Azure Day @ Trivadis – Where Cloud Enthusiasts meet

Lernen Sie von ausgewiesenen Azure Experten und verbessern Sie Ihre Skills

Die Microsoft Azure Cloud Plattform feiert demnächst ihr 10-jähriges Jubiläum und startet in der Schweiz durch. Cloud Computing ist für unsere Enterprisekunden wichtiger denn je und steht auf der Agenda an erster Stelle. Am Trivadis Azure Day berichten wir von spannenden Best Practice Szenarios und durchdachten Use Cases. Kommen Sie mit uns auf eine Reise durch die Azure Cloud und nehmen Sie unsere Learnings und Best Practices mit nach Hause. Die Konferenz wird in deutscher Sprache gehalten.

Welche wertvollen Insights werden Sie erhalten?

Am Trivadis Azure Day erwarten Sie 2 volle Tracks mit spannenden Sessions zu diversen Themen rund um die Azure Cloud. Die Sprecher sind zum grossen Teil Trivadis Consultants, welche aus Ihren Kundenprojekten aus dem DACH-Raum erzählen. Ergänzt wird die Agenda mit 2 Speakern von unserem Partner Microsoft. Nutzen Sie diese einmalige Gelegenheit, um von unseren Herausforderungen und der Projekterfahrung zu profitieren. Der Trivadis Azure Day ist eine Gelegenheit, die es sonst nirgendwo gibt!
  • Wie starte ich meine Reise in die Cloud?
  • Bots und AI, brauche ich das?
  • Infrastruktur als Code
  • Azure@Helsana
  • Die Azure Foundation – Wie lege ich eine erfolgreiche Basis?
  • Business Intelligence in der Cloud

Die Einführung einer Cloud Plattform in einer Organisation erfordert es, die strategischen, organisatorischen sowie auch die technischen Herausforderungen zu identifizieren und zu meistern.

Bei der Einführung der Azure Cloud Plattform unterscheiden wir zwischen der Azure Foundation und den Azure Solutions. Die Azure Foundation besteht aus drei Säulen, welche die gesamte Azure Cloud Plattform unserer Kunden tragen. Hierzu gehören Azure Governance, Azure Core Infrastruktur und Azure Operations. In dieser Session stellen wir die Azure Foundations vor und erzählen von den Erfahrungen, welche wir in unseren Kundenprojekten gemacht haben.

Für mehr Infos: https://m.trivadis.com/azure-days

Cloud Transition, Azure Adoption and Azure Foundation

The Adoption of a cloud platform in an organization requires identifying and mastering the strategic, organizational and technical challenges.

The Adoption of Azure Cloud Plattform can be divided into two steps. The first one is to build up the Azure Foundation and the second one is to build up new Solutions with Azure Services.

The Azure Foundation consists of three pillars that support the entire Azure Cloud platform of customers, including Azure Governance, Azure Core Infrastructure and Azure Operations.

The first pillar “Azure Governance” includes resource Organization, resource Security, auditing and cost Controls.

The second pillar “Azure Core Infrastruktur” includes identity & access management, connectivity, Azure network, Security Management and System Management.

The third pillar “Azure Operations” includes Cloud Service Management and infrastructure Automation.

These three pillars build the Foundation for customers Azure Environment and are ready to carry the new Azure Solutions

As an Azure Solution, a modern environment can be designed and implemented according to business or IT requirements in Azure or Hybrid with OnPremises. e.g. the extension of the OnPrem Datacenter in Azure, compute workloads with VM’s or system/service/application deployment using IaaS as well as PaaS components. The Azure Solutions are offered as Managed Services according to business requests or partly also by the internal IT organization for the business.

 

Einführung von Azure Cloud Plattform in einer zentralen IT Organisation – Teil 3

Die Einführung einer Cloud Plattform in einer Organisation bedingt die strategische, organisatorische sowie auch die technische Herausforderungen zu identifizieren und diese zu meistern.

Die Einführung von Azure Cloud Plattform kann in zwei groben Schritten aufgeteilt werden. Diese zwei Schritte sind die Einführung von der Azure Foundation und der Aufbau von Azure Solutions.

Die Azure Foundation besteht aus drei Säulen welche die gesamte Azure Cloud Plattform der Kunden tragen, dazu gehört das Azure Governance, Azure Core Infrastruktur und Azure Operations.

Die erste Säule “Azure Governance” beinhaltet die Ressourcen Verwaltung, die Ressourcen Sicherung, die Ressourcen Auditierung und die Kostenkontrolle.

Die zweite Säule “Azure Core Infrastruktur” beinhaltet das Identity & Access Management, Konnektivität, Netzwerk, Sicherheit- und System Management.

Die dritte und letzte Säule “Azure Operations” beinhaltet den Cloud Service Management und die Automatisierung der Infrastruktur.

Die drei Säulen bilden das Fundament des Azure Umgebung vom Kunden und stehen bereit die neuen Azure Solutions zu tragen.

Als Azure Solution können eine nach Business oder IT Anforderungen konzipierte und implementierte moderne Umgebungen in Azure oder Hybrid mit OnPremises. z.B. die erweiterung des OnPrem Datacenter in Azure, Compute workloades mit VM’s oder System/Service/Applikation Bereitstellung unter Verwendung von IaaS sowie PaaS Komponenten . Die Azure Solutions werden nach Business Anfragen oder teils auch durch die interne IT Organisation für das Business als Managed Service angeboten.

Vorbereitung auf Microsoft Exam AZ-302 – Azure Solutions Architecture Expert

Ich bereite mich mit den folgenden Lernmaterial für diesen Prüfung vor und möchte denen die das auch geplant haben meine gesammelten Informationen zu Verfügung stellen. Ich wünsche allen viel Erfolg und hoffe das meine Inputs etwas dazu beitragen kann.

 

Prüfungsinhalt:

Determine Workload Requirements (15-20%)

Design for Identity and Security (5-10%)

Design a Business Continuity Strategy (15-20%)

Implement Workload and Security (5-10%)

Implement Authentication and Secure Data (5-10%)

Develop for the Cloud (50%)

Link Sammlung:

eLearning

https://www.udemy.com/az302-azure/

https://app.pluralsight.com/channels/details/acdf22f8-4ab6-4ec9-bbe4-acca6e48bc31

Microsoft Learn Portal

https://docs.microsoft.com/de-de/learn/

Microsoft Hands-on Lab

https://www.microsoft.com/handsonlabs

Azure Doc

https://docs.microsoft.com/de-de/azure/

Dokumente

https://www.microsoft.com/en-ca/learning/certification-exams.aspx?types=true

https://www.microsoft.com/en-ca/learning/online-proctored-exams.aspx

Allgemein

https://www.microsoft.com/en-us/learning/azure-solutions-architect.aspx#skillsandknowledge

https://www.microsoft.com/en-us/learning/exam-AZ-302.aspx

 

ADFS 4.0 und SWITCH edu-ID

SWITCH edu-ID IdP als zusätzliche Identity Provider im ADFS 4.0

Wie in einer der vorherigen Blogeintrag erwähnt, wird SWITCH edu-ID zu einer lebenslangen digitale Identität in das Hochschuleumfeld.

Sicherlich kennt Ihr das Problem, das in vielen Organisationen die Webanwendungen mit unterschiedlichen Sign-In Page daher kommen, das hat teils auch damit zu tun, dass die Identitätsattribute über verschiedene Identity Provider zur Verfügung gestellt werden.

Das ADFS (Active Directory Federation Service) von der Microsoft ermöglicht in einer Active Directory Umgebung die Nutzung von SAML Sign-In Protokoll, dazu auch noch die Möglichkeit den Benutzer eine einheitliche und nach Organisations Bedürfnissen angepasste Sign-In Page für Webanwendungen anzubieten und gleichzeitig den Identitätsattributen von verschiedenen Identity Provider an Applikationen über mehrere Protokolle und Token typen weiterzugeben.

Mehr zu ADFS 4.0 (Windows Server 2016):
https://docs.microsoft.com/en-us/windows-server/identity/ad-fs/overview/whats-new-active-directory-federation-services-windows-server

Da der aktuelle Hochschulenweite Identity Federation mit SWITCHaai für die aktiven Hochschul angehörige eingeschränkt bleibt, bietet die SWITCH edu-ID die Möglichkeit ohne einen aktiven Mitgliedschaft an einer Hochschule, die von der Hochschulen freigegebene Ressourcen zu nutzen. Um den Zugang auf die Ressourcen über einen einheitliche Sign-In Page zu ermöglichen wäre eine möglichkeit die SWITCH edu-ID über das ADFS anzubieten. So können z. B. die interne Geschäftsapplikationen über das ADFS angebunden werden und als Sign-In Protokoll WS-FED und als Authentisierungstyp Kerberos oder NTLM nutzen, die Applikationen welche ohne eine aktive Mitgliedschaft angeboten werden, können über die SWITCH edu-ID mit SAML als Sign-In Protokoll und als Authentisierungstyp Form-Based angebunden werden.

Beispiellayout:

SWITCHaai/edu-ID IdP Konfiguration:

ADFS als SWITCHaai Ressource auf der Resource Registry Seite (https:/rr.aai.switch.ch/) einrichten

Ein Hinweis noch um SWITCH edu-ID zuzulassen:

ADFS 4.0 Konfiguration:

Neu mit ADFS 4.0 können auch Metadata Files mit mehreren Entity Einträge in einem File eingelesen werden, dafür wird der folgende Befehl verwendet:

Add-AdfsClaimsProviderTrust -Name “SWITCH edu-ID” -MetadataUrl https://metadata.aai.switch.ch/entities/eduid -AcceptanceTransformRulesFile .\DefaultAcceptanceRules.txt -AutoUpdateEnabled $true -MonitoringEnabled $true

Mit diesem Befehl wird der IDP von SWITCH edu-ID aus der Metadata File im ADFS als ClaimsProviderTrust erstellt.

ClaimTrustProvider auslesen:

Get-AdfsClaimsProviderTrust | ft Name, Identifier

Beispiel für eine AcceptanceRules.txt File:

@RuleTemplate = "PassThroughClaims"

@RuleName = "Pass trough Name ID"
c:[Type == "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] == "urn:oasis:names:tc:SAML:2.0:nameid-format:persistent"] => issue(claim = c);
@RuleName = "principalName to UPN"
c:[Type == "urn:oid:2.16.756.1.2.5.1.1.1"] => issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType);
@RuleName = "givenname to Given Name"
c:[Type == "urn:oid:2.5.4.42"] => issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType);
@RuleName = "sn to Surname"
c:[Type == "urn:oid:2.5.4.4"] => issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType);
@RuleName = "displayName to Display Name"
c:[Type == "urn:oid:2.16.840.1.113730.3.1.241"] => issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/displayname", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType);
@RuleName = "mail to E-Mail Address"
c:[Type == "urn:oid:0.9.2342.19200300.100.1.3"] => issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType);

ADFS 4.0 Test:

Auf der ADFS Home Realm Discovery (HRD) Page wird zusätzlich zu Active Directory der SWITCH edu-ID IdP angeboten.

HRD: https://adfs.domain.ch/adfs/ls/idpinitiatedsignon

Um die Display Name der IdP auf der ADFS HRD Page anzupassen, muss die Display name der Claims Provider Trust auf der ADFS Server angepasst werden.

SWITCH edu-ID – die neue Authentisierungslösung für Schweizer Hochschulen

Die Vision: Eine digitale Identität, welche das gesamte Leben gilt und an allen Hochschulen – als Mitarbeitende, Studierende und Weiterbildungsteilnehme – genutzt werden kann.

Die bekannt und aktuell verwendete digitale Identität «SWITCHaai» steht nur bei einer Anstellung oder Immatrikulation an einer Hochschule zu Verfügung und wird beim Austritt oder Exmatrikulation aufgelöst. Die neue digitale Identität «SWITCH edu-ID» hat keinen Ablauf. Sie wird nicht mehr dezentral in den einzelnen Hochschulen erzeugt, sondern die einzelnen Hochschulen können die von der SWITCH zur Verfügung gestellten Identität mit Hochschul-Attributen ergänzen.

Die Vorteile liegen auf der Hand: Bspw. bei einem Studiengang welche in Zusammenarbeit von mehreren Hochschulen angeboten (z.B. «Kooperationsmaster»), kann sich der Studierende mit einer Identität an den IT-Infrastrukturen beider Hochschulen authentisieren und diese nutzen. SWITCH edu-ID steht in einer Basis-Variante für jeden (auch ausserhalb der Hochschulen) kostenlos zu Verfügung.

Projektscope und Vorgehen bei Einführung von Identity Management

Bei der Einführung von Identity Management Lösungen wird immer wieder der Scope am Anfang zu breit gefasst, dies hat evtl. mit dem zu tun weil sobald man sich mit den betroffenen IdM Prozesse und Systeme auseinander setzt, tauchen Themen wie Federation, SSO, Rollenmanagement, Self Service etc. auf. Alle diesen Themen sind sehr relevant für eine Erfolgreiche Einführung von Identity Management in einer Organisation, doch wo soll man Anfangen damit in einer realistischen Zeitspanne der Basis eingeführt und die erste Resultate sichtbar werden.

Was ist der Basis?

Basis einer Identity Management Einführung ist die Provisionierung von Konten in den Zielsystemen welche für die Endbenutzer Zugriff zu Verfügung stehen. Sobald diese einwandfrei funktioniert können die erweiterte Identity Management Themen wie Federation, SSO, Business Rollen Management, RBAC und Self-Service schrittweise implementiert werden. Teile der erweiterte Identity Management Themen werden schon während der Basis Implementierung mit aufgebaut, aber noch nicht voll umfänglich. Bei der Einführung von Identity Management oder ähnliche Themen macht es sicher Sinn die Unterthemen in Form einer RoadMap mit Abhängigkeiten und Priorisierung darzustellen und auf das basierend die Projekte zu initiieren und zu steuern.

 Beispiel IDM RoadMap: