Header Ads

Home / Celular / Facebook / Google / Microsoft / Notícias / Como o padrão SAML fornece serviços de logon único

Como o padrão SAML fornece serviços de logon único

quarta-feira, novembro 24, 2021 , , , ,

As redes de logon único e confiança zero dependem da passagem segura de detalhes de identificação entre usuários, provedores de identidade e provedores de serviço. SAML é a cola que permite que isso aconteça.

Não confie em ninguém

Como George Smiley em Tinker, Tailor, Soldier, Spy de John Le Carré, você não deve confiar em ninguém e suspeitar de todos. Só porque alguém está autenticado e dentro do perímetro de sua rede, isso não significa definitivamente que essa pessoa seja quem pretende ser. Nem que eles sejam confiáveis.

O modelo emergente de segurança não envolve defesas de perímetro em várias camadas fortemente protegidas. A identidade é o novo perímetro.

As redes de confiança zero forçam a autenticação repetidamente à medida que um usuário se move pela rede, acessa aplicativos e procura serviços baseados em nuvem. Claro, ninguém quer ter que se autenticar novamente uma e outra vez. A automação é a resposta óbvia. Assim que um usuário for identificado positivamente e ficar estabelecido que ele é quem diz ser — e não, por exemplo, alguém que usa usuários genuínos &’ credenciais de um endereço IP que o usuário real nunca usou — passar suas credenciais automaticamente faz sentido.

Publicidade

Para fazer isso com segurança, um padrão é necessário para solicitar as credenciais, passar as credenciais de maneira previsível e recebê-las, verificá-las ou rejeitá-las. A Security Assertion Markup Language é um Comitê Técnico de Serviços de Segurança desenvolvido com base em XML da Organização para o Avanço de Padrões de Informações Estruturadas. No momento em que este artigo foi escrito, a versão atual é SAML 2.0.

É assim que ele é usado para passar informações de segurança entre assinantes online do modelo SAML.

RELACIONADO: Você pode confiar no Zero Trust?

O que é SAML

SSO é um serviço de autenticação que permite o login sem problemas com uma única identidade em vários sistemas. Com o SSO, os usuários não precisam inserir credenciais manualmente sempre que desejam acessar um ativo ou recurso.

Os usuários são autenticados e validados por um servidor central quando tentam fazer login. A autenticação é realizada usando uma combinação de informações do usuário, credenciais, certificados e tokens de autenticação multifator.

O SSO costuma ser aproveitado por redes de confiança zero para satisfazer a necessidade de autorização e autenticação contínuas. O SSO precisava de uma solução para permitir que os usuários acessassem serviços baseados em nuvem localizados fora da rede corporativa e fora do alcance de confiança zero. Era necessário um padrão para a federação de credenciais de segurança.

O SAML rapidamente ganhou força e encontrou o favor de provedores de serviços baseados em nuvem. Empresas de peso como Google, Microsoft, IBM, Red Hat e Oracle aconselharam, adotaram e defenderam o SAML.

Usando SAML, uma organização pode enviar informações de segurança, como identidades e privilégios de acesso, a um provedor de serviços de maneira segura e padronizada.

Cenários de comunicação SAML

Existem três entidades principais em uma comunicação SAML.

  • O usuário final. Esta é a pessoa que deseja usar o recurso remoto, ativo ou serviço baseado em nuvem.
  • Um provedor de identidade ou idP. O idP fornece recursos online para fornecer autenticação aos usuários finais na rede.
  • Um provedor de serviços deve confiar no idP. Os usuários que foram identificados e autenticados pelo idP são confiáveis ​​pelo provedor de serviços, que fornece ao usuário final acesso ao serviço.

Quando um usuário final faz login em sua conta corporativa e usa qualquer um de seus atalhos ou links do painel para acessar recursos remotos, eles são autenticados no idP. O idP envia uma mensagem SAML ao provedor de serviços. Isso inicia uma conversa SAML entre o idP e o provedor de serviços. Se o idP verificar a identidade do usuário final, o provedor de serviços aceitará o usuário final como de boa-fé e concederá a ele acesso aos seus serviços.

Publicidade

Se o usuário final não tiver sido autenticado pelo idP antes de fazer uma solicitação ao provedor de serviços, o provedor de serviços o redireciona para o idP para que eles possam fazer login e estabelecer sua identidade. O idP então se comunica com o provedor de serviços para autenticar o usuário final e redireciona o usuário final para o provedor de serviços.

Os provedores de identidade são os intermediários em todo o processo. Sem eles, o sistema não funcionará. Existem organizações atendendo a esse requisito, fornecendo serviços de provedor de identidade com os quais as empresas podem fazer parceria para usar seus serviços SAML. Outras organizações irão guiá-lo para se tornar seu próprio provedor de identidade.

Asserções SAML

Uma declaração SAML é o documento XML enviado pelo idP ao provedor de serviços. Existem três tipos diferentes de Asserções SAML — autenticação, atributo e decisão de autorização.

  • Asserções de autenticação verificam a identificação do usuário. Eles também fornecem alguns metadados relacionados, como a hora em que eles se conectaram e quais fatores foram usados ​​para fazer o login e estabelecer a autenticação.
  • Asserções de atribuição são usadas para transferir as partes específicas de dados que fornecem informações sobre o usuário para o provedor de serviços. Essas informações são conhecidas como atributos SAML.
  • As declarações de decisão de autorização contêm a decisão do ipD sobre se o usuário está autorizado ou não a usar o serviço. Isso é sutilmente diferente das afirmações de autenticação. Asserções de autenticação dizem que o idP sabe quem é o indivíduo. Asserções de decisão de autorização dizem se esse indivíduo tem os privilégios necessários para acessar o serviço ou ativo solicitado.

E quanto ao OAuth e WS-FED?

O SAML é usado com mais frequência por empresas para, com segurança e — pelo menos, do ponto de vista do usuário — simplesmente obter acesso a serviços externos pelos quais a empresa paga. Provedores de serviços como Salesforce, Go Daddy, Dropbox, Nokia e muitos departamentos governamentais e civis usam SAML.

OAuth, ou autorização aberta, é um protocolo de autorização de padrão aberto usado principalmente por aplicativos e serviços de consumidor. Em vez de precisar criar uma identidade ao criar uma conta, uma plataforma habilitada para OAuth pode permitir que você “ faça login com o Google ”, Facebook ou Twitter. Efetivamente, você está usando o Twitter ou Facebook ou qualquer outra pessoa como provedor de identidade. Ele permite que você use uma organização em que a plataforma em que está criando a conta em que você confia para garantir sua identidade. Ele faz isso de uma maneira que não exige que sua senha do Google, Twitter ou Facebook seja compartilhada. Se a nova plataforma sofrer uma violação de dados, suas credenciais não serão expostas.

Publicidade

O Web Services Federation faz o mesmo trabalho que o SAML. Ele associa a autenticação e autorização de provedores de serviços a um provedor de identidade comum e confiável. Ele tem menos penetração do que o SAML, embora seja compatível com provedores de identidade como os Serviços de Federação do Active Directory da Microsoft, mas não fez progressos significativos com os provedores de nuvem.

Pare, quem vai lá?

O SAML facilita o logon único com uma identidade federada, que é aproveitada por redes de confiança zero.

É como se um soldado pudesse dizer ao sentinela: “ O Coronel estará por perto para responder por mim em um momento. ”

Nenhum comentário

Assinar: Postar comentários ( Atom )