/library/en-us/dnwebsrv/html/wkshopprocess.aspwkshopprocess.asp
Neutralité par rapport aux formats de jetons de sécuritéNeutralité par rapport aux formats de jetons de sécuritéLa spécification OASIS WS-Security constitue la baseLa spécification OASIS WS-Security constitue la baseAgnosticité par rapport aux jetonsAgnosticité par rapport aux jetonsx509, Kerberos, SAML 1.1, 1.2, 2.0, XrML, etc.x509, Kerberos, SAML 1.1, 1.2, 2.0, XrML, etc.
Une architecture pour un méta-système d’identité
Protocole d’encapsulation et transformation des Protocole d’encapsulation et transformation des claimsclaimsLa spécification « Web Services Trust Language » (WS-Trust) La spécification « Web Services Trust Language » (WS-Trust)
Définit une composante clé, le Service de Jetons de Sécurité (Security Définit une composante clé, le Service de Jetons de Sécurité (Security Token Services ou STS)Token Services ou STS)Ainsi qu’un mécanisme simple pour demander des Ainsi qu’un mécanisme simple pour demander des claimsclaims dans des dans des jetons de sécurité à l’aide de SOAP et de XMLjetons de sécurité à l’aide de SOAP et de XML
Request for Security TokenRequest for Security Token (RST) (RST)Request for Security Token ResponseRequest for Security Token Response (RSTR) (RSTR)
Est extensibleEst extensiblePeut être « profilé » pour supporter tout jeton de sécurité répondant au Peut être « profilé » pour supporter tout jeton de sécurité répondant au modèle basé sur les modèle basé sur les claimsclaims
Permet de connecter des systèmes dissemblablesPermet de connecter des systèmes dissemblablesDéfinit les moyens par lesquels un jeu de Définit les moyens par lesquels un jeu de claimsclaims peut être transformé peut être transformé en un autre jeu de en un autre jeu de claimsclaimsLes fournisseurs et les consommateurs peuvent s’appuyer sur un Les fournisseurs et les consommateurs peuvent s’appuyer sur un nombre N de STS nombre N de STS
Une architecture pour un méta-système d’identitéSystème dynamique pour échanger des Système dynamique pour échanger des claimsclaims
La spécification La spécification « « Web Services Security Policy LanguageWeb Services Security Policy Language » ( » (WS-WS-SecurityPolicySecurityPolicy) ) permet d’exprimer des exigences de sécurité à permet d’exprimer des exigences de sécurité à travers l’expression d’une politique de sécuritétravers l’expression d’une politique de sécurité
La spécification « La spécification « Web Services Metadata ExchangeWeb Services Metadata Exchange » ( » (WS-WS-MetadataExchangeMetadataExchange) permet notamment de consulter une politique ) permet notamment de consulter une politique de sécuritéde sécurité
Toutes ces spécifications sont des standards de l’OASIS ou en Toutes ces spécifications sont des standards de l’OASIS ou en cours de standardisation au niveau de l’OASIScours de standardisation au niveau de l’OASIS
Sélecteur d’identité InfoCard
Permet à l’utilisateur de participer dans le méta-système Permet à l’utilisateur de participer dans le méta-système d’identitéd’identité
Abstraction utilisateur simple pour l’identité numérique sous forme de Abstraction utilisateur simple pour l’identité numérique sous forme de cartescartes
Fondé sur la métaphore du monde réel des cartes physiquesFondé sur la métaphore du monde réel des cartes physiquesCarte d’identité, permis de conduire, carte bancaire, carte de membre, etc. Carte d’identité, permis de conduire, carte bancaire, carte de membre, etc. InfoCard est un sélecteur d’identité pour l’utilisateurInfoCard est un sélecteur d’identité pour l’utilisateur
Plus sûrPlus sûrDialogue de crédentiels Windows communDialogue de crédentiels Windows commun
Sélection aisée des crédentiels - indépendamment de la technologie de Sélection aisée des crédentiels - indépendamment de la technologie de sécurité sous-jacentesécurité sous-jacente
Implémenté comme sous-système Windows sécuriséImplémenté comme sous-système Windows sécuriséInterface protégée et « Durci » contre les altérations et les intrusionsInterface protégée et « Durci » contre les altérations et les intrusions
Usage de la cryptographie pour atténuer le risque de fraude et d’attaques Usage de la cryptographie pour atténuer le risque de fraude et d’attaques de phishing de phishing
Quand et où ?Quand et où ?Composant de WinFX, utilisable par n’importe quelle application Composant de WinFX, utilisable par n’importe quelle application (Smart client et Browser) (Smart client et Browser)
Support dans Windows Vista et IE 7.0Support dans Windows Vista et IE 7.0
Protocoles publics que chacun peut consulterProtocoles publics que chacun peut consulterPing Identity et d’autres ont annoncé le support sur Linux, Unix, Apache, et Ping Identity et d’autres ont annoncé le support sur Linux, Unix, Apache, et d’autres plateformesd’autres plateformes
Expérience utilisateur
Deux types d’InfoCardDeux types d’InfoCardCartes « auto-émises » signées Cartes « auto-émises » signées par l’utilisateurpar l’utilisateur
Cartes « gérées » signées par une Cartes « gérées » signées par une autorité externe autorité externe
Représentation visuel d’une Représentation visuel d’une identité numériqueidentité numérique
Une carte n’est PAS un jeton de Une carte n’est PAS un jeton de sécuritésécurité
Une carte contient des Une carte contient des métadonnées pour l’obtention métadonnées pour l’obtention d’un jeton de sécurité auprès d’un d’un jeton de sécurité auprès d’un fournisseur d’identitéfournisseur d’identité
Le jeton de sécurité émis par le Le jeton de sécurité émis par le fournisseur d’identité est soumis fournisseur d’identité est soumis au consommateur d’identité par au consommateur d’identité par l’utilisateurl’utilisateur
Fait de l’utilisateur un participant Fait de l’utilisateur un participant actif de l’utilisation d’identitéactif de l’utilisation d’identité
DémonstrationDémonstration
Microsoft eCompany Store
Bénéfices
Expérience utilisateur cohérente en termes de contrôle vis-à-vis de Expérience utilisateur cohérente en termes de contrôle vis-à-vis de la communication à des tiers d’information personnellela communication à des tiers d’information personnelle
A travers les cartes « auto-émises » et « gérées »A travers les cartes « auto-émises » et « gérées »
A travers les scénarios « A la maison » et « Au travail » (domaine et no-A travers les scénarios « A la maison » et « Au travail » (domaine et no-domaine)domaine)
Aider les utilisateurs à évaluer les risques et à réduire l’expositionAider les utilisateurs à évaluer les risques et à réduire l’expositionValider l’identité du site/service, la réputation du site/service (optionnel)Valider l’identité du site/service, la réputation du site/service (optionnel)
Distinguer une première visite d’une visite de retourDistinguer une première visite d’une visite de retour
Établir la confiance mutuelle entre les utilisateurs et les Établir la confiance mutuelle entre les utilisateurs et les sites/servicessites/services
Authentification du site/service auprès de l'utilisateur, de Authentification du site/service auprès de l'utilisateur, de l'utilisateur auprès du site/servicel'utilisateur auprès du site/service
Atténuer le phishing et le vol d’identitéAtténuer le phishing et le vol d’identité
Solution Solution commune, basée sur la plateformecommune, basée sur la plateformeEviter la litanie des barres d’outils par-site ou des solutions spécifiques Eviter la litanie des barres d’outils par-site ou des solutions spécifiques à une applicationà une application
PrédictiblePrédictible, , expérience utilisateur côté client non sous le contrôle de expérience utilisateur côté client non sous le contrôle de l’attaquantl’attaquant – – Augmente la barre en termes de difficultés d’attaqueAugmente la barre en termes de difficultés d’attaque
Qu’est-ce qu’une carte ?
FournisseurFournisseurd’identitéd’identité
STSSTS
FabrikamFabrikam, , Inc.Inc.
Les valeurs des Les valeurs des preuves sont preuves sont
détenues par le détenues par le fournisseur fournisseur d’identitéd’identité
Name: Name: DupontDupont’s Id Card’s Id CardExpires: Expires: 99//1515/2006/2006ImageImageIssuer: FabrikamIssuer: FabrikamSupported Claims: {Supported Claims: {
GivenNameGivenNameLastNameLastNameAddressAddressCityCity… … }}
Issuer Token Service EPRsIssuer Token Service EPRsSupported Token Type: {Supported Token Type: { SAML 1.1 } SAML 1.1 }
……
Dupont’s Id CardDupont’s Id Card
Exp 9/15/2006Exp 9/15/2006
Jean DuponJean Dupontt
1306 - 25231306 - 2523
Fabrikam, Inc.Fabrikam, Inc.
InfoCard
<Signature xmlns=“http://www.w3.org/2000/09/xmldsig#”> …
<Object Id=“_Object_InfoCard”> <InfoCard xmlns:ic= “http://schemas.microsoft.com/ws/2005/05/identity” >
<ic:InfoCardReference> <ic:CardId>…</ic:CardId> </ic:InfoCardReference> <ic:CardName>…</wsid:CardName> <ic:CardImage>…Mmq95KmzT=ZxVp…</ic:CardImage> <ic:IssuerName>…</ic:IssuerName> <ic:TimeIssued>…</ic:TimeIssued> <ic:TokenServiceReference>
<ic:TokenService> … [EPR][,[Auth]]… </ic:TokenService> </ic:TokenServiceReference> <ic:InfoCardPolicy> <SupportedTokenTypes> <TokenType Uri= “…” /> <SupportedTokenTypes> <SupportedClaims> <Claim Uri= “http://schemas.microsoft.com/ws/2005/05/identity/xxx” />… <Claim …/> <SupportedClaims> </ic:InfoCardPolicy> </ic:InfoCard > </Object> </Signature>
Inclus le certificat et la Inclus le certificat et la valeur de la signaturevaleur de la signature
L’image de la carte L’image de la carte image apparaît dans image apparaît dans
« InfoCard »« InfoCard »
EPRs STS et comment EPRs STS et comment s’authentifiers’authentifier
Comment tout cela fonctionne-t-il ?
ApplicationApplicationclientecliente
ConsommateConsommateur d’identitéur d’identité
PoliPolitiqutiquee
FournisseurFournisseurd’identitéd’identité
Service de Service de jetons jetons
de sécuritéde sécuritéPoliPolitiqutiqu
ee
2
Lecture de la politique Lecture de la politique définissant les preuves définissant les preuves requises et les fournisseurs requises et les fournisseurs d’identité : « d’identité : « Je Je souhaiterais recevoir un souhaiterais recevoir un jeton contenant jeton contenant givenName et lastName givenName et lastName dont le tokenType est dont le tokenType est SAML 1.1, émis par SAML 1.1, émis par n’importe quin’importe qui » »
6
Le fournisseur Le fournisseur d’identité produit d’identité produit le jeton de le jeton de sécurité sécurité contenant les contenant les preuves requises preuves requises
JetonJeton 1
Accès à la Accès à la RessourceRessource
7
L’application L’application relaye le jeton relaye le jeton de sécurité au de sécurité au
consommateur consommateur d’identitéd’identité
4 L’utilisateur sélectionne une carte depuis L’utilisateur sélectionne une carte depuis la liste des identités appropriées dans le la liste des identités appropriées dans le sélecteur d’identitésélecteur d’identité
3 Filtrage des cartes qui pourraient satisfaire Filtrage des cartes qui pourraient satisfaire les exigences du consommateur d’identitéles exigences du consommateur d’identité
5
Le sélecteur Le sélecteur d’identité d’identité
présente les présente les crédentiels au crédentiels au
fournisseur fournisseur d’identité et d’identité et
demande un jeton demande un jeton de sécuritéde sécurité
CrédentielCrédentielss
Protocoles utilisés
FournisseurFournisseurd’identitéd’identité
STSSTS
ConsommateConsommateur d’identitéur d’identité
PoliPolitiqutiquee
ApplicationApplicationclientecliente
PoliPolitiqutiquee
WS-WS-SecurityPolicySecurityPolicy
WS-WS-SecurityPolicySecurityPolicy
WS-WS-MetadataExchange,MetadataExchange,
WS-SecurityWS-Security
WS-WS-MetadataExchange,MetadataExchange,
WS-SecurityWS-Security,,WS-TrustWS-Trust
Implémentation MicrosoftComplètement interopérable avec les protocoles publiésComplètement interopérable avec les protocoles publiés
Avec d’autres implémentations de sélecteur d’identitéAvec d’autres implémentations de sélecteur d’identitéConsultation de la politique exposée par le consommateur d’identité à Consultation de la politique exposée par le consommateur d’identité à l’aide de l’aide de WS-MetadataExchangeWS-MetadataExchangeDemande de jetons au fournisseur d’identité à l’aide de WS-TrustDemande de jetons au fournisseur d’identité à l’aide de WS-Trust
Avec d’autres implémentations de consommateur d’identitéAvec d’autres implémentations de consommateur d’identitéDéfinition d’une politique à l’aide de Définition d’une politique à l’aide de WS-SecurityPolicyWS-SecurityPolicySupport du protocole Support du protocole WS-MetadataExchangeWS-MetadataExchange pour la consultation de la pour la consultation de la politiquepolitiqueSupport du protocole WS-Security pour véhiculer les jetons de sécuritéSupport du protocole WS-Security pour véhiculer les jetons de sécurité
Avec d’autres implémentations de fournisseur d’identitéAvec d’autres implémentations de fournisseur d’identitéSupport du protocole WS-Trust et implémentation d’un service de jetons de Support du protocole WS-Trust et implémentation d’un service de jetons de sécurité (STS)sécurité (STS)
Co-publication avec Ping Identity d’un guide de mise en œuvre Co-publication avec Ping Identity d’un guide de mise en œuvre détaillédétaillé
« « A Guide to Integrating with InfoCard v1.0 A Guide to Integrating with InfoCard v1.0 »»http://download.microsoft.com/download/6/c/3/6c3c2ba2-e5f0-4fe3-be7f-http://download.microsoft.com/download/6/c/3/6c3c2ba2-e5f0-4fe3-be7f-c5dcb86af6de/infocard-guide-beta2-published.pdfc5dcb86af6de/infocard-guide-beta2-published.pdf
« « A Technical Reference for InfoCard v1.0 in Windows A Technical Reference for InfoCard v1.0 in Windows »»http://download.microsoft.com/download/5/4/0/54091e0b-464c-4961-a934-http://download.microsoft.com/download/5/4/0/54091e0b-464c-4961-a934-d47f91b66228/infocard-techref-beta2-published.pdfd47f91b66228/infocard-techref-beta2-published.pdf
« « A Platform-Independent Guide to Supporting InfoCard v1.0 within A Platform-Independent Guide to Supporting InfoCard v1.0 within Web Applications and BrowsersWeb Applications and Browsers » »
Bientôt publié sur Bientôt publié sur http://msdn.microsoft.com/winfx/building/infocardhttp://msdn.microsoft.com/winfx/building/infocard
Dialogue Réputation, Identité, Politique (RIP)
L’utilisateur prend la décision de faire confiance au L’utilisateur prend la décision de faire confiance au consommateur d’identité ou au fournisseur d’identitéconsommateur d’identité ou au fournisseur d’identité
Cas du consommateur d’identité : lorsque l’utilisateur visite le Cas du consommateur d’identité : lorsque l’utilisateur visite le consommateur d’identité pour la première foisconsommateur d’identité pour la première fois
Cas du fournisseur d’identité : lorsque l’utilisateur importe une Cas du fournisseur d’identité : lorsque l’utilisateur importe une carte carte « gérée » « gérée » émise par le fournisseur d’identitéémise par le fournisseur d’identité
Données présentées à l’utilisateurDonnées présentées à l’utilisateurSujet et émetteur du certificat, qui peuvent inclure des logosSujet et émetteur du certificat, qui peuvent inclure des logos
Déclaration d’usage des données utilisateurDéclaration d’usage des données utilisateur
L’utilisateur peut faire les choix suivantsL’utilisateur peut faire les choix suivantsNe pas faire confiance au consommateur d’identitéNe pas faire confiance au consommateur d’identité
Faire confiance au consommateur d’identitéFaire confiance au consommateur d’identité
Annuler la transactionAnnuler la transaction
ConsommateConsommateur d’identitéur d’identité
Dialogue Réputation, Identité, Politique (RIP)
ClientClient
HTTP/GETHTTP/GET22
Web SiteWeb SiteSite(s) WebSite(s) Web
Obtention de Obtention de la politiquela politique
PoliPolitiqutiquee
11Vérification Vérification des condensésdes condensés
33
Affichage du Affichage du dialogue RIPdialogue RIP
44
Logo du sujet
Logo de l’émetteur
……1.3.6.1.5.5.7.1.12:1.3.6.1.5.5.7.1.12:http://.../ecstore.gif + http://.../ecstore.gif + condensécondenséhttp://.../verisign.gif + http://.../verisign.gif + condensécondensé……
Certificat inclus comme composante de la politique
Données InfoCardInfoCard n’est PAS un jeton de sécurité mais un artefact qui InfoCard n’est PAS un jeton de sécurité mais un artefact qui représente la relation de délivrance d’un jeton entre représente la relation de délivrance d’un jeton entre l’utilisateur et le fournisseur d’identité correspondantl’utilisateur et le fournisseur d’identité correspondantDonnées stockées avec chaque carteDonnées stockées avec chaque carte
Information représentant la carte pour l’affichage dans l’interfaceInformation représentant la carte pour l’affichage dans l’interfaceNom, ID, logo, noms des preuves disponibles (pas les valeurs)Nom, ID, logo, noms des preuves disponibles (pas les valeurs)
Liste des références vers les fabriques de jetonsListe des références vers les fabriques de jetonsAdresse du fournisseur d’identité, type d’authentificationAdresse du fournisseur d’identité, type d’authentification
Données stockées au niveau du fournisseur d’identité Local Données stockées au niveau du fournisseur d’identité Local pour les cartes « auto-émises » pour les cartes « auto-émises »
Nom, adresse, adresse mèl, téléphone, âge, sexeNom, adresse, adresse mèl, téléphone, âge, sexeL’utilisateur doit participerL’utilisateur doit participer
Données stockées au niveau de l’historique de navigation Données stockées au niveau de l’historique de navigation ((ledgerledger))
Relation Carte-vers-site et enregistrement des PII communiquésRelation Carte-vers-site et enregistrement des PII communiqués
Données InfoCard non visibles des applicationsDonnées InfoCard non visibles des applicationsStockées dans des fichiers chiffrés avec une clé systèmeStockées dans des fichiers chiffrés avec une clé systèmeExécution de l’interface utilisateur dans un bureau distinctExécution de l’interface utilisateur dans un bureau distinct
Les fournisseurs d’identité sont susceptibles de stocker Les fournisseurs d’identité sont susceptibles de stocker l’information nécessaire à la génération des l’information nécessaire à la génération des claimsclaims
Sécurité InfoCardObjectif : empêcher la révélation de données et de clés Objectif : empêcher la révélation de données et de clés personnelles à du code malveillant s’exécutant sur le clientpersonnelles à du code malveillant s’exécutant sur le client
ImplémentationImplémentationService système s’exécutant à un privilège élevéService système s’exécutant à un privilège élevé
Stockage chiffré des données InfoCard accessible uniquement par Stockage chiffré des données InfoCard accessible uniquement par le service systèmele service système
Agent de session utilisateur s’exécutant sur un bureau distinct Agent de session utilisateur s’exécutant sur un bureau distinct non invocable directementnon invocable directement
Affichage des secrets utilisateurs gérés par le système Affichage des secrets utilisateurs gérés par le système uniquement dans l’interface de l’agent de sessionuniquement dans l’interface de l’agent de session
Interaction utilisateur requise pour « libérer » des informations Interaction utilisateur requise pour « libérer » des informations personnellespersonnelles
L’utilisateur est pleinement conscient de l’utilisation faite de ses L’utilisateur est pleinement conscient de l’utilisation faite de ses données personnellesdonnées personnelles
Fournisseur d’identité Local
Composante d’InfoCard pour les cartes « auto-émises »Composante d’InfoCard pour les cartes « auto-émises »
Service de jetons de sécurité localService de jetons de sécurité local
Permet aux utilisateurs d’auto-revendiquer une identité sous la Permet aux utilisateurs d’auto-revendiquer une identité sous la forme de jetons de sécurité auto-émis dans les contextes forme de jetons de sécurité auto-émis dans les contextes d’interactions où cela est recevabled’interactions où cela est recevable
Les données sont fournies par l’utilisateurLes données sont fournies par l’utilisateur
Support d’un jeu limité de Support d’un jeu limité de claimsclaims comme givenName, LastName, comme givenName, LastName, emailAddress, phoneNumber, etc.emailAddress, phoneNumber, etc.
Les données sont stockées et chiffrées sur le disque dur localLes données sont stockées et chiffrées sur le disque dur localLa carte « auto-émise » peut facilement être itinéranteLa carte « auto-émise » peut facilement être itinérante
Recours à une authentification basée sur la cryptographie Recours à une authentification basée sur la cryptographie asymétriqueasymétrique
L’utilisateur ne divulgue pas de mots de passe aux consommateurs L’utilisateur ne divulgue pas de mots de passe aux consommateurs d’identitéd’identité
La clé utilisée pour la signature intègre une fonction de respect de la La clé utilisée pour la signature intègre une fonction de respect de la vie privéevie privée
Clé de signature des cartes « auto-émises »
Clé Maître par carteClé Maître par carteBi-Clé unique dérivée pour chaque site/service (aucun suivi possible)Bi-Clé unique dérivée pour chaque site/service (aucun suivi possible)
A et B ne peuvent pas s’entendre sur la base de la clé de signatureA et B ne peuvent pas s’entendre sur la base de la clé de signature
+ = = GraineGraine
Clé Clé MaîtreMaître
+ = = GraineGraine
ConsommateConsommateur d’identité Aur d’identité A
ConsommateConsommateur d’identité Bur d’identité B
Paire de clésPaire de clés
Paire de clésPaire de clés
Certificat Certificat X509X509
Certificat Certificat X509X509
utilisée pour la utilisée pour la signature dusignature du
JetonJeton
utilisée pour la utilisée pour la signature dusignature du
JetonJeton
Jetons de sécurité
Une collection de Une collection de claimsclaims sur un sur un sujet signée par un émetteursujet signée par un émetteur
Dans l’environnement InfoCard, le Dans l’environnement InfoCard, le jeton soumis au consommateur jeton soumis au consommateur d’identité est chiffréd’identité est chiffré
InfoCard est agnostique en termes InfoCard est agnostique en termes de jetonsde jetons
Il n’interprète jamais un jeton émis Il n’interprète jamais un jeton émis par un fournisseur d’identitépar un fournisseur d’identité
Peut inclure une preuve de Peut inclure une preuve de possession (clé du confirmation du possession (clé du confirmation du sujet) pour le client afin de sujet) pour le client afin de démontrer la possession du jetondémontrer la possession du jeton
Le consommateur d’identité peut Le consommateur d’identité peut spécifier dans sa politique ses spécifier dans sa politique ses exigences en termes de type de exigences en termes de type de jeton, de taille de la clé, de jeu de jeton, de taille de la clé, de jeu de claimsclaims
Member ID:Member ID: MS-62A-8421MS-62A-8421
Since:Since: May 1998May 1998
ExpirationExpiration May 2006 May 2006 Member LevelMember Level PlatinumPlatinum
Accumulated Points:Accumulated Points: 7,901 7,901
Jeton – Chiffré à destination du Jeton – Chiffré à destination du consommateur d’identitéconsommateur d’identité
Révélation de l’identité du consommateur d’identité
Jeton ouvert sans périmètreJeton ouvert sans périmètre (Unscoped Token) (Unscoped Token)L’identité du consommateur d’identité n’est PAS révélée au L’identité du consommateur d’identité n’est PAS révélée au fournisseur d’identitéfournisseur d’identité
Comportement par défautComportement par défaut
Jeton avec périmètre (Scoped Token)Jeton avec périmètre (Scoped Token)Le consommateur d’identité (ou un autre fournisseur d’identité) Le consommateur d’identité (ou un autre fournisseur d’identité) peut demander à ce que son identité soit communiquée à un peut demander à ce que son identité soit communiquée à un fournisseur d’identitéfournisseur d’identité
<RequireAppliesTo /> <RequireAppliesTo /> dans le schéma InfoCarddans le schéma InfoCard
Le fournisseur d’identité est alors en position de suivre les Le fournisseur d’identité est alors en position de suivre les usages des jetons pour l’utilisateurusages des jetons pour l’utilisateur
L’utilisateur est notifié que l’identité du consommateur L’utilisateur est notifié que l’identité du consommateur d’identité sera transmise au fournisseur d’identitéd’identité sera transmise au fournisseur d’identité
De façon indifférente, le jeton est chiffré à destination du De façon indifférente, le jeton est chiffré à destination du consommateur d’identitéconsommateur d’identité
Jeton ouvert sans périmètre
FournisseurFournisseurd’identitéd’identité
Demande d’un Demande d’un jeton de sécurité jeton de sécurité (RST)(RST)
ConsommateConsommateur d’identitéur d’identité
Génère un Génère un message de message de
réponseréponse (RSTR) (RSTR) Chiffré avec la clé du client
Réponse
pour
le jeto
n d
e s
écu
rité
Réponse
pour
le jeto
n d
e s
écu
rité
Déch
iffre
Déch
iffre
Jeton Jeton
Chiffré avec la clé du RP
Génère un messageGénère un message
Envoie le Envoie le message au message au
consommateur consommateur d’identitéd’identité
Exigences jetonExigences jeton
Génère un jetonGénère un jeton
Jeton Jeton
Signé avec la clé de l’émetteur. Le jeton n’est PAS chiffré; la clé du RP n’étant pas connue
Jeton avec périmètre
Peuvent avoir établi Peuvent avoir établi une relation OOBune relation OOB
FournisseurFournisseurd’identitéd’identité
Identité du RP incluse dans la requête
Demande d’un Demande d’un jeton de sécurité jeton de sécurité (RST)(RST)
Réponse
pour
le jeto
n d
e s
écu
rité
Réponse
pour
le jeto
n d
e s
écu
rité
Génère un messageGénère un message
Déch
iffre
Déch
iffre
Chiffré avec la clé du client
Génère un Génère un message de message de
réponseréponse (RSTR) (RSTR)
Génère un jetonGénère un jeton
