Federația de identitate prin Saml

Federația de identitate prin Saml'identité au travers de SAML normalizată de Oasis, SAML permite schimbul sigur de informații de identitate. Acesta definește un format de mesaj XML, numit afirmație, precum și un set de profile.

Acest bilet este destinat să prezinte federația de identitate bazându-se pe protocolul SAML 2.0. Un bilet viitor va prezenta software-ul Shibboleth, implementarea deschisă de referință a acestui standard.

saml 2.0

normalizat, în versiunea 2.0, în mai 2005 de Oasis, Saml permite schimbul sigur de informații de identitate (autentificare și autorizare). SAML definește formatul mesajului XML, numit afirmație, precum și un set de profiluri. Aceste profiluri sunt cazuri detaliate care au cinematica mesajelor, parametrii așteptați și returnați.

operație

Saml Setează două cărămizi esențiale pentru a asigura schimburile:

PR (furnizor de servicii), furnizor de servicii, protejează accesul la aplicații. Refuză orice acces fără autentificare prealabilă și redirecționează utilizatorul neautorizat la furnizorul său de identitate.

furnizorul de identitate), furnizorul de identitate, este responsabil pentru autentificarea utilizatorului, precum și pentru recuperarea informațiilor suplimentare asociate identității sale.

Acest mod de funcționare este suficient pentru o utilizare utilizată a companiei cu un director de identitate centrală.

în cadru. De la o federație între mai multe domenii de identificare, SAML definește o a treia caramida Numit serviciul de descoperire care permite utilizatorului să-și selecteze manual domeniul dintr-o listă. Cu o mică configurație, este posibil să ștergeți acest element, o mică blocare a utilizatorilor.

Cel mai comun profil, numit „Web Browser SSO”, descrie, Printre altele, etapele de autentificare ale unui utilizator și de fonduri între SP și IDP. Utilizatorul încearcă să acceseze resursele sale protejate de sp. MS verifică că utilizatorul este autentificat și dacă nu este, redirecționează-o la IDP. IDP solicită utilizatorului să se autentifice (de exemplu numele de utilizator și parola) și apoi returnează o afirmație Saml la SP care conține identitatea utilizatorului și garanția pe care o are autentificată. MS autorizează apoi utilizatorul să acceseze resursa solicitată inițial.

Acest mecanism de autentificare se bazează pe redirecționările browserului de Internet. Acest profil face posibilă recuperarea unui set de atribute suplimentare legate de identitatea utilizatorului și solicitată de resursă.

Un al doilea profil bazat pe artefacte, permite decorarea autentificării recuperării Informațiile de identitate ale utilizatorului. SP primește de la IDP, de browserul de Internet al utilizatorului, o afirmație Saml care conține un artefact. MS trebuie să intre în mod direct IDP pentru a obține informațiile referitoare la identitatea utilizatorului.

Alte profiluri Descrieți cum să implementați DS, noțiunile de logout și posibilitatea de a trece de la browserul utilizatorului la Transmiteți afirmațiile SAML între servicii.

Afirmațiile SAML se bazează pe sapunul, criptarea XML și straturile de semnături XML.

SOAP este Protocolul standard de încapsulare a mesajelor XML, utilizat în principal de către serviciile Web.

Criptarea XML este protocolul standard de criptare a mesajelor XML. Are particularitatea de a putea cripta întregul mesaj sau pur și simplu un subset specific. Acest lucru permite, de exemplu, un document XML clar cu valori de atribut criptate.

XML Semnătura este protocolul standard de semnătură al mesajului XML. Cum ar fi criptarea XML, permite să vizați elementul de semnare. Acest lucru permite mai multor părți interesate să semneze fiecare parte diferită a documentului XML.

SP și IDP sunt două entități fiecare cunoaștere a celorlalți în ceea ce privește identificatorul și certificatul. Mesajele XML care transmit rețelei sunt, prin urmare, criptate de cheia publică a destinatarului, capabilă să decripteze mesajul cu cheia privată. Transmițătorul semnează afirmațiile sale cu cheia privată, permițând destinatarului să-și verifice proveniența.

Concluzie

Acest protocol este, prin urmare, foarte sigur și îndeplinește perfect funcțiile SSO în interiorul o companie și între diferite domenii de identificare. Ar trebui, în opinia mea, să înlocuiască software-ul de proprietate web SSO, mult mai puțin sigur.

Thierry Albain este un consultant în cadrul companiei de service SQLI

Lasă un răspuns

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *