La Federació d’Identitat a través de SAML

La federació d'identitat a través de SAML'identité au travers de SAML normalitzat per l’OASIS, SAML permet l’intercanvi segur d’informació d’identitat. Defineix un format de missatge XML, anomenat afirmació, així com un conjunt de perfils.

Aquest bitllet pretén presentar la federació d’identitat basant-se en el protocol SAML 2.0. Un bitllet futur presentarà el programari de Shibboleth, obre la implementació de referència d’aquesta norma.

SAML 2.0

Normalitzat, a la versió 2.0, al maig de 2005 per l’OASIS, SAML permet l’intercanvi segur d’informació d’identitat (autenticació i autorització). SAML defineix el format del missatge XML, anomenat afirmació, així com un conjunt de perfils. Aquests perfils són casos d’ús detallats que tenen la cinemàtica de missatges, els paràmetres esperats i retornats.

Operació

SAML Defineix dos maons imprescindibles per intercanvis segurs:

El proveïdor de serveis PR (proveïdor), protegeix l’accés a les aplicacions. Rebutja qualsevol accés sense autenticació prèvia i redirigeix l’usuari no autenticat al seu proveïdor d’identitat.

El proveïdor d’identitat), proveïdor d’identitat, és responsable d’autenticar l’usuari, així com recuperar informació addicional associada a la seva identitat.

Aquest mode d’operació és suficient per a un ús utilitzat de l’empresa amb un directori d’identitats centrals.

en el marc. Des d’una federació entre diversos dominis d’identificació, SAML defineix un tercer maó Es diu el servei de descoberta que permet a l’usuari seleccionar manualment el seu domini d’una llista. Amb una mica de configuració, és possible eliminar aquest article, un petit bloqueig per als usuaris.

El perfil més comú, anomenat “navegador web SSO”, descriu, Entre altres coses, els passos d’autenticació d’un usuari i de backlords entre el SP i l’IDP. L’usuari intenta accedir al seu recurs protegit per SP. Els senyors verifiquen que l’usuari està autenticat i si no ho és, redirigeix-lo al seu IDP. L’IDP demana a l’usuari que autenticar (nom d’usuari i contrasenya, per exemple) i, a continuació, retorna una afirmació SAML a la SP que conté la identitat de l’usuari i la garantia que s’autentica. A continuació, el MS autoritza a l’usuari que accedeixi al recurs sol·licitat inicialment.

Aquest mecanisme d’autenticació es basa en les redireccions del navegador d’Internet. Aquest perfil també permet recuperar un conjunt d’atributs addicionals relacionats amb la identitat de l’usuari i sol·licitades pel recurs.

Un segon perfil basat en artefactes, permet decorar l’autenticació de la recuperació del informació d’identitat de l’usuari. El SP rep de l’IDP, pel navegador d’Internet de l’usuari, una afirmació SAML que conté un artefacte. La MS ha de preguntar-se directament a l’IDP per obtenir la informació relacionada amb la identitat de l’usuari.

Altres perfils descriuen com implementar els DS, les nocions de sortida de sessió i la possibilitat de passar del navegador d’usuari a Transmetre les afirmacions SAML entre els serveis.

Les afirmacions de SAML es basen en el sabó, xifratge XML i capes de signatura XML.

Sabó és el Protocol de encapsulació de missatges XML estàndard, utilitzat principalment per serveis web.

El xifratge XML és el protocol de xifratge de missatges XML estàndard. Té la particularitat de poder xifrar tot el missatge o simplement un subconjunt específic. Això permet, per exemple, un document XML clar amb valors d’atributs xifrats.

La signatura XML és el protocol de signatura de missatges XML estàndard. Igual que XML Xifrat permet orientar l’element per signar. Això permet que diversos grups d’interès signin cada part diferent del document XML.

El SP i l’IDP són dues entitats cada un de cada un de cada un en termes d’identificador i certificat. Per tant, els missatges XML que transmeten la xarxa són xifrats per la clau pública del destinatari, únicament capaç de desxifrar el missatge amb la seva clau privada. El transmissor signa les seves afirmacions amb la seva clau privada permetent que el destinatari comprovi la seva procedència.

Conclusió

Aquest protocol és, per tant, molt segur, i compleix perfectament les funcions de SSO dins una empresa i entre diferents àrees d’identificació. En la meva opinió, hauria de substituir el programari propietari de la web SSO, molt menys segur.

Thierry Albaind és consultor dins de l’empresa SQLI Service

Deixa un comentari

L'adreça electrònica no es publicarà. Els camps necessaris estan marcats amb *