Ce este SAML și cum funcționează?

Security Assertion Markup Language (SAML) este un standard deschis care permite furnizorilor de identitate (IdP) să transmită acreditări de autorizare către furnizorii de servicii (SP). Ceea ce înseamnă acest jargon este că puteți utiliza un set de credențiale pentru a vă conecta la mai multe site-uri web diferite. Este mult mai simplu să gestionezi o singură autentificare pentru fiecare utilizator decât să gestionezi autentificări separate pentru e-mail, software de gestionare a relațiilor cu clienții (CRM), Active Directory etc.

Transacțiunile SAML utilizează Extensible Markup Language (XML) pentru comunicații standardizate între furnizorul de identitate și furnizorii de servicii. SAML este legătura dintre autentificarea identității unui utilizator și autorizația de utilizare a unui serviciu.

Obțineți cartea electronică gratuită Pen Testing Active Directory Environments EBook

„Acest lucru mi-a deschis cu adevărat ochii asupra securității AD într-un mod în care munca defensivă nu a făcut-o niciodată.”

Consorțiul OASIS a aprobat SAML 2.0 în 2005. Standardul s-a schimbat semnificativ față de 1.1, atât de mult încât versiunile sunt incompatibile. Adoptarea SAML permite magazinelor IT să utilizeze soluții software ca serviciu (SaaS), menținând în același timp un sistem de gestionare a identității federate securizat.

SAML permite Single-Sign On (SSO), un termen care înseamnă că utilizatorii se pot autentifica o singură dată, iar aceleași credențiale pot fi reutilizate pentru a se autentifica la alți furnizori de servicii.

Pentru ce se utilizează SAML?

SAML simplifică procesele de autentificare și autorizare federate pentru utilizatori, furnizori de identitate și furnizori de servicii. SAML oferă o soluție pentru a permite furnizorului de identitate și furnizorilor de servicii să existe separat unul de celălalt, ceea ce centralizează gestionarea utilizatorilor și oferă acces la soluții SaaS.

SAML implementează o metodă sigură de transmitere a autentificărilor și autorizațiilor utilizatorilor între furnizorul de identitate și furnizorii de servicii. Atunci când un utilizator se conectează la o aplicație activată prin SAML, furnizorul de servicii solicită autorizarea de la furnizorul de identitate corespunzător. Furnizorul de identitate autentifică acreditările utilizatorului și apoi returnează furnizorului de servicii autorizația pentru utilizator, iar utilizatorul este acum capabil să utilizeze aplicația.

Autentificarea SAML este procesul de verificare a identității și a acreditărilor utilizatorului (parolă, autentificare cu doi factori etc.). Autorizarea SAML îi spune furnizorului de servicii ce acces să acorde utilizatorului autentificat.

Ce este un furnizor SAML?

Două tipuri de furnizori SAML
Un furnizor SAML este un sistem care ajută un utilizator să acceseze un serviciu de care are nevoie. Există două tipuri principale de furnizori SAML, furnizorul de servicii și furnizorul de identitate.

Un furnizor de servicii are nevoie de autentificarea de la furnizorul de identitate pentru a acorda autorizația utilizatorului.

Un furnizor de identitate efectuează autentificarea că utilizatorul final este cine spune că este și trimite aceste date furnizorului de servicii împreună cu drepturile de acces ale utilizatorului la serviciu.

Microsoft Active Directory sau Azure sunt furnizori de identitate obișnuiți. Salesforce și alte soluții CRM sunt de obicei furnizori de servicii, în sensul că depind de un furnizor de identitate pentru autentificarea utilizatorilor.

Ce este o afirmație SAML?

O afirmație SAML este documentul XML pe care furnizorul de identitate îl trimite furnizorului de servicii și care conține autorizația utilizatorului. Există trei tipuri diferite de aserțiuni SAML – autentificare, atribut și decizie de autorizare.

  • Aserțiunile de autentificare dovedesc identificarea utilizatorului și furnizează ora la care utilizatorul s-a logat și ce metodă de autentificare a folosit (de ex, Kerberos, 2 factori, etc.)
  • Aserțiunea de atribuire transmite atributele SAML către furnizorul de servicii – Atributele SAML sunt bucăți de date specifice care furnizează informații despre utilizator.
  • O aserțiune de decizie de autorizare spune dacă utilizatorul este autorizat să utilizeze serviciul sau dacă furnizorul de identitate i-a refuzat cererea din cauza unei parole greșite sau a lipsei de drepturi la serviciu.

Cum funcționează SAML?

SAML funcționează prin transmiterea de informații despre utilizatori, autentificări și atribute între furnizorul de identitate și furnizorii de servicii. Fiecare utilizator se conectează o singură dată la Single Sign On cu furnizorul de identitate, iar apoi furnizorul de identitate poate transmite atributele SAML către furnizorul de servicii atunci când utilizatorul încearcă să acceseze acele servicii. Furnizorul de servicii solicită autorizarea și autentificarea de la furnizorul de identificare. Deoarece ambele sisteme vorbesc aceeași limbă – SAML – utilizatorul nu trebuie să se conecteze decât o singură dată.

Care furnizor de identitate și furnizor de servicii trebuie să convină asupra configurației pentru SAML. Ambele capete trebuie să aibă configurația exactă pentru ca autentificarea SAML să funcționeze.

Etapele exemplului SAML

Exemplu SAML

  1. Frodo (utilizator) se conectează la SSO la prima oră a dimineții.
  2. Frodo încearcă apoi să deschidă pagina web către CRM-ul său.
  3. CRM-ul – furnizorul de servicii – verifică acreditările lui Frodo cu furnizorul de identitate.
  4. Furnizorul de identitate trimite mesaje de autorizare și autentificare înapoi la furnizorul de servicii, ceea ce îi permite lui Frodo să se logheze în CRM.
  5. Frodo poate utiliza CRM-ul și să își facă treaba.
    „Am nevoie de 8 voluntari pentru un proiect dificil…”

SAML vs. OAuth

OAuth este un standard puțin mai nou care a fost dezvoltat în comun de Google și Twitter pentru a permite logări simplificate pe internet. OAuth utilizează o metodologie similară cu SAML pentru a partaja informațiile de conectare. SAML oferă mai mult control întreprinderilor pentru ca logările lor SSO să fie mai sigure, în timp ce OAuth este mai bun pe mobil și folosește JSON.

Facebook și Google sunt doi furnizori OAuth pe care s-ar putea să îi folosiți pentru a vă loga pe alte site-uri de internet.

Tutoriale SAML

Câteva resurse pentru a vă ajuta să cercetați exact cum să implementați SAML:

  • Configurați SAML pentru Salesforce
  • Configurați OKTA ca SAML IDP
  • OneLogin are exemple în 5 limbaje de programare diferite

SAML și SSO sunt importante pentru orice strategie de securitate cibernetică a întreprinderii. Cele mai bune practici de gestionare a identității necesită ca conturile de utilizator să fie atât limitate doar la resursele de care utilizatorul are nevoie pentru a-și face treaba, cât și să fie auditate și gestionate la nivel central. Prin utilizarea unei soluții SSO, puteți dezactiva conturile dintr-un singur sistem și puteți elimina accesul la toate resursele disponibile dintr-o dată, ceea ce vă protejează datele împotriva furtului.

.