Wie der SAML-Standard Single Sign-On-Dienste bereitstellt

0
13

Single-Sign-On- und Zero-Trust-Netzwerke hängen von der sicheren Weitergabe von Identifikationsdaten ab und weiter zwischen Benutzern, Identitätsanbietern und Dienstanbietern. SAML ist der Klebstoff, der dies ermöglicht.

Trust No One

Wie George Smiley in John Le Carrés Tinker, Tailor, Soldat, Spy, du solltest niemandem vertrauen und jeden verdächtigen. Nur weil jemand authentifiziert ist und sich innerhalb Ihres Netzwerkperimeters befindet, bedeutet dies nicht definitiv, dass er derjenige ist, der er vorgibt zu sein. Man sollte ihnen auch nicht trauen.

Bei dem neuen Sicherheitsmodell geht es nicht um streng bewachte mehrschichtige Perimeterverteidigungen. Identität ist der neue Perimeter.

Zero-Trust-Netzwerke erzwingen wiederholt die Authentifizierung, wenn sich ein Benutzer durch das Netzwerk bewegt, auf Anwendungen zugreift und Cloud-basierte Dienste anspricht. Natürlich möchte sich niemand immer wieder neu authentifizieren müssen. Automatisierung ist die offensichtliche Antwort. Sobald ein Benutzer positiv identifiziert wurde und festgestellt wurde, dass er derjenige ist, für den er sich ausgibt&8212;und nicht beispielsweise jemand, der die echten Benutzer verwendet&8217; Anmeldeinformationen von einer IP-Adresse, die der echte Benutzer nie verwendet hat—die automatische Weitergabe ihrer Anmeldeinformationen ist sinnvoll.

Werbung

Um dies sicher zu tun, ist ein Standard erforderlich, um die Anmeldeinformationen anzufordern, um die Anmeldeinformationen vorhersehbar weiterzugeben , und um sie zu empfangen und zu überprüfen oder abzulehnen. Die Security Assertion Markup Language ist ein auf XML-Basis entwickelter technischer Ausschuss für Security Services der Organisation for the Advancement of Structured Information Standards. Zum Zeitpunkt des Schreibens ist die aktuelle Version SAML 2.0.

So werden Sicherheitsinformationen zwischen Online-Abonnenten an das SAML-Modell weitergegeben.

VERWANDTE: Kann man Zero Trust vertrauen?

Was SAML ist

SSO ist ein Authentifizierungsdienst, der eine problemlose Anmeldung mit einer einzigen Identität bei mehreren Systemen ermöglicht. Mit SSO müssen Benutzer nicht jedes Mal, wenn sie auf ein Asset oder eine Ressource zugreifen möchten, ihre Anmeldeinformationen manuell eingeben.

Nutzer werden von einem zentralen Server authentifiziert und validiert, wenn sie versuchen, sich anzumelden.  Die Authentifizierung erfolgt mit einer Mischung aus Nutzerinformationen, Anmeldeinformationen, Zertifikaten und Multi-Faktor-Authentifizierungstoken.

SSO wird oft von null genutzt Netzwerken vertrauen, um ihren Bedarf an kontinuierlicher Autorisierung und Authentifizierung zu decken. SSO benötigte eine Lösung, die es Benutzern ermöglicht, Cloud-basierte Dienste zu erreichen, die sich außerhalb des Unternehmensnetzwerks befinden und außerhalb der Reichweite von Zero Trust liegen. Ein Standard für die Föderation von Sicherheitsanmeldeinformationen wurde benötigt.

SAML gewann schnell an Bedeutung und fand bei Cloud-basierten Dienstanbietern Anklang. Heavy Hitters wie Google, Microsoft, IBM, Red Hat und Oracle haben SAML beraten, übernommen und verfochten.

Mit SAML kann eine Organisation Sicherheitsinformationen wie Identitäten und Zugriffsrechte an einen Service Provider senden auf sichere, standardisierte Weise.

SAML-Kommunikationsszenarien

Es gibt drei Haupteinheiten in einer SAML-Kommunikation.

  • Der Endnutzer. Dies ist die Person, die die Remote-Ressource, das Asset oder den Cloud-basierten Dienst nutzen möchte.
  • Ein Identitätsanbieter oder IdP. Der idP stellt Online-Ressourcen bereit, um Endbenutzern über das Netzwerk eine Authentifizierung zu ermöglichen.
  • Ein Dienstanbieter muss dem idP vertrauen. Benutzern, die vom idP identifiziert und authentifiziert wurden, vertraut der Dienstanbieter, der dem Endbenutzer Zugriff auf den Dienst gewährt.

Wenn sich ein Endbenutzer bei seinem Unternehmenskonto anmeldet und eine seiner Verknüpfungen oder Dashboard-Links verwendet, um auf Remoteressourcen zuzugreifen, wird er beim idP authentifiziert. Der idP sendet eine SAML-Nachricht an den Dienstanbieter. Dadurch wird eine SAML-Konversation zwischen dem idP und dem Dienstanbieter initiiert. Wenn der IdP die Identität des Endnutzers überprüft, akzeptiert der Dienstanbieter den Endnutzer als gutgläubig und gewährt ihm Zugang zu seinen Diensten.

Werbung

Wenn der Endbenutzer nicht vom idP authentifiziert wurde, bevor er eine Anfrage an den Dienstanbieter stellt, leitet der Dienstanbieter ihn an den idP weiter, damit er sich anmelden und seine Identität feststellen kann. Der idP kommuniziert dann mit dem Dienstanbieter, um den Endbenutzer zu authentifizieren, und leitet den Endbenutzer an den Dienstanbieter weiter.

Die Identitätsanbieter sind die Zwischenhändler im gesamten Prozess. Ohne sie funktioniert das System nicht. Es gibt Organisationen, die diese Anforderung erfüllen und Identitätsanbieterdienste bereitstellen, mit denen Unternehmen zusammenarbeiten können, um ihre SAML-Dienste zu nutzen. Andere Organisationen werden Sie dabei unterstützen, Ihr eigener Identitätsanbieter zu werden.

SAML-Assertionen

Eine SAML-Assertion ist das XML-Dokument, das vom idP an den Dienstanbieter gesendet wird . Es gibt drei verschiedene Arten von SAML-Assertions — Authentifizierungs-, Attribut- und Autorisierungsentscheidung.

  • Authentifizierungszusicherungendie Identifizierung des Benutzers überprüfen. Sie stellen auch einige verwandte Metadaten bereit, z. B. die Zeit, zu der sie sich angemeldet haben und welche Faktoren für die Anmeldung und die Authentifizierung verwendet wurden.
  • Attributionszusicherungen werden verwendet, um die spezifischen Teile zu übertragen von Daten, die dem Diensteanbieter Informationen über den Benutzer liefern. Diese Informationen werden als SAML-Attribute bezeichnet.
  • Zusicherungen von Autorisierungsentscheidungenenthalten die Entscheidung des IPD darüber, ob der Benutzer zur Nutzung des Dienstes autorisiert oder nicht autorisiert ist. Dies unterscheidet sich subtil von Authentifizierungszusicherungen. Authentifizierungsbestätigungen besagen, dass der IdP weiß, wer die Person ist. Aussagen zu Autorisierungsentscheidungen geben an, ob diese Person über die erforderlichen Berechtigungen für den Zugriff auf den angeforderten Dienst oder das angeforderte Asset verfügt.

Was ist mit OAuth und WS -FED?

SAML wird am häufigsten von Unternehmen verwendet, um sicher und —zumindest aus der Sicht des Benutzers—einfach Zugriff auf externe Dienste zu erhalten, für die das Unternehmen bezahlt. Dienstanbieter wie Salesforce, Go Daddy, Dropbox, Nokia und viele Regierungs- und Zivilbehörden verwenden SAML.

OAuth oder offene Autorisierung ist ein Autorisierungsprotokoll mit offenem Standard, das hauptsächlich von Consumer-Apps und -Diensten verwendet wird. Anstatt beim Erstellen eines Kontos eine Identität erstellen zu müssen, können Sie sich auf einer OAuth-fähigen Plattform möglicherweise mit Google, Facebook oder Twitter anmelden. Tatsächlich verwenden Sie Twitter oder Facebook oder wen auch immer als Identitätsanbieter. Damit können Sie eine Organisation verwenden, der die Plattform, auf der Sie das Konto erstellen, vertraut, um Ihre Identität zu bestätigen. Dies geschieht so, dass Ihr Google-, Twitter- oder Facebook-Passwort nicht geteilt werden muss. Wenn auf der neuen Plattform ein Datenschutzverstoß auftritt, werden Ihre Anmeldeinformationen nicht preisgegeben.

Werbung

Web Services Federation erledigt die gleiche Aufgabe wie SAML. Es bündelt die Authentifizierung und Autorisierung von Dienstanbietern zu einem gemeinsamen, vertrauenswürdigen Identitätsanbieter. Es hat eine geringere Durchdringung als SAML, obwohl es von Identitätsanbietern wie den Active Directory Federation Services von Microsoft unterstützt wird, aber es hat bei Cloud-Anbietern keine nennenswerten Fortschritte gemacht.

Halt, Who Goes There?

SAML ermöglicht Single Sign-On mit einer föderierten Identität, die von Zero-Trust-Netzwerken genutzt wird.

Es' 8217;ist wie ein Gefreiter, der dem Posten sagen kann: “Der Colonel wird gleich kommen, um für mich zu bürgen.”