A federação de identidade através da SAML

A Federação de Identidade através da Saml'identité au travers de SAML Normalizada pelo OASIS, SAML permite a troca segura de informações de identidade. Ele define um formato de mensagem XML, chamado afirmação, bem como um conjunto de perfis.

Este bilhete destina-se a apresentar a federação de identidade, contando com o protocolo SAML 2.0. Um ingresso futuro apresentará o software Shibboleth, a implementação de referência aberta deste padrão.

Saml 2.0

Normalizado, na versão 2.0, em maio de 2005 pelo OASIS, SAML permite a troca segura de informações de identidade (autenticação e autorização). Saml define o formato da mensagem XML, chamada afirmação, bem como um conjunto de perfis. Esses perfis são casos de uso detalhados que têm a cinemática das mensagens, os parâmetros esperados e retornados.

Operação

Saml define dois tijolos essenciais para garantir trocas seguras:

O PR (Serviço do Provedor), o provedor de serviços, protege o acesso a aplicativos. Ele recusa qualquer acesso sem autenticação prévia e redireciona o usuário não autenticado ao seu provedor de identidade.

O provedor de identidade), o provedor de identidade, é responsável por autenticar o usuário, além de recuperar informações adicionais associadas à sua identidade.

Este modo de operação é suficiente para um uso usado da empresa com um diretório de identidades centrais.

Na estrutura. De uma federação entre vários domínios de identificação, Saml define um terceiro tijolo Chamado de serviço de descoberta que permite ao usuário selecionar manualmente seu domínio de uma lista. Com uma pequena configuração, é possível excluir este item, um pouco de bloqueio para usuários.

O perfil mais comum, chamado de “navegador da Web SSO”, descreve, Entre outras coisas, as etapas de autenticação de um usuário e backlords entre o SP e o IDP. O usuário tenta acessar seu recurso protegido por SP. O MS verifica se o usuário é autenticado e se não for, redirecioná-lo ao seu IDP. O IDP solicita ao usuário autenticar (nome de usuário e senha, por exemplo) e, em seguida, retorna uma asserção SAML ao SP contendo a identidade do usuário e a garantia é autenticada. O MS então autoriza o usuário a acessar o recurso solicitado inicialmente.

Este mecanismo de autenticação é baseado nos redirecionamentos do navegador da Internet. Este perfil também possibilita recuperar um conjunto de atributos adicionais relacionados à identidade do usuário e solicitada pelo recurso.

Um segundo perfil com base em artefatos, permite decorar a autenticação da recuperação do informações de identidade do usuário. O SP recebe do IDP, pelo navegador da Internet do usuário, uma afirmação Saml contendo um artefato. O MS deve então questionar diretamente o IDP para obter as informações relacionadas à identidade do usuário.

Outros perfis descrevem como implementar o DS, as noções de logout e a possibilidade de passar do navegador do usuário para Transmitir as asserções do SAML entre serviços.

As asserções do SAML são baseadas nas camadas de assinatura SOAP, XML e XML.

sabão é o Protocolo de encapsulação de mensagens XML padrão, usado principalmente pelos serviços da Web.

xml Encryption é o protocolo padrão de criptografia de mensagens XML. Tem a particularidade de poder criptografar toda a mensagem ou simplesmente um subconjunto específico. Isso permite, por exemplo, um documento XML claro com valores de atributo criptografados.

XML Assinatura é o protocolo padrão de assinatura de mensagem XML. Como a criptografia XML, permite segmentar o elemento para assinar. Isso permite que várias partes interessadas assinem cada parte diferente do documento XML.

O SP e o IDP são duas entidades cada conhecimento um do outro em termos de identificador e certificado. As mensagens XML que passam na rede são, portanto, criptografadas pela chave pública do destinatário, exclusivamente capaz de descriptografar a mensagem com sua chave privada. O transmissor assina suas afirmações com sua chave privada, permitindo que o destinatário verifique sua proveniência.

Conclusão

Este protocolo é, portanto, muito seguro, e preenche perfeitamente as funções do SSO dentro uma empresa e entre diferentes áreas de identificação. Deve, na minha opinião, substituir o software proprietário da Web SSO, muito menos seguro.

Thierry Albain é um consultor dentro da empresa de serviços SQLI

Deixe uma resposta

O seu endereço de email não será publicado. Campos obrigatórios marcados com *