Hur SAML-standarden tillhandahåller tjänster för enkel inloggning

0
12

Single Sign-On och Zero Trust-nätverk är beroende av att säkert skicka tillbaka identifieringsdetaljer och vidare mellan användare, identitetsleverantörer och tjänsteleverantörer. SAML är limmet som låter det hända.

Trust No One

Som George Smiley i John Le Carré’s Tinker, Tailor, Soldat, spion, du ska inte lita på någon och misstänka alla. Bara för att någon är autentiserad och inom din nätverksperimeter betyder det inte definitivt att de är som de utger sig för att vara. Inte heller att man ska lita på dem.

Den framväxande säkerhetsmodellen handlar inte om starkt bevakade omkretsförsvar i flera lager. Identitet är den nya omkretsen.

Nätverk med noll förtroende tvingar fram autentisering upprepade gånger när en användare rör sig genom nätverket, kommer åt applikationer och når ut till molnbaserade tjänster. Naturligtvis vill ingen behöva autentisera på nytt gång på gång. Automatisering är det självklara svaret. När en användare väl har identifierats och det har fastställts att de är den de säger att de är—och inte till exempel någon som använder de äkta användarna’ autentiseringsuppgifter från en IP-adress som den riktiga användaren aldrig har använt—att skicka sina autentiseringsuppgifter automatiskt är meningsfullt.

Annons

För att göra det säkert krävs en standard för att begära inloggningsuppgifterna, för att förutsägbart skicka in autentiseringsuppgifterna och att ta emot och verifiera eller avvisa dem. Security Assertion Markup Language är en XML-baserad standardutvecklad Security Services Technical Committee av organisationen för avancemang av strukturerade informationsstandarder. I skrivande stund är den aktuella versionen SAML 2.0.

Så här används det för att skicka säkerhetsinformation mellan online-prenumeranter till SAML-modellen.

RELATERAT: Kan du lita på Zero Trust?

Vad SAML är

SSO är en autentiseringstjänst som möjliggör smärtfri inloggning med en enda identitet till flera system. Med SSO är användare befriade från att manuellt behöva ange autentiseringsuppgifter varje gång de vill komma åt en tillgång eller resurs.

Användare autentiseras och valideras av en central server när de försöker logga in.  Autentisering utförs med en blandning av användarinformation, autentiseringsuppgifter, certifikat och multifaktorautentiseringstoken.

SSO utnyttjas ofta med noll lita på nätverk för att tillgodose deras behov av kontinuerlig auktorisering och autentisering. SSO behövde en lösning för att tillåta användare att nå molnbaserade tjänster som ligger utanför företagets nätverk och utanför räckhåll för noll förtroende. En standard för federationen av säkerhetsuppgifter behövdes.

SAML fick snabbt draghjälp och fann gunst hos molnbaserade tjänsteleverantörer. Heavy hiters som Google, Microsoft, IBM, Red Hat och Oracle gav råd om, antog och kämpade för SAML.

Med SAML kan en organisation skicka säkerhetsinformation som identiteter och åtkomstbehörigheter till en tjänsteleverantör på ett säkert, standardiserat sätt.

SAML-kommunikationsscenarier

Det finns tre huvudenheter i en SAML-kommunikation.

  • slutanvändaren. Det här är personen som vill använda fjärrresursen, tillgången eller den molnbaserade tjänsten.
  • En identitetsleverantör eller idP. IDP tillhandahåller onlineresurser för att ge slutanvändare autentisering via nätverket.
  • En tjänsteleverantör måste lita på IDP. Användare som har identifierats och autentiserats av idP är betrodda av tjänsteleverantören, som ger slutanvändaren tillgång till tjänsten.

När en slutanvändare loggar in på sitt företagskonto och använder någon av sina genvägar eller instrumentpanellänkar för att komma åt fjärrresurser, autentiseras de mot IDP. IDP:n skickar ett SAML-meddelande till tjänsteleverantören. Detta initierar en SAML-konversation mellan IDP och tjänsteleverantören. Om idP:n verifierar slutanvändarens identitet, accepterar tjänsteleverantören slutanvändaren som i god tro och ger dem tillgång till sina tjänster.

Annons

Om slutanvändaren inte har autentiserats av IDP innan de gör en begäran till tjänsteleverantören, omdirigerar tjänsteleverantören dem till IDP så att de kan logga in och fastställa sin identitet. IDP:n kommunicerar sedan med tjänsteleverantören för att autentisera slutanvändaren och omdirigerar slutanvändaren till tjänsteleverantören.

Identitetsleverantörerna är mellanhänder i hela processen. Utan dem fungerar inte systemet. Det finns organisationer som servar det kravet och levererar identitetsleverantörstjänster som företag kan samarbeta med för att använda deras SAML-tjänster. Andra organisationer kommer att guida dig genom att bli din egen identitetsleverantör.

SAML Assertions

En SAML Assertion är XML-dokumentet som skickas av IDP till tjänsteleverantören . Det finns tre olika typer av SAML-påståenden — autentisering, attribut och auktoriseringsbeslut.

  • Autentiseringspåståendenverifiera användarens identitet. De tillhandahåller en del relaterad metadata också, som tiden de loggade in och vilka faktorer som användes för att logga in och upprätta autentiseringen.
  • Attributionspåståenden används för att överföra de specifika delarna av data som tillhandahåller information om användaren till tjänsteleverantören. Dessa delar av information kallas SAML-attribut.
  • Auktorisationsbeslutinnehålla IPD’s beslut om huruvida användaren är auktoriserad eller obehörig att använda tjänsten. Detta skiljer sig subtilt från autentiseringspåståenden. Autentiseringspåståenden säger att IDP vet vem individen är. Auktoriseringsbeslut säger om den personen har de nödvändiga rättigheterna för att få åtkomst till den begärda tjänsten eller tillgången.

Vad sägs om OAuth och WS -FED?

SAML används oftast av företag för att säkert och—åtminstone ur en användares synvinkel helt enkelt få tillgång till externa tjänster som företaget betalar för. Tjänsteleverantörer som Salesforce, Go Daddy, Dropbox, Nokia och många statliga och civila myndigheter använder SAML.

OAuth, eller öppen auktorisering, är ett auktoriseringsprotokoll med öppen standard som oftast används av konsumentappar och -tjänster. Istället för att behöva skapa en identitet när du skapar ett konto kan en OAuth-aktiverad plattform låta dig “logga in med Google” eller Facebook eller Twitter. Du använder faktiskt Twitter eller Facebook eller vem som helst som identitetsleverantör. Den låter dig använda en organisation som är betrodd av plattformen du skapar kontot på för att garantera din identitet. Den gör detta på ett sätt som inte kräver att ditt Google-, Twitter- eller Facebook-lösenord delas. Om den nya plattformen drabbas av ett dataintrång, kommer inte dina referenser att avslöjas.

Annons

Web Services Federation gör samma jobb som SAML. Den förenar autentisering och auktorisering från tjänsteleverantörer till en gemensam, pålitlig identitetsleverantör. Den har mindre penetration än SAML, även om den stöds av identitetsleverantörer som Microsofts Active Directory Federation Services, men den har inte gjort betydande framsteg med molnleverantörer.

Stopp, vem går dit?

SAML underlättar enkel inloggning med en federerad identitet, som utnyttjas av noll trust-nätverk.

Det är 8217;är som en menig som kan säga till vaktposten, “Översten kommer att vara med och garantera mig om ett ögonblick.”