Single Sign-On en zero trust-netwerken zijn afhankelijk van het veilig doorgeven van identificatiegegevens en verder tussen gebruikers, identiteitsproviders en serviceproviders. SAML is de lijm die dat mogelijk maakt.
Trust No One
Zoals George Smiley in John Le Carré’s Tinker, Tailor, Soldaat, spion, je moet niemand vertrouwen en iedereen verdenken. Alleen omdat iemand is geverifieerd, en binnen uw netwerkperimeter, betekent dit niet zeker dat ze zijn wie ze beweren te zijn. Ook niet dat ze te vertrouwen zijn.
Het opkomende beveiligingsmodel gaat niet over sterk bewaakte, meerlaagse perimeterverdediging. Identiteit is de nieuwe perimeter.
Zero trust-netwerken dwingen authenticatie herhaaldelijk af wanneer een gebruiker zich door het netwerk beweegt, applicaties opent en contact zoekt met cloudgebaseerde services. Natuurlijk wil niemand zich keer op keer opnieuw moeten verifiëren. Automatisering is het voor de hand liggende antwoord. Zodra een gebruiker positief is geïdentificeerd en is vastgesteld dat hij is wie hij zegt dat hij is—en niet, bijvoorbeeld, iemand die de echte gebruikers gebruikt’ inloggegevens van een IP-adres dat de echte gebruiker nooit heeft gebruikt—het automatisch doorgeven van hun inloggegevens is logisch.
Advertentie
Om dat veilig te doen, is een standaard vereist om de inloggegevens op te vragen, om de inloggegevens voorspelbaar door te geven , en om ze te ontvangen en te verifiëren of af te wijzen. De Security Assertion Markup Language is een op XML gebaseerde standaard ontwikkeld Security Services Technical Committee van de Organisation for the Advancement of Structured Information Standards. Op het moment van schrijven is de huidige versie SAML 2.0.
Dit is hoe het wordt gebruikt om beveiligingsinformatie door te geven tussen online abonnees van het SAML-model.
GERELATEERD: Can You Trust Zero Trust?
Wat SAML is
SSO is een authenticatieservice die pijnloos inloggen met één identiteit op meerdere systemen mogelijk maakt. Met SSO hoeven gebruikers niet elke keer handmatig inloggegevens in te voeren als ze toegang willen tot een asset of resource.
Gebruikers worden geverifieerd en gevalideerd door een centrale server wanneer ze proberen in te loggen. Verificatie wordt uitgevoerd met een combinatie van gebruikersinformatie, inloggegevens, certificaten en multi-factor authenticatietokens.
SSO wordt vaak gebruikt door nul vertrouwen op netwerken om te voldoen aan hun behoefte aan continue autorisatie en authenticatie. SSO had een oplossing nodig waarmee gebruikers cloudgebaseerde services kunnen bereiken die zich buiten het bedrijfsnetwerk en buiten het bereik van zero trust bevinden. Er was een standaard nodig voor de federatie van beveiligingsgegevens.
SAML kreeg snel grip en vond gunst bij cloudgebaseerde serviceproviders. Zware hitters zoals Google, Microsoft, IBM, Red Hat en Oracle adviseerden, adopteerden en pleitten voor SAML.
Met SAML kan een organisatie beveiligingsinformatie zoals identiteiten en toegangsrechten naar een serviceprovider sturen op een veilige, gestandaardiseerde manier.
SAML-communicatiescenario's
Er zijn drie hoofdentiteiten in een SAML-communicatie.
- De eindgebruiker. Dit is de persoon die de externe bron, het asset of de cloudservice wil gebruiken.
- Een identiteitsprovider of idP. De idP biedt online bronnen om authenticatie te geven aan eindgebruikers via het netwerk.
- Een serviceprovider moet de idP vertrouwen. Gebruikers die zijn geïdentificeerd en geauthenticeerd door de idP worden vertrouwd door de serviceprovider, die de eindgebruiker toegang geeft tot de service.
Wanneer een eindgebruiker inlogt op zijn bedrijfsaccount en een van zijn snelkoppelingen of dashboardlinks gebruikt om toegang te krijgen tot externe bronnen, wordt hij geverifieerd tegen de idP. De idP stuurt een SAML-bericht naar de serviceprovider. Dit initieert een SAML-gesprek tussen de idP en de serviceprovider. Als de idP de identiteit van de eindgebruiker verifieert, accepteert de serviceprovider de eindgebruiker als bonafide en verleent hem toegang tot zijn diensten.
Advertentie
Als de eindgebruiker niet is geauthenticeerd door de idP voordat hij een verzoek doet aan de serviceprovider, leidt de serviceprovider hem door naar de idP zodat hij kan inloggen en zijn identiteit kan vaststellen. De idP communiceert vervolgens met de serviceprovider om de eindgebruiker te authenticeren en leidt de eindgebruiker door naar de serviceprovider.
De identiteitsproviders zijn de tussenpersonen in het hele proces. Zonder hen zal het systeem niet werken. Er zijn organisaties die aan die eis voldoen en identiteitsproviderservices leveren waarmee bedrijven kunnen samenwerken om gebruik te maken van hun SAML-services. Andere organisaties zullen u begeleiden om uw eigen identiteitsprovider te worden.
SAML-beweringen
Een SAML-bevestiging is het XML-document dat door de idP naar de serviceprovider wordt verzonden . Er zijn drie verschillende soorten SAML-beweringen — authenticatie, attribuut en autorisatiebeslissing.
- Authenticatiebeweringende identificatie van de gebruiker verifiëren. Ze bieden ook enkele gerelateerde metadata, zoals de tijd waarop ze zijn ingelogd en welke factoren zijn gebruikt om in te loggen en de authenticatie tot stand te brengen.
- Toeschrijvingsbeweringen worden gebruikt om de specifieke stukken over te dragen van gegevens die informatie over de gebruiker aan de serviceprovider verstrekken. Deze stukjes informatie staan bekend als SAML-attributen.
- Beweringen over autorisatiebeslissingenbevatten de beslissing van de ipD of de gebruiker al dan niet geautoriseerd is om de service te gebruiken. Dit verschilt subtiel van authenticatiebeweringen. Authenticatiebeweringen zeggen dat de idP weet wie de persoon is. Beweringen over autorisatiebeslissingen zeggen of die persoon over de nodige privileges beschikt om toegang te krijgen tot de gevraagde dienst of asset.
Hoe zit het met OAuth en WS -FED?
SAML wordt het vaakst gebruikt door bedrijven om veilig en vanuit het oogpunt van de gebruiker eenvoudig toegang te krijgen tot externe diensten waarvoor het bedrijf betaalt. Serviceproviders zoals Salesforce, Go Daddy, Dropbox, Nokia en veel overheids- en civiele afdelingen gebruiken SAML.
OAuth, of open autorisatie, is een open-standaard autorisatieprotocol dat meestal wordt gebruikt door consumentenapps en -services. In plaats van een identiteit aan te maken wanneer u een account aanmaakt, kunt u met een OAuth-enabled platform u “aanmelden met Google”, of Facebook, of Twitter. In feite gebruikt u Twitter of Facebook of wie dan ook als identiteitsprovider. Hiermee kunt u een organisatie gebruiken die wordt vertrouwd door het platform waarop u het account aanmaakt om in te staan voor uw identiteit. Het doet dit op een manier waarbij uw Google-, Twitter- of Facebook-wachtwoord niet hoeft te worden gedeeld. Als het nieuwe platform een datalek heeft, worden uw inloggegevens niet zichtbaar.
Advertentie
Web Services Federation doet hetzelfde werk als SAML. Het bundelt authenticatie en autorisatie van serviceproviders naar een gemeenschappelijke, vertrouwde identiteitsprovider. Het heeft minder penetratie dan SAML, hoewel het wordt ondersteund door identiteitsproviders zoals Microsoft's Active Directory Federation Services, maar het heeft geen significante vooruitgang geboekt bij cloudproviders.
Halt, wie gaat daar?
SAML faciliteert eenmalige aanmelding met één federatieve identiteit, die wordt benut door zero trust-netwerken.
Het is 8217 is als een soldaat die tegen de schildwacht kan zeggen: “De kolonel komt zo voor mij instaan.”