Jeton Jeton
Signé avec la clé de l’IP. Le jeton EST chiffré avec la clé du RP; la clé du RP est connue
Exigences jetonExigences jetonRequireAppliesTRequireAppliesToo
ConsommateConsommateur d’identitéur d’identité
Envoie le Envoie le message au message au
consommateur consommateur d’identitéd’identité
Clé preuve
Clé de confirmation du sujetClé de confirmation du sujetLe propriétaire du jeton (client) doit prouver la propriété Le propriétaire du jeton (client) doit prouver la propriété légitime au destinataire (consommateur d’identité)légitime au destinataire (consommateur d’identité)Clé symétriqueClé symétrique
Le fournisseur d’identité génère aléatoirement une clé symétrique, Le fournisseur d’identité génère aléatoirement une clé symétrique, l’intègre dans le jeton et la transmet au client avec le jetonl’intègre dans le jeton et la transmet au client avec le jetonLe client, après obtention du jeton et de la clé symétrique, envoie Le client, après obtention du jeton et de la clé symétrique, envoie un message contenant le jeton signé avec la clé preuve au un message contenant le jeton signé avec la clé preuve au consommateur d’identitéconsommateur d’identité
Clé asymétriqueClé asymétriqueLe client génère une paire de clésLe client génère une paire de clésLe client inclut Le client inclut une cléune clé comme partie du message RST comme partie du message RSTLe fournisseur d’identité intègre Le fournisseur d’identité intègre cette clé dans le cette clé dans le jetonjeton et transmet et transmet le jeton au clientle jeton au clientLe client, après obtention du jeton, envoie un message contenant le Le client, après obtention du jeton, envoie un message contenant le jeton signé avec l’autre clé au consommateur d’identitéjeton signé avec l’autre clé au consommateur d’identité
Génère un messageGénère un message
Signé avec la clé preuve
Jeton preuve : Clé symétrique
Réponse
pour
le jeto
n d
e s
écu
rité
Réponse
pour
le jeto
n d
e s
écu
rité
Vérifie la Vérifie la signatursignatur
eeFournisseurFournisseurd’identitéd’identité
ConsommateConsommateur d’identitéur d’identité
Demande d’un Demande d’un jeton de sécurité jeton de sécurité (RST)(RST)
Génère une clé (128 bits)Génère une clé (128 bits)
Déch
iffre
Déch
iffre
Exigences jetonExigences jetonType de clé: Type de clé: SymétriqueSymétriqueLongueur de clé: 128 Longueur de clé: 128
Type de jeton : Type de jeton : SAML1.1SAML1.1
Génère un jeton (SAML)Génère un jeton (SAML)
Inclus dans le jeton
Jeton Jeton
Génère un Génère un message message
de de réponseréponse (RSTR)(RSTR)
Inclus comme preuve de possession
dans le message
Chiffré avec la clé du Client
Envoie le Envoie le message au message au
consommateur consommateur d’identitéd’identité
Jeton preuve : Clé asymétrique
Exigences jetonExigences jetonType de clé: Type de clé: asymétriqueasymétriqueLongueur de clé: Longueur de clé: 2048 2048 Type de jeton : Type de jeton : SAML1.1SAML1.1
ConsommateConsommateur d’identitéur d’identité
FournisseurFournisseurd’identitéd’identité
Génère une Génère une paire de cléspaire de clés
Inclus dans la demande
Demande d’un Demande d’un jeton de sécurité jeton de sécurité (RST)(RST)
Génère un jeton (SAML)Génère un jeton (SAML)
Inclus dans le jeton
Jeton Jeton
Répo
nse
pour
le
Répo
nse
pour
le
jeto
n de
séc
urité
jeto
n de
séc
urité
Signé avec l’autre clé
comme preuve du jeton
Génère un messageGénère un messageD
éch
iffre
Déch
iffre
Vérifie la Vérifie la signatursignatur
ee
Envoie le Envoie le message au message au
consommateur consommateur d’identitéd’identité
Génère un Génère un message message
de de réponseréponse (RSTR)(RSTR)
Chiffré avec la clé du Client
Autres composants Microsoft
Implémentation Microsoft du service de jetons de sécuritéImplémentation Microsoft du service de jetons de sécuritéFournisseur d’identité InfoCard pour les cartes « auto-émises » Fournisseur d’identité InfoCard pour les cartes « auto-émises »
Futur : Service de jetons de sécurité gérés Active DirectoryFutur : Service de jetons de sécurité gérés Active DirectoryInsérer les utilisateurs Active Directory dans le méta-systèmeInsérer les utilisateurs Active Directory dans le méta-système
Ensemble complet de contrôle de politique afin de gérer l’utilisation des Ensemble complet de contrôle de politique afin de gérer l’utilisation des identités simples et des identités Active Directoryidentités simples et des identités Active Directory
Windows Communication Foundation (Runtime)Windows Communication Foundation (Runtime)Pour le développement d’applications distribuées et Pour le développement d’applications distribuées et l’implémentation de services de jetons de sécurité et de services l’implémentation de services de jetons de sécurité et de services consommateurs d’identitéconsommateurs d’identité
« « Microsoft Federated Identity and Access Resource Kit for Sept 2005 Microsoft Federated Identity and Access Resource Kit for Sept 2005 Community Technology PreviewCommunity Technology Preview » »
http://www.microsoft.com/downloads/details.aspx?familyid=66734401-http://www.microsoft.com/downloads/details.aspx?familyid=66734401-4988-4ded-9876-3dc10223052c&displaylang=en 4988-4ded-9876-3dc10223052c&displaylang=en
Démonstration InfoCard Live
Démonstration InfoCard Live
« Hello World, InfoCard! »
Démonstration InfoCard Live
Démonstration InfoCard Live
Intégration dans Internet Explorer 7.0
En conclusion
Les acteurs peuvent s’insérer dans le méta-système comme Les acteurs peuvent s’insérer dans le méta-système comme fournisseur, consommateur ou sélecteur d’identitéfournisseur, consommateur ou sélecteur d’identité
WS-* rend possible un méta-système d’identité fondé sur des WS-* rend possible un méta-système d’identité fondé sur des protocoles publiés largement adoptésprotocoles publiés largement adoptés
L’implémentation Microsoft vise à fournir un support complet L’implémentation Microsoft vise à fournir un support complet d’un méta-système d’identité ouvert dans Windowsd’un méta-système d’identité ouvert dans Windows
Microsoft n’est pas en train de lancer le fils de PassportMicrosoft n’est pas en train de lancer le fils de Passport
Pour plus d’informations sur InfoCardPage d’accueil InfoCard sur MSDNPage d’accueil InfoCard sur MSDN
http://msdn.microsoft.com/windowsvista/building/infocard/default.aspxhttp://msdn.microsoft.com/windowsvista/building/infocard/default.aspx
« « The Laws of IdentityThe Laws of Identity »»http://msdn.microsoft.com/library/en-us/dnwebsrv/html/lawsofidentity.asphttp://msdn.microsoft.com/library/en-us/dnwebsrv/html/lawsofidentity.asp
« « Microsoft's Vision for an Identity MetasystemMicrosoft's Vision for an Identity Metasystem »»http://msdn.microsoft.com/library/en-us/dnwebsrv/html/identitymetasystem.http://msdn.microsoft.com/library/en-us/dnwebsrv/html/identitymetasystem.aspasp
« « A Guide to Integrating with InfoCard v1.0A Guide to Integrating with InfoCard v1.0 »»http://download.microsoft.com/download/6/c/3/6c3c2ba2-e5f0-4fe3-be7f-c5dhttp://download.microsoft.com/download/6/c/3/6c3c2ba2-e5f0-4fe3-be7f-c5dcb86af6de/infocard-guide-beta2-published.pdfcb86af6de/infocard-guide-beta2-published.pdf
« « A Technical Reference for InfoCard v1.0 in WindowsA Technical Reference for InfoCard v1.0 in Windows »»http://download.microsoft.com/download/5/4/0/54091e0b-464c-4961-a934-dhttp://download.microsoft.com/download/5/4/0/54091e0b-464c-4961-a934-d47f91b66228/infocard-techref-beta2-published.pdf47f91b66228/infocard-techref-beta2-published.pdf
« « A Platform-Independent Guide to Supporting InfoCard v1.0 within Web A Platform-Independent Guide to Supporting InfoCard v1.0 within Web Applications and BrowsersApplications and Browsers » »
Bientôt publié sur Bientôt publié sur http://msdn.microsoft.com/winfx/building/infocardhttp://msdn.microsoft.com/winfx/building/infocard
« « Using InfoCards for User-Centered IdentityUsing InfoCards for User-Centered Identity »»http://msdn.microsoft.com/msdntv/episode.aspx?xml=episodes/en/http://msdn.microsoft.com/msdntv/episode.aspx?xml=episodes/en/20060209InfoCardKC/manifest.xml 20060209InfoCardKC/manifest.xml
Blog d’Andy Harjanto sur InfoCardBlog d’Andy Harjanto sur InfoCard http://blogs.msdn.com/andyharhttp://blogs.msdn.com/andyhar
RRejoignez les discussions surejoignez les discussions sur http://www.identityblog.comhttp://www.identityblog.com
Microsoft FranceMicrosoft France18, avenue du Québec18, avenue du Québec
91 957 Courtaboeuf Cedex91 957 Courtaboeuf Cedex
www.microsoft.com/france
0 825 827 8290 825 827 829
[email protected]@microsoft.com