Federation | Nisanth M. Rajah's blog

Einführung von Azure Cloud Plattform in einer zentralen IT Organisation – Teil 3

Published on Januar 11, 2019April 28, 2019 by Nisanth RajahLeave a comment

Die Einführung einer Cloud Plattform in einer Organisation bedingt die strategische, organisatorische sowie auch die technische Herausforderungen zu identifizieren und diese zu meistern.

Die Einführung von Azure Cloud Plattform kann in zwei groben Schritten aufgeteilt werden. Diese zwei Schritte sind die Einführung von der Azure Foundation und der Aufbau von Azure Solutions.

Die Azure Foundation besteht aus drei Säulen welche die gesamte Azure Cloud Plattform der Kunden tragen, dazu gehört das Azure Governance, Azure Core Infrastruktur und Azure Operations.

Die erste Säule “Azure Governance” beinhaltet die Ressourcen Verwaltung, die Ressourcen Sicherung, die Ressourcen Auditierung und die Kostenkontrolle.

Die zweite Säule “Azure Core Infrastruktur” beinhaltet das Identity & Access Management, Konnektivität, Netzwerk, Sicherheit- und System Management.

Die dritte und letzte Säule “Azure Operations” beinhaltet den Cloud Service Management und die Automatisierung der Infrastruktur.

Die drei Säulen bilden das Fundament des Azure Umgebung vom Kunden und stehen bereit die neuen Azure Solutions zu tragen.

Als Azure Solution können eine nach Business oder IT Anforderungen konzipierte und implementierte moderne Umgebungen in Azure oder Hybrid mit OnPremises. z.B. die erweiterung des OnPrem Datacenter in Azure, Compute workloades mit VM’s oder System/Service/Applikation Bereitstellung unter Verwendung von IaaS sowie PaaS Komponenten . Die Azure Solutions werden nach Business Anfragen oder teils auch durch die interne IT Organisation für das Business als Managed Service angeboten.

Vorbereitung auf Microsoft Exam AZ-302 – Azure Solutions Architecture Expert

Published on Dezember 18, 2018 by Nisanth RajahLeave a comment

Ich bereite mich mit den folgenden Lernmaterial für diesen Prüfung vor und möchte denen die das auch geplant haben meine gesammelten Informationen zu Verfügung stellen. Ich wünsche allen viel Erfolg und hoffe das meine Inputs etwas dazu beitragen kann.

Prüfungsinhalt:

Determine Workload Requirements (15-20%)

Design for Identity and Security (5-10%)

Design a Business Continuity Strategy (15-20%)

Implement Workload and Security (5-10%)

Implement Authentication and Secure Data (5-10%)

Develop for the Cloud (50%)

Link Sammlung:

eLearning

https://www.udemy.com/az302-azure/

https://app.pluralsight.com/channels/details/acdf22f8-4ab6-4ec9-bbe4-acca6e48bc31

Microsoft Learn Portal

https://docs.microsoft.com/de-de/learn/

Microsoft Hands-on Lab

https://www.microsoft.com/handsonlabs

Azure Doc

https://docs.microsoft.com/de-de/azure/

Dokumente

https://www.microsoft.com/en-ca/learning/certification-exams.aspx?types=true

https://www.microsoft.com/en-ca/learning/online-proctored-exams.aspx

Allgemein

https://www.microsoft.com/en-us/learning/azure-solutions-architect.aspx#skillsandknowledge

https://www.microsoft.com/en-us/learning/exam-AZ-302.aspx

Einführung von Azure Cloud Plattform in einer zentralen IT Organisation – Teil 2

Published on Dezember 18, 2018Dezember 18, 2018 by Nisanth RajahLeave a comment

Bevor die Einführung einer Cloud Plattform gestartet werden kann, sind einige strategische sowie auch organisatorische Überlegungen evtl. auch Anpassungen notwendig. Die Allgemeine Überlegungen bei einer Cloud Einführung werde ich in einer seperaten Blog Eintrag verfassen.

Die Einführung von Azure Cloud Plattform in einer Organisation beinhaltet verschiedene Schritte, mit dem Bild unten möchte ich gerne einer der möglichen Vorgehenweise bei der Einführung aufzeigen. Diese Vorgehensweise kann ebenfalls auch bei der Einführung von anderen Cloud Plattformen adaptiert werden (die Farbigen blöcke werden evtl. anders benannt).

Die Liste der einzelne Themen ist nicht abschliessend.

kurze Erklärung zum Bild:

Weise Blöcke – Konzeptionelle Vorgehensweise und Gruppierung der farbigen Blöcke.
Farbigen Blöcke – Organisatorische und Technische Komponenten die bei der Einführung beachtet bzw. implementiert werden können

ADFS 4.0 und SWITCH edu-ID

Published on Juli 18, 2018März 25, 2019 by Nisanth Rajah1 Comment

SWITCH edu-ID IdP als zusätzliche Identity Provider im ADFS 4.0

Wie in einer der vorherigen Blogeintrag erwähnt, wird SWITCH edu-ID zu einer lebenslangen digitale Identität in das Hochschuleumfeld.

Sicherlich kennt Ihr das Problem, das in vielen Organisationen die Webanwendungen mit unterschiedlichen Sign-In Page daher kommen, das hat teils auch damit zu tun, dass die Identitätsattribute über verschiedene Identity Provider zur Verfügung gestellt werden.

Das ADFS (Active Directory Federation Service) von der Microsoft ermöglicht in einer Active Directory Umgebung die Nutzung von SAML Sign-In Protokoll, dazu auch noch die Möglichkeit den Benutzer eine einheitliche und nach Organisations Bedürfnissen angepasste Sign-In Page für Webanwendungen anzubieten und gleichzeitig den Identitätsattributen von verschiedenen Identity Provider an Applikationen über mehrere Protokolle und Token typen weiterzugeben.

Mehr zu ADFS 4.0 (Windows Server 2016):
https://docs.microsoft.com/en-us/windows-server/identity/ad-fs/overview/whats-new-active-directory-federation-services-windows-server

Da der aktuelle Hochschulenweite Identity Federation mit SWITCHaai für die aktiven Hochschul angehörige eingeschränkt bleibt, bietet die SWITCH edu-ID die Möglichkeit ohne einen aktiven Mitgliedschaft an einer Hochschule, die von der Hochschulen freigegebene Ressourcen zu nutzen. Um den Zugang auf die Ressourcen über einen einheitliche Sign-In Page zu ermöglichen wäre eine möglichkeit die SWITCH edu-ID über das ADFS anzubieten. So können z. B. die interne Geschäftsapplikationen über das ADFS angebunden werden und als Sign-In Protokoll WS-FED und als Authentisierungstyp Kerberos oder NTLM nutzen, die Applikationen welche ohne eine aktive Mitgliedschaft angeboten werden, können über die SWITCH edu-ID mit SAML als Sign-In Protokoll und als Authentisierungstyp Form-Based angebunden werden.

Beispiellayout:

SWITCHaai/edu-ID IdP Konfiguration:

ADFS als SWITCHaai Ressource auf der Resource Registry Seite (https:/rr.aai.switch.ch/) einrichten

Ein Hinweis noch um SWITCH edu-ID zuzulassen:

ADFS 4.0 Konfiguration:

Neu mit ADFS 4.0 können auch Metadata Files mit mehreren Entity Einträge in einem File eingelesen werden, dafür wird der folgende Befehl verwendet:

Add-AdfsClaimsProviderTrust -Name “SWITCH edu-ID” -MetadataUrl https://metadata.aai.switch.ch/entities/eduid -AcceptanceTransformRulesFile .\DefaultAcceptanceRules.txt -AutoUpdateEnabled $true -MonitoringEnabled $true

Mit diesem Befehl wird der IDP von SWITCH edu-ID aus der Metadata File im ADFS als ClaimsProviderTrust erstellt.

ClaimTrustProvider auslesen:

Get-AdfsClaimsProviderTrust | ft Name, Identifier

Beispiel für eine AcceptanceRules.txt File:

@RuleTemplate = "PassThroughClaims"

@RuleName = "Pass trough Name ID"
c:[Type == "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] == "urn:oasis:names:tc:SAML:2.0:nameid-format:persistent"] => issue(claim = c);
@RuleName = "principalName to UPN"
c:[Type == "urn:oid:2.16.756.1.2.5.1.1.1"] => issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType);
@RuleName = "givenname to Given Name"
c:[Type == "urn:oid:2.5.4.42"] => issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType);
@RuleName = "sn to Surname"
c:[Type == "urn:oid:2.5.4.4"] => issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType);
@RuleName = "displayName to Display Name"
c:[Type == "urn:oid:2.16.840.1.113730.3.1.241"] => issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/displayname", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType);
@RuleName = "mail to E-Mail Address"
c:[Type == "urn:oid:0.9.2342.19200300.100.1.3"] => issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType);

ADFS 4.0 Test:

Auf der ADFS Home Realm Discovery (HRD) Page wird zusätzlich zu Active Directory der SWITCH edu-ID IdP angeboten.

HRD: https://adfs.domain.ch/adfs/ls/idpinitiatedsignon

Um die Display Name der IdP auf der ADFS HRD Page anzupassen, muss die Display name der Claims Provider Trust auf der ADFS Server angepasst werden.

Vorbereitung auf Microsoft Exam 70-535 – Architecting Microsoft Azure Solutions

Published on Juli 6, 2018August 20, 2018 by Nisanth RajahLeave a comment

Ich habe mich mit den folgenden Lernmaterial für diesen Prüfung vorbereitet und mit 781 Punkten bestanden und möchte denen die das auch vorhaben meine gesammelten Informationen zu Verfügung stellen. Laut Microsoft ist das einer der wenige Zertifizierung welche so viele interessante und doch verschiedene Themen abgehandelt werden. Ich wünsche allen viel Erfolg und hoffe das meine Inputs etwas dazu beitragen kann.

Link Sammlung:

eLearning

https://www.udemy.com/70534-azure/

https://app.pluralsight.com/paths/skills/microsoft-azure-solutions-architect

Dokumente

https://www.microsoft.com/en-ca/learning/certification-exams.aspx?types=true

https://www.microsoft.com/en-ca/learning/online-proctored-exams.aspx

Allgemein

https://www.mssqltips.com/sqlservertip/5265/exam-material-for-the-microsoft-70535-architecting-microsoft-azure-solutions/

https://www.microsoft.com/en-us/learning/exam-70-535.aspx

Einführung von Azure Cloud Plattform in einer zentralen IT Organisation – Teil 1

Published on Juli 5, 2018August 20, 2018 by Nisanth Rajah1 Comment

Ohh cool, im Azure kann ich die Servern für meine neue Applikation selber ausrollen und muss nicht auf die langsame zentrale IT warten
Wir brauchen die nächste Woche 10 Virtuelle Maschinen mit je 128CPU’s und 1024GB Memory
Die neue Servern laufen schon bei AWS, jetzt brauchen wir die Stammdaten aus der Organisation

wie viele von derartigen Anfragen kommen heutzutage zu der interne Zentrale IT?

Auch wenn diese Anfragen teils sehr mühsam klingen, ist all das heutzutage mit den Cloud Providern wie Microsoft, Amazon oder Google für jeder zugänglich.

Die Business Anforderungen haben sich an der Entwicklung der Technologie angepasst, aber für eine IT Organisation ist dies nicht ganz ohne. Die Hauptaufgabe einer IT Organisation besteht darin, den Betrieb von Business kritischen Systemen stabil zu halten und die verfügbaren Ressourcen effizient zu nutzen. Die Anforderungen aus der Business dürfen aber trotzdem nicht unbeachtet bleiben, da ja jeder der eine Kreditkarte besitzt, die Ressourcen mit ein paar Klicks beziehen kann 🙂

Gerne möchte ich mit euch meine Erfahrung in einer zentralen IT, welche sich entschieden hat, neben der stabilen Betrieb auch die Business Anforderungen gerecht zu werden, die Einführung von Azure Cloud Plattform initiiert hat.

Willkommen auf meiner Blog Seite

Published on Juli 5, 2018Juli 7, 2018 by Nisanth RajahLeave a comment

Gerne möchte ich mit euch meine Erfahrungen in Identity Management und Cloud Themen mit euch austauschen.

Ich arbeite schon über 10 Jahren in der IT, angefangen als System Engineer für Windows Server Systeme und VMware Virtualisierung, jetzt als Senior Consultant und Cloud Solution Architekt für Microsoft Azure Plattform. Schon mehr als 3 Jahren beschäftige ich mich vertieft mit Identity Management Lösungen und Cloud Architektur.

Weitere Informationen zu meinem Werdegang und über mich findest du auf der About Me Seite.

Viele Grüsse
Nisanth Rajah

Share this:

Share this:

Share this:

Share this:

Share this:

Share this:

Share this: