Le reti Single Sign-On e Zero Trust dipendono dalla restituzione sicura dei dettagli di identificazione e avanti tra utenti, provider di identità e provider di servizi. SAML è il collante che permette che ciò accada.
Non fidarti di nessuno
Come George Smiley in Tinker, Tailor, di John Le Carré, Soldato, spia, non dovresti fidarti di nessuno e sospettare di tutti. Solo perché qualcuno è autenticato e all'interno del perimetro della tua rete, non significa sicuramente che sia chi pretende di essere. Né che ci si debba fidare di loro.
Il modello di sicurezza emergente non riguarda le difese perimetrali multilivello fortemente protette. L'identità è il nuovo perimetro.
Le reti Zero Trust forzano ripetutamente l'autenticazione quando un utente si sposta attraverso la rete, accede alle applicazioni e raggiunge i servizi basati su cloud. Naturalmente, nessuno vuole dover ripetere l'autenticazione più e più volte. L'automazione è la risposta ovvia. Una volta che un utente è stato identificato positivamente e si è stabilito che è chi dice di essere—e non, ad esempio, qualcuno che utilizza gli utenti autentici’ credenziali da un indirizzo IP che l'utente reale non ha mai utilizzato—passare le proprie credenziali automaticamente ha senso.
Pubblicità
Per farlo in modo sicuro è necessario uno standard per richiedere le credenziali, per passare prevedibilmente le credenziali , e per riceverli e verificarli o rifiutarli. Il Security Assertion Markup Language è uno standard basato su XML sviluppato dal Security Services Technical Committee dell'Organizzazione per l'avanzamento degli standard delle informazioni strutturate. Al momento in cui scriviamo, la versione corrente è SAML 2.0.
Questo è il modo in cui viene utilizzato per passare le informazioni di sicurezza tra gli abbonati online al modello SAML.
RELAZIONATO: Puoi fidarti di Zero Trust?
Cos'è SAML
SSO è un servizio di autenticazione che consente l'accesso indolore con un'unica identità a più sistemi. Con SSO, gli utenti sono liberi di dover inserire manualmente le credenziali ogni volta che desiderano accedere a una risorsa o a una risorsa.
Gli utenti vengono autenticati e convalidati da un server centrale quando tentano di accedere. L'autenticazione viene eseguita utilizzando una combinazione di informazioni utente, credenziali, certificati e token di autenticazione a più fattori.
SSO è spesso sfruttato da zero reti di fiducia per soddisfare il loro bisogno di autorizzazione e autenticazione continue. SSO aveva bisogno di una soluzione per consentire agli utenti di raggiungere servizi basati su cloud situati al di fuori della rete aziendale e al di fuori della portata di zero trust. Era necessario uno standard per la federazione delle credenziali di sicurezza.
SAML ha rapidamente guadagnato terreno e ha trovato il favore dei fornitori di servizi basati su cloud. Colpitori pesanti come Google, Microsoft, IBM, Red Hat e Oracle hanno consigliato, adottato e sostenuto SAML.
Utilizzando SAML, un'organizzazione può inviare informazioni di sicurezza come identità e privilegi di accesso a un fornitore di servizi in modo sicuro e standardizzato.
Scenari di comunicazione SAML
Ci sono tre entità principali in una comunicazione SAML.
- L'utente finale. Questa è la persona che desidera utilizzare la risorsa remota, la risorsa o il servizio basato su cloud.
- Un fornitore di identità o idP. L'idP fornisce risorse online per fornire l'autenticazione agli utenti finali sulla rete.
- Un fornitore di servizi deve fidarsi dell'idP. Gli utenti che sono stati identificati e autenticati dall'idP sono considerati attendibili dal fornitore di servizi, che fornisce all'utente finale l'accesso al servizio.
Quando un utente finale accede al proprio account aziendale e utilizza una delle sue scorciatoie o collegamenti al dashboard per accedere alle risorse remote, viene autenticato con l'idP. L'idP invia un messaggio SAML al fornitore di servizi. Questo avvia una conversazione SAML tra l'idP e il fornitore di servizi. Se l'idP verifica l'identità dell'utente finale, il fornitore di servizi accetta l'utente finale come in buona fede e gli concede l'accesso ai propri servizi.
Pubblicità
Se l'utente finale non è stato autenticato dall'idP prima di effettuare una richiesta al fornitore di servizi, il fornitore di servizi lo reindirizza all'idP in modo che possa accedere e stabilire la propria identità. L'idP comunica quindi con il fornitore di servizi per autenticare l'utente finale e reindirizza l'utente finale al fornitore di servizi.
I provider di identità sono gli intermediari dell'intero processo. Senza di loro, il sistema non funzionerà. Esistono organizzazioni che soddisfano tale requisito, fornendo servizi di provider di identità con cui le aziende possono collaborare per utilizzare i propri servizi SAML. Altre organizzazioni ti guideranno nel diventare il tuo provider di identità.
Asserzioni SAML
Un'asserzione SAML è il documento XML inviato dall'idP al provider di servizi . Esistono tre diversi tipi di asserzioni SAML — autenticazione, attributo e decisione di autorizzazione.
- Asserzioni di autenticazioneverificare l'identificazione dell'utente. Forniscono anche alcuni metadati correlati, come l'ora in cui hanno effettuato l'accesso e quali fattori sono stati utilizzati per accedere e stabilire l'autenticazione.
- Le asserzioni di attribuzione vengono utilizzate per trasferire i pezzi specifici di dati che forniscono informazioni sull'utente al fornitore di servizi. Queste informazioni sono note come attributi SAML.
- Asserzioni sulla decisione di autorizzazionecontenere la decisione dell'ipD se l'utente è autorizzato o non autorizzato a utilizzare il servizio. Questo è leggermente diverso dalle asserzioni di autenticazione. Le asserzioni di autenticazione dicono che l'idP sa chi è l'individuo. Le asserzioni sulla decisione di autorizzazione indicano se quella persona ha i privilegi necessari per accedere al servizio o alla risorsa richiesta.
E riguardo a OAuth e WS -FED?
SAML è più spesso utilizzato dalle aziende per accedere in modo sicuro e—almeno, dal punto di vista di un utente—semplicemente a servizi esterni per i quali l'azienda paga. Fornitori di servizi come Salesforce, Go Daddy, Dropbox, Nokia e molti dipartimenti governativi e civili utilizzano SAML.
OAuth, o autorizzazione aperta, è un protocollo di autorizzazione a standard aperto utilizzato principalmente da app e servizi consumer. Invece di dover creare un'identità quando crei un account, una piattaforma abilitata per OAuth potrebbe consentirti di “accedere con Google”, Facebook o Twitter. In effetti stai utilizzando Twitter o Facebook o chiunque altro come provider di identità. Ti consente di utilizzare un'organizzazione considerata attendibile dalla piattaforma su cui stai creando l'account per garantire la tua identità. Lo fa in un modo che non richiede la condivisione della password di Google, Twitter o Facebook. Se la nuova piattaforma subisce una violazione dei dati, le tue credenziali non vengono esposte.
Pubblicità
Web Services Federation svolge lo stesso lavoro di SAML. Associa l'autenticazione e l'autorizzazione dai provider di servizi a un provider di identità comune e affidabile. Ha una penetrazione inferiore rispetto a SAML, anche se è supportato da provider di identità come Active Directory Federation Services di Microsoft, ma non ha compiuto progressi significativi con i provider di cloud.
Halt, Who Goes There?
SAML facilita il single sign-on con un'identità federata, che è sfruttata da reti zero trust.
È 8217;è come un privato che può dire alla sentinella: “Il colonnello verrà a garantire per me tra un momento.”