Comment la norme SAML fournit des services d'authentification unique

0
58

Les réseaux d'authentification unique et de confiance zéro dépendent de la transmission sécurisée des informations d'identification entre les utilisateurs et les fournisseurs d'identité , et les prestataires de services. SAML est le ciment qui permet que cela se produise.

Trust No One

Comme George Smiley dans John Le Carré’s Tinker, Tailor, Soldat, Spy, vous ne devriez faire confiance à personne et soupçonner tout le monde. Ce n'est pas parce que quelqu'un est authentifié et à l'intérieur du périmètre de votre réseau qu'il est ce qu'il prétend être. Ni qu'on devrait leur faire confiance.

Le modèle de sécurité émergent ne concerne pas des défenses périmétriques multicouches fortement protégées. L'identité est le nouveau périmètre.

Les réseaux Zero Trust forcent l'authentification à plusieurs reprises lorsqu'un utilisateur se déplace sur le réseau, accède aux applications et atteint les services basés sur le cloud. Bien sûr, personne ne veut avoir à se ré-authentifier encore et encore. L'automatisation est la réponse évidente. Une fois qu'un utilisateur a été positivement identifié et qu'il est établi qu'il est bien celui qu'il prétend être & non, par exemple, une personne utilisant les véritables utilisateurs & #8217; informations d'identification à partir d'une adresse IP que l'utilisateur réel n'a jamais utilisée—passer automatiquement ses informations d'identification est logique.

Publicité

Pour ce faire en toute sécurité, une norme est requise pour demander les informations d'identification, pour transmettre de manière prévisible les informations d'identification , et de les recevoir et de les vérifier ou de les rejeter. Le Security Assertion Markup Language est un standard XML développé par le comité technique des services de sécurité de l'Organization for the Advancement of Structured Information Standards. Au moment de la rédaction, la version actuelle est SAML 2.0.

C'est ainsi qu'il est utilisé pour transmettre des informations de sécurité entre les abonnés en ligne au modèle SAML.

CONNEXION : Pouvez-vous faire confiance à Zero Trust ?

Qu'est-ce que SAML

SSO est un service d'authentification qui permet de se connecter facilement avec une seule identité à plusieurs systèmes. Avec l'authentification unique, les utilisateurs n'ont plus à saisir manuellement leurs informations d'identification chaque fois qu'ils souhaitent accéder à un actif ou à une ressource.

Les utilisateurs sont authentifiés et validés par un serveur central lorsqu'ils tentent de se connecter. L'authentification est effectuée à l'aide d'une combinaison d'informations utilisateur, d'identifiants, de certificats et de jetons d'authentification multifacteur.

L'authentification unique est souvent exploitée par zéro faire confiance aux réseaux pour satisfaire leur besoin d'autorisation et d'authentification continues. SSO avait besoin d'une solution pour permettre aux utilisateurs d'accéder à des services basés sur le cloud situés en dehors du réseau de l'entreprise et au-delà de la portée de la confiance zéro. Une norme pour la fédération des identifiants de sécurité était nécessaire.

SAML a rapidement gagné du terrain et a trouvé la faveur des fournisseurs de services basés sur le cloud. Des poids lourds tels que Google, Microsoft, IBM, Red Hat et Oracle ont conseillé, adopté et défendu SAML.

À l'aide de SAML, une organisation peut envoyer des informations de sécurité telles que des identités et des privilèges d'accès à un fournisseur de services de manière sécurisée et standardisée.

Scénarios de communication SAML

Il existe trois entités principales dans une communication SAML.

  • L'utilisateur final. Il s'agit de la personne qui souhaite utiliser la ressource distante, l'actif ou le service basé sur le cloud.
  • Un fournisseur d'identité, ou idP. L'idP fournit des ressources en ligne pour permettre l'authentification des utilisateurs finaux sur le réseau.
  • Un fournisseur de services doit faire confiance à l'idP. Les utilisateurs qui ont été identifiés et authentifiés par l'idP sont approuvés par le fournisseur de services, qui fournit à l'utilisateur final l'accès au service.

Lorsqu'un utilisateur final se connecte à son compte d'entreprise et utilise l'un de ses raccourcis ou liens de tableau de bord pour accéder aux ressources distantes, il est authentifié auprès de l'idP. L'idP envoie un message SAML au fournisseur de services. Cela initie une conversation SAML entre l'idP et le fournisseur de services. Si l'IDP vérifie l'identité de l'utilisateur final, le fournisseur de services accepte l'utilisateur final comme étant de bonne foi et lui accorde l'accès à ses services.

Publicité

Si l'utilisateur final n'a pas été authentifié par l'idP avant de faire une demande au fournisseur de services, le fournisseur de services le redirige vers l'idP afin qu'il puisse se connecter et établir son identité. L'idP communique ensuite avec le fournisseur de services pour authentifier l'utilisateur final et redirige l'utilisateur final vers le fournisseur de services.

Les fournisseurs d'identité sont les intermédiaires dans l'ensemble du processus. Sans eux, le système ne fonctionnera pas. Il existe des organisations répondant à cette exigence, fournissant des services de fournisseur d'identité avec lesquels les entreprises peuvent s'associer pour utiliser leurs services SAML. D'autres organisations vous guideront pour devenir votre propre fournisseur d'identité.

Assertions SAML

Une assertion SAML est le document XML envoyé par l'IDP au fournisseur de services . Il existe trois types différents d'assertions SAML — authentification, attribut et décision d'autorisation.

  • Assertions d'authentificationvérifier l'identification de l'utilisateur. Ils fournissent également des métadonnées connexes, telles que l'heure à laquelle ils se sont connectés et les facteurs utilisés pour se connecter et établir l'authentification.
  • Les assertions d'attribution sont utilisées pour transférer les éléments spécifiques. de données qui fournissent des informations sur l'utilisateur au fournisseur de services. Ces informations sont appelées attributs SAML.
  • Assertions de décision d'autorisationcontenir la décision de l'ipD quant à savoir si l'utilisateur est autorisé ou non à utiliser le service. Ceci est subtilement différent des assertions d'authentification. Les assertions d'authentification indiquent que l'IDP sait qui est l'individu. Les assertions de décision d'autorisation indiquent si cette personne dispose des privilèges nécessaires pour accéder au service ou à l'actif demandé.

Qu'en est-il d'OAuth et de WS -FED ?

SAML est le plus souvent utilisé par les entreprises pour accéder en toute sécurité et du moins, du point de vue de l'utilisateur, à des services externes que l'entreprise paie. Les fournisseurs de services tels que Salesforce, Go Daddy, Dropbox, Nokia et de nombreux services gouvernementaux et civils utilisent SAML.

OAuth, ou autorisation ouverte, est un protocole d'autorisation standard ouvert principalement utilisé par les applications et services grand public. Plutôt que de devoir créer une identité lorsque vous créez un compte, une plate-forme compatible OAuth peut vous permettre de vous connecter avec Google, Facebook ou Twitter. En fait, vous utilisez Twitter ou Facebook ou quiconque en tant que fournisseur d'identité. Il vous permet d'utiliser une organisation à laquelle la plate-forme sur laquelle vous créez le compte fait confiance pour garantir votre identité. Il le fait d'une manière qui ne nécessite pas le partage de votre mot de passe Google, Twitter ou Facebook. Si la nouvelle plate-forme subit une violation de données, vos informations d'identification ne sont pas exposées.

Publicité

La fédération des services Web fait le même travail que SAML. Il fédère l'authentification et l'autorisation des fournisseurs de services à un fournisseur d'identité commun et de confiance. Il a moins de pénétration que SAML, même s'il est pris en charge par des fournisseurs d'identité tels que les services de fédération Active Directory de Microsoft, mais il n'a pas fait de progrès significatifs avec les fournisseurs de cloud.

Halt, Who Goes There ?

SAML facilite l'authentification unique avec une identité fédérée, qui est exploitée par les réseaux Zero Trust.

Il&# 8217; c'est comme si un soldat pouvait dire à la sentinelle : “Le colonel viendra se porter garant de moi dans un instant.”