La Federazione dell’identità tramite SAML

La Federazione dell'identità tramite SAML'identité au travers de SAML Normalizzata dall’OASIS, SAML consente lo scambio sicuro di informazioni sull’identità. Definisce un formato di messaggi XML, chiamato asserzione, nonché un insieme di profili.

Questo biglietto è destinato a presentare la Federazione dell’identità facendo affidamento sul protocollo SAML 2.0. Un biglietto futuro presenterà il software Shibboleth, aprire l’implementazione di riferimento di questo standard.

SAML 2.0

Normalizzato, nella versione 2.0, nel maggio 2005 da Oasis, SAML consente lo scambio sicuro di informazioni sull’identità (autenticazione e autorizzazione). SAML definisce il formato del messaggio XML, chiamato Assertion, nonché un insieme di profili. Questi profili sono casi di utilizzo dettagliati che hanno la cinematica dei messaggi, i parametri previsti e restituiti.

Funzionamento

SAML Sets Due mattoni essenziali per proteggere gli scambi:

Il PR (Servizio Provider), fornitore di servizi, protegge l’accesso alle applicazioni. Rifiuta qualsiasi accesso senza autenticazione preliminare e reindirizza l’utente non autenticato al suo fornitore di identità.

Il provider di identità), il fornitore di identità, è responsabile dell’autenticazione dell’utente e del recupero di informazioni aggiuntive associate alla sua identità.

Questa modalità di funzionamento è sufficiente per un utilizzo usato della Società con una directory di identità centrali.

nel telaio. Da una federazione tra diversi domini di identificazione, Saml definisce un terzo mattone Chiamato il servizio Discovery che consente all’utente di selezionare manualmente il suo dominio da un elenco. Con una piccola configurazione, è possibile eliminare questo elemento, un piccolo blocco per gli utenti.

Il profilo più comune, chiamato “Web Browser SSO”, descrive, Tra le altre cose, i passaggi di autenticazione di un utente e backlords tra SP e l’IDP. L’utente tenta di accedere alla sua risorsa protetta da SP. L’MS verifica che l’utente è autenticato e se non lo è, lo reindirizza al suo IDP. L’IDP chiede all’utente di autenticare (nome utente e password ad esempio) e quindi restituisce un’asserzione SAML alla SP contenente l’identità dell’utente e la garanzia che è autenticata. La SM autorizza quindi l’utente ad accedere alla risorsa inizialmente richiesta.

Questo meccanismo di autenticazione si basa sui reindirizzamenti del browser Internet. Questo profilo consente inoltre di recuperare un insieme di attributi aggiuntivi relativi all’identità dell’utente e richiesti dalla risorsa.

un secondo profilo in base agli artefatti, consente di decorare l’autenticazione del recupero del recupero del recupero del recupero del recupero del recupero del recupero del recupero del recupero Informazioni sull’identità dell’utente. La SP riceve dall’IDP, dal browser Internet dell’utente, un’asserzione SAML contenente un artefatto. L’MS deve quindi interrogare direttamente l’IDP per ottenere le informazioni relative all’identità dell’utente.

altri profili descrivono come implementare le DS, le nozioni di disconnessione e la possibilità di passare dal browser dell’utente a Trasmetti le asserzioni SAML tra servizi.

Le asserzioni SAML sono basate sulla crittografia SOAP, XML e gli strati della firma XML.

Sapone è il sapone Protocollo di incapsulamento del messaggio XML standard, utilizzato principalmente dai servizi Web.

XML Encryption è il protocollo di crittografia del messaggio XML standard. Ha la particolarità di poter crittografare l’intero messaggio o semplicemente un sottoinsieme specifico. Ciò consente ad esempio un documento XML chiaro con valori di attributo crittografati.

XML Signature è il protocollo di firma del messaggio XML standard. Come la crittografia XML consente di indirizzare l’elemento da firmare. Ciò consente a diversi stakeholder di firmare ogni parte diversa del documento XML.

La SP e l’IDP sono due entità ciascuna conoscenza dell’altro in termini di identificatore e certificato. I messaggi XML che passano sulla rete sono quindi crittografati dalla chiave pubblica del destinatario, in grado di decrittigliare il messaggio con la sua chiave privata. Il trasmettitore firma le sue affermazioni con la sua chiave privata permettendo al destinatario di controllare la sua provenienza.

conclusione

Questo protocollo è quindi molto sicuro e soddisfa perfettamente le funzioni di SSO all’interno un’azienda e tra diverse aree di identificazione. Dovrebbe, a mio avviso, sostituire il software SSO Web proprietario del Web, molto meno sicuro.

Thierry Albain è un consulente all’interno della società di servizi SQLI

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *