Поиск по сайту:

Как стандарт SAML предоставляет услуги единого входа

Сети с единым входом и нулевым доверием зависят от безопасной передачи идентификационных данных между пользователями, поставщиками удостоверений и поставщиками услуг. SAML — это клей, который позволяет этому случиться.

Не доверять никому

Подобно Джорджу Смайли из Тинкер, портной, солдат, шпион Джона Ле Карре, вы не должны никому доверять и подозревать всех. Тот факт, что кто-то аутентифицирован и находится внутри периметра вашей сети, еще не означает, что он является тем, за кого себя выдает. И не о том, что им следует доверять.

Появляющаяся модель безопасности — это не строго охраняемая многоуровневая защита периметра. Личность — это новый периметр.

Сети с нулевым доверием многократно принудительно выполняют аутентификацию, когда пользователь перемещается по сети, получает доступ к приложениям и обращается к облачным службам. Конечно, никому не хочется проходить повторную аутентификацию снова и снова. Автоматизация — очевидный ответ. После того, как пользователь был точно идентифицирован и установлено, что он является тем, за кого себя выдает, а не, например, кем-то, кто использует учетные данные подлинного пользователя с IP-адреса, который настоящий пользователь никогда не использовал, автоматическая передача его учетных данных имеет смысл. .

Чтобы сделать это безопасно, требуется стандарт для запроса учетных данных, для предсказуемой передачи учетных данных, а также для их получения, проверки или отклонения. Язык разметки утверждений безопасности — это основанный на XML стандарт, разработанный Техническим комитетом служб безопасности Организации по развитию стандартов структурированной информации. На момент написания текущей версией является SAML 2.0.

Вот как он используется для передачи информации о безопасности между онлайн-подписчиками модели SAML.

Что такое SAML

SSO — это служба аутентификации, которая позволяет безболезненно входить в систему с одним идентификатором в нескольких системах. Благодаря системе единого входа пользователям не нужно вручную вводить учетные данные каждый раз, когда они хотят получить доступ к активу или ресурсу.

Пользователи проходят аутентификацию и проверку на центральном сервере при попытке входа в систему. Аутентификация выполняется с использованием сочетания информации о пользователе, учетных данных, сертификатов и токенов многофакторной аутентификации.

SSO часто используется сетями с нулевым доверием, чтобы удовлетворить их потребность в постоянной авторизации и аутентификации. SSO требовалось решение, позволяющее пользователям получать доступ к облачным службам, расположенным за пределами корпоративной сети и за пределами досягаемости нулевого доверия. Требовался стандарт для федерации учетных данных безопасности.

SAML быстро набрал обороты и завоевал популярность у поставщиков облачных услуг. Крупные игроки, такие как Google, Microsoft, IBM, Red Hat и Oracle, консультировали, внедряли и поддерживали SAML.

С помощью SAML организация может отправлять поставщику услуг информацию о безопасности, такую как идентификационные данные и права доступа, безопасным и стандартизированным способом.

Сценарии связи SAML

В сообщении SAML есть три основных объекта.

  • Конечный пользователь. Это человек, который хочет использовать удаленный ресурс, актив или облачную службу.
  • поставщик удостоверений или idP. IDP предоставляет онлайн-ресурсы для аутентификации конечных пользователей по сети.
  • Поставщик услуг должен доверять поставщику идентификационной информации. Пользователи, которые были идентифицированы и аутентифицированы поставщиком идентификационной информации, являются доверенными для поставщика услуг, который предоставляет конечному пользователю доступ к службе.

Когда конечный пользователь входит в свою корпоративную учетную запись и использует любой из своих ярлыков или ссылок на панель мониторинга для доступа к удаленным ресурсам, он проходит аутентификацию с помощью idP. IDP отправляет сообщение SAML поставщику услуг. Это инициирует диалог SAML между idP и поставщиком услуг. Если поставщик идентификационной информации подтверждает личность конечного пользователя, поставщик услуг принимает конечного пользователя как добросовестного и предоставляет ему доступ к своим услугам.

Если конечный пользователь не прошел аутентификацию у idP до того, как он отправит запрос поставщику услуг, поставщик услуг перенаправит его к idP, чтобы он мог войти в систему и установить свою личность. Затем IDP связывается с поставщиком услуг для аутентификации конечного пользователя и перенаправляет конечного пользователя к поставщику услуг.

Поставщики удостоверений являются посредниками во всем процессе. Без них система работать не будет. Существуют организации, обслуживающие это требование, предоставляющие услуги поставщиков удостоверений, с которыми предприятия могут сотрудничать, чтобы использовать свои услуги SAML. Другие организации помогут вам стать вашим собственным поставщиком удостоверений.

Утверждения SAML

Утверждение SAML — это XML-документ, отправляемый idP поставщику услуг. Существует три разных типа утверждений SAML — аутентификация, атрибут и решение об авторизации.

  • Утверждения аутентификации проверяют идентификацию пользователя. Они также предоставляют некоторые связанные метаданные, такие как время входа в систему и факторы, которые использовались для входа и установления аутентификации.
  • Утверждения атрибуции используются для передачи определенных фрагментов данных, которые предоставляют информацию о пользователе, поставщику услуг. Эти элементы информации называются атрибутами SAML.
  • Утверждения решения об авторизации содержат решение IPD о том, авторизован или неавторизован пользователь для использования службы. Это немного отличается от утверждений аутентификации. Утверждения аутентификации говорят, что idP знает, кто такой человек. Утверждения решения об авторизации сообщают, есть ли у этого человека необходимые привилегии для доступа к запрошенной службе или ресурсу.

А как насчет OAuth и WS-FED?

SAML чаще всего используется предприятиями для безопасного и — по крайней мере, с точки зрения пользователя — простого получения доступа к внешним услугам, за которые бизнес платит. Поставщики услуг, такие как Salesforce, Go Daddy, Dropbox, Nokia, а также многие государственные и гражданские ведомства, используют SAML.

OAuth, или открытая авторизация, — это протокол авторизации с открытым стандартом, который в основном используется потребительскими приложениями и службами. Вместо того, чтобы создавать личность при создании учетной записи, платформа с поддержкой OAuth может позволить вам «войти в систему с помощью Google», Facebook или Twitter. По сути, вы используете Twitter, Facebook или кого-то еще в качестве провайдера идентификации. Это позволяет вам использовать организацию, которой доверяет платформа, на которой вы создаете учетную запись, чтобы подтвердить свою личность. Он делает это таким образом, что не требует совместного использования вашего пароля Google, Twitter или Facebook. Если на новой платформе произойдет утечка данных, ваши учетные данные не будут раскрыты.

Федерация веб-служб выполняет ту же работу, что и SAML. Он объединяет аутентификацию и авторизацию от поставщиков услуг к общему доверенному поставщику удостоверений. У него меньше проникновения, чем у SAML, хотя он поддерживается поставщиками удостоверений, такими как Microsoft Active Directory Federation Services, но не добился значительных успехов у облачных провайдеров.

Стой, кто идет?

SAML упрощает единый вход с одним федеративным удостоверением, которое используется в сетях с нулевым доверием.

Это похоже на то, как рядовой может сказать часовому: «Полковник сейчас придет и поручится за меня».