June 2008 - Posts
After demo IAG 2007 di salah satu Bank terbesar di Indonesia dan dapat tanggapan positif juga dari pihak
customer tersebut dengan menyatakan ingin membeli product ini, saya langsung mau berbagi ke teman-teman
sekalian benefit dari IAG 2007 dibandingkan dengan product-product lainnya dan kita juga bisa liat kemudahan
dari sisi IT untuk mengkonfigure atau mendeploy IAG 2007 di enviroment kita, sangat mudah sama sepert windows
pada umumnya.
Mungkin sebelumnya saya sudah sedikit overview mengenai Microsoft IAG 2007, akan tetapi sekarang saya
akan sedikit membagi kepada rekan-rekan semua cara setup VPN SSL dengan IAG 2007 dan sedikit ilmu mengenai
VPN itu sendiri dan perbedaan VPN dengan VPN SSL, mengapa sebagian perusahaan lebih memilih VPN SSL
ketimbang dengan VPN biasa, serta beberapa hal lain juga di dalamnya.
Beberapa pertimbangan mengapa kita beralih dari VPN ke VPN SSL :
1. VPN client yang harus di install dan di konfigure dengan benar terlebih dahulu sebelum kita bisa menggunakannya,
dan juga kita harus mengklik atau menjalankan terlebih dahulu VPN client nya ketika kita akan menggunakan aplikasi
di internal.
2. Koneksi VPN yang terdahalu bisa membuat complete network akses ketika VPN connection dibangun, VPN connection
secara efektif sebagai universal firewall bypass port dimana user dari luar bisa membagi virus, worms dan bisa membuka semua
akses dalam satu perusahaan.
3. VPN Client harus mempunyai network ID yang berbeda dengan Network ID yang dituju(VPN Server yg dipublish), apabila
VPN client mempunyai network ID yang sama dengan network yang dituju, maka paket tidak bisa di ro uted melalui VPN.
VPN SSL merupakan VPN dengan menggunakan Secure Socket Layer(https/443), dimana kita tidak memerlukan VPN
client untuk membuat koneksi tersebut, kita hanya menjalankan pada Internet Explorer atau browser dengan mengetikan nama
atau ip external dari VPN yang sudah di publish tersebut misalnya https://www.contoso.com/ kita akan langsung masuk ke tampilan
dimana kita akan diminta login dan lain sebagainya.
Dari gambar dibawah ini, ada beberapa fungsi yang memang disediakan oleh VPN SSL yang beredar saat ini :
1. Tunneling, yaitu sama seperti VPN umumnya ketika kita akan melakukan koneksi VPN maka kita akan membuat tunnel
ke server yang dituju, tunnel yang jalan di VPN SSL bisa juga berjalan di aplikasi web dan non web via SSL.
2. Security, ada beberapa VPN SSL yang sudah menyediakan endpoint detection(pengecekan healthy PC, baik virus, anti
virus, OS last update dll). endpoint detection yang ada di IAG 2007 sangat menarik dan sangat mudah di setup karena saya
sudah mencobanya. Cara kerjanya mirip dengan NAP(Network Access Protection) pada Windows Server 2008
3. Authentication, harus di authentikasi terlebih dahulu ketika akan melakukan VPN ke dalam perusahaan. Beberapa vendor VPN
SSL juga sudah menyediakan authentikasi dengan beberapa third party, seperti token, smart card, dan lain-lain
4. Authorization, setelah kita melakukan authentikasi maka kita akan diberikan hak akses(authorize) ke beberapa aplikasi, ada
juga aplikasi yang diberikan akses untuk kita.
5. Portal, ketika kita mengakses VPN SSL pertama kali dengan memasukkan alamat tertentu(https://www.contoso.com) ini disebut
halaman portal untuk IAG 2007, sama seperti VPN SSL untuk alat yang lainnya juga.
Semoga Bermanfaat.
Terima Kasih.
Active Directory Federation Services(ADFS) juga terdapat pada Windows Server 2003 R2, yang ada
Add Remove/Program > Add/Remove Windows Component > Active Directory Service > Active
Directory Federation Services(ADFS), dari segi fungsi sudah hampir sama dengan yang ADFS pada
Windows Server 2003 juga sebagai web Single Sign On. Adapun beberapa fungsi baru yang ada pada
ADFS Windows Server 2008 yang sedikit berbeda dengan Windows Server 2003 R2,
1. Dari Segi Installasi lebih mudah, kalau di Windows Server 2003 kita harus install satu satu requirement
sebelum installasi ADFS, akan tetapi kalau di WindowS Server 2008 kita tinggal jalankan ADFS nya
dan prerequisitesnya akan muncul dan di install langsung oleh Server Manager Wizardsnya.
2. Integrasi dengan beberapa aplikasi tambahan, seperti Microsoft Office Sharepoint Server(MOSS) 2007
dan ADRMS(Active Directory Right Management Services)
3. Pengadministrasian lebih mudah, karena terdapat trust policy yang bisa di export dan di import untuk
memperkecil konfigurasi federation isu.
ADFS dibuat juga agar 2 company yang berbeda untuk bisa secara selektif berbagi insfrastruktur ke
company lain atau ke customer mereka. Adapun beberapa fungsi pokok dari ADFS, yaitu Extranet
Authentication(authentikasi antar perusahaan yang berbeda infrastruktur(perusahaan gabungan, Web
single Sign On(beberapa aplikasi web, bisa memakai ADFS untuk single sign On nya, dan Identity
Federation Services for IIS-Based Web Applications(untuk IIS).
ADFS didesain untuk perusahaan yang berskala menengah dan besar(karena masalah kompleksitas
dan ada kemudahan dengan adanya ADFS itu sendiri, dengan environment yang ada di perusahaan itu
sebagai berikut :
- Minumum terdapat 1(satu) Directory Services : AD DS atau AD LDS.
- Komputer yang join domain
- Beberapa komputer yang menjalankan beberapa Sistem Operasi yang berbeda-beda
- Komputer yang terhubung ke internet
- Punya beberapa aplikasi Web-Based
Semua koneksi yang berjalan antara Active Directory ke ADFS terenkripsi dan semua komunikasi
antara komputer klien ke ADFS juga terenkripsi dengan SSL. ADFS sendiri tidak bisa berjalan diatas
Server Core karena Server Core tidak mendukung ASP.Net
Beberapa Roles yang terdapat dalam ADFS :
1. Federation Service, bisa digunakan oleh beberapa federation server untuk sharing trust policy,
Federation service digunakan untuk route authentication request dari user account dalam
organisasi lain atau dari client yang mungkin ada di Internet.
2. Federation Service Proxy, merupakan sebuah proxy untuk Federation services yang terletak pada
DMZ network, dengan menggunakan WS-Federation Passive Requestor (WS-F PRP)
3. Claims-aware agent, merupakan aplikasi Microsoft ASP.NET atau aplikasi standard seperti MOSS
2007 terinstall pada web server yang ada claims aware application. Dibutuhkan untuk query ADFS
security token claims.
4. Windows token-based agent, merupakan Windows aplikasi NT Token-Based yang aplikasinya
digunakan berdasarkan Windows Based Authorization mechanisms. Bisa diinstall pada web server
yang berjalan pada diatas aplikasi NT Token-based, dibutuhkan untuk support konversi dari ADFS
Security token ke Impersonation level.
Adapun Rekomendasi bacaan lainnya dari saya, yaitu Technet atau dari WindowsNetworking.com
Semoga membantu.
Terima Kasih.
Active Directory Certificate Services kalau di Windows Server 2003 akan kita temukan yang namanya
Certificates Authority pada Add Remove Program > WindowS Component > Certificate Services,
apa saja siy yang dilakukan oleh AD CS ini, mungkin sebagian dari teman-teman IT sudah mengetahui
dan sudah familiar pada Windows Server 2003,
Review sedikit untuk penggunakan sertifikat adalah yang paling mudah ketika kita menggunakan OWA
(Outlook Web Access) yang mana diakses via Https(port 443) atau SSL(Secure Socket Layer) untuk
encryption(enkripsi) data, untuk Smart Start Log on Client Computer ataupun VPN, sertifikat router untuk
membangun IPSec Communication, Sertifikat untuk S/MIME enkripsi dan authenticated email, untuk Encrypting
FIle System(EFS) certificates ketika komputer join domain.
Adapun beberapa kegunaan AD CS :
1. Menyediakan Certificate Authority(untuk issue sertifikat dan assign the sertifikat)
2. Menyediakan tool untuk membuat, distribusi, dan membatalkan certificate baik secara manual maupun otomatis
3. Menyediakan Certificate Revocation Services(untuk pembatalan pembuatan sertifikat.
4. Pengintegrasian antara Certificate Authority dengan AD DS.
AD DS dan AD CS terintegrasi dalam beberapa hal sebagai berikut
1. Sertifikat untuk User dan komputer objek bisa secara automatis dibuat. Bisa digenerated secara otomatis,
apabila user dan computer mempunyai permission yang cukup dan sertifikat policy di configure untuk
allow auto-enrollment
2. Sertifikat untuk User dan komputer objek bisa disimpan di AD DS, Ketika sertifikat disimpan di user dan
computer dan di replikasi ke semua AD DS Server.
3. Ada policy untuk memberikan dan menarik kembali sertifikat, configure trusted certificate bisa di manage
melalui group policies.
Certificates Authority(CA) merupakan sebuah entity untuk meng-issue sertifikat ke individual, komputer,
organisasi dan services.CA dapat berfungsi untuk beberapa hal, yaitu mengidentifikasi siapa yang meminta
sertifikat tersebut, issue sertikat untuk user, komputer dan services, memanage pembatalan sertifikat. Ketika
kita pertama kali membuat CA maka dinamakan CA root sedangkan selanjutnya kita namakan Subordinate CA.
Pada AD CS juga terdapat yang namanya Digital Certificate, Digital Certificate merupakan sertifikat yang
terdiri dari file digital yang mempunyai 2 bagian, yaitu public key dan private key, keduanya digunakan untuk
encrypt dan decrypt data, ketika kita menggunakan private key untuk enkripsi data maka kita bisa men decrypt
nya dengan menggunakan public key.
Public key bisa di distribusikan ke semua klien yang membutuhkan sertifikat tersebut, public key terdiri dari
informasi mengenai subjek sertifikat, validity dari sertifikat, application dan services yang bisa memakai sertifikat
tersebut, dan bisa mengetahui siapa pemegang sertifikat tersebut.
Private Key merupakan sertifkat yang hanya disimpan pada komputer yang me request sertifkat tersebut.
Semoga Bermanfaat
Terima Kasih.