Στον σημερινό κόσμο, η απλοποίηση της διαχείρισης κωδικών πρόσβασης είναι απαραίτητη. Καθώς οι εταιρείες προχωρούν μπροστά στην ψηφιοποίηση, οι εργαζόμενοι χρησιμοποιούν εργαλεία συνεργασίας, ανταλλαγής μηνυμάτων και αποθήκευσης περισσότερο από ποτέ.
Αυτό θέτει μια πρόκληση για τους προγραμματιστές: πώς παρέχετε στους υπαλλήλους ασφαλή πρόσβαση σε εσωτερικές εφαρμογές και δεδομένα που είναι αποθηκευμένα στο cloud; Για πολλούς, η απάντηση είναι ο έλεγχος ταυτότητας SAML!
Πίνακας περιεχομένων
Τι είναι το SAML;
Security Assertion Markup Language ή SAML είναι ένα ανοιχτό πρότυπο που απλοποιεί τις διαδικασίες ελέγχου ταυτότητας. Βασίζεται σε XML (Extensible Markup Language), η οποία τυποποιεί την επικοινωνία μεταξύ των προς έλεγχο ταυτότητας οντοτήτων και της υπηρεσίας web ή της εφαρμογής. Με άλλα λόγια, το SAML είναι αυτό που καθιστά δυνατή τη χρήση μιας μόνο σύνδεσης για είσοδο σε πολλές διαφορετικές εφαρμογές.
Από τη μία πλευρά, ένας πάροχος υπηρεσιών χρειάζεται έλεγχο ταυτότητας παρόχου ταυτότητας (IdP) για να χορηγήσει εξουσιοδότηση στον χρήστη. Για παράδειγμα, το Salesforce είναι ένας πάροχος υπηρεσιών που βασίζεται σε έναν πάροχο ταυτότητας για τον έλεγχο ταυτότητας χρήστη.
Από την άλλη πλευρά, ένας πάροχος ταυτότητας επαληθεύει ότι ο τελικός χρήστης είναι αυτός που λένε ότι είναι και στέλνει αυτά τα δεδομένα στον πάροχο υπηρεσιών μαζί με τα δικαιώματα πρόσβασης του χρήστη στην υπηρεσία. Ένα παράδειγμα είναι η AuthO, ένας από τους ηγέτες στην παροχή λύσεων ταυτότητας.
Τι γίνεται με την απλή σύνδεση SAML;
Ένας από τους κύριους ρόλους του SAML είναι να ενεργοποιήσει το SSO. Πριν από το SAML, το SSO ήταν δυνατό αλλά εξαρτώμενο από cookies και βιώσιμο μόνο στον ίδιο τομέα.
Το SAML επιτρέπει την ενιαία σύνδεση (SSO) επιτρέποντας στους χρήστες να έχουν πρόσβαση σε πολλές εφαρμογές με μία μόνο σύνδεση και ένα σύνολο διαπιστευτηρίων. Αν και το SAML δεν είναι νέο, υπάρχει από το 2002 και πολλές νέες εφαρμογές και εταιρείες SaaS χρησιμοποιούν το SAML για SSO. Η πιο πρόσφατη έκδοσή του, SAML 2.0, ενεργοποιεί το Διαδικτυακό SSO μεταξύ τομέων και είναι το πρότυπο για την εξουσιοδότηση πόρων.
Ποια είναι τα οφέλη του ελέγχου ταυτότητας SAML;
Το SAML φέρνει πολλά οφέλη για την ασφάλεια, τους χρήστες και άλλους παρόχους υπηρεσιών (SP).
Απλότητα: Οι χρήστες συνδέονται στο IdP μόνο μία φορά και στη συνέχεια απολαμβάνουν απρόσκοπτη και πιο ασφαλή πρόσβαση σε όλες τις εφαρμογές.
Αυξημένη ασφάλεια: Πολλοί SP δεν έχουν το χρόνο ή τους πόρους για να εφαρμόσουν και να επιβάλουν ασφαλή έλεγχο ταυτότητας χρήστη κατά τη σύνδεση. Γενικά, τα IdP είναι καλύτερα εξοπλισμένα για τον έλεγχο ταυτότητας των χρηστών. Επιστρέφοντας τον έλεγχο ταυτότητας στο IdP, το SAML ενεργοποιεί τον ασφαλή έλεγχο ταυτότητας που μπορεί να εφαρμόσει πολλαπλά επίπεδα ασφάλειας, όπως το MFA.
Βελτιωμένη εμπειρία χρήστη: Με το SAML, οι χρήστες σας μπορούν να πουν αντίο στους πονοκεφάλους της προσπάθειας να θυμηθούν πολλά ονόματα χρήστη και κωδικούς πρόσβασης
Μειωμένο κόστος διαχείρισης: Οι πάροχοι υπηρεσιών μπορούν να βελτιώσουν την ασφάλεια της πλατφόρμας τους χωρίς να αποθηκεύουν κωδικούς πρόσβασης. Δεν χρειάζεται να ασχοληθείτε με ζητήματα ξεχασμένου κωδικού πρόσβασης. Το γραφείο βοήθειας μειώνει το κόστος και ελευθερώνει τις τεχνικές ομάδες για να αντιμετωπίσουν άλλα επείγοντα αιτήματα.
Τι είναι το Auth0 και πώς συνδέεται με τον έλεγχο ταυτότητας SAML;
Το Auth0 είναι μια πλατφόρμα που παρέχει υπηρεσία ελέγχου ταυτότητας και εξουσιοδότησης χρήστη. Μπορεί να είναι τόσο ως IdP όσο και ως SP. Το Auth0 προσφέρει μια καθολική σύνδεση που μπορεί να ενσωματωθεί με το SAML. Οι προγραμματιστές χρησιμοποιούν συχνά το Auth0 με SAML για να διαφοροποιήσουν τον κίνδυνο έχοντας πολλαπλά IdP.
Το Auth0 μπορεί να χρησιμοποιηθεί με σχεδόν όλες τις κύριες γλώσσες και API. Μπορεί επίσης να ενσωματωθεί με παρόχους κοινωνικής δικτύωσης, βάσεις δεδομένων και καταλόγους LDAP.
SAML SSO Ροή
Ένας από τους κύριους ρόλους του SAML είναι να ενεργοποιεί την single sign-on (SSO.) Πριν από το SAML, το SSO ήταν δυνατό, αλλά εξαρτιόταν από cookie και ήταν βιώσιμο μόνο στον ίδιο τομέα.
Το SAML δίνει τη δυνατότητα SSO επιτρέποντας στους χρήστες να έχουν πρόσβαση σε πολλές εφαρμογές με μία μόνο σύνδεση και διαπιστευτήρια. Το SAML δεν είναι νέο, υπάρχει από το 2002 και πολλές νέες εφαρμογές και εταιρείες SaaS χρησιμοποιούν SAML για SSO. Η πιο πρόσφατη έκδοσή του, SAML 2.0, ενεργοποιεί το Διαδικτυακό SSO μεταξύ τομέων και είναι το πρότυπο για την εξουσιοδότηση πόρων.
Με συγκεκριμένους όρους, αυτό περιλαμβάνει την αίτηση ελέγχου ταυτότητας από τον χρήστη μόνο μία φορά όταν ο τελευταίος χρησιμοποιεί διαφορετικές εφαρμογές. Για παράδειγμα, μπορούμε να σκεφτούμε τον έλεγχο ταυτότητας Google, κοινόχρηστο μεταξύ των διαφορετικών υπηρεσιών Gmail, Youtube, Google Apps κ.λπ.
Σε αυτόν τον τρόπο λειτουργίας, η Google είναι ο πάροχος ταυτότητας (IdP) για τις υπηρεσίες της. Αυτές οι υπηρεσίες ονομάζονται «πάροχοι υπηρεσιών» (SP).
Αυθεντικοποίηση
Κατά τη σύνδεση στην εξωτερική εφαρμογή, στέλνει τον άγνωστο χρήστη στο εταιρικό IdP. Αυτό το IdP είναι μια υπηρεσία Ιστού προσβάσιμη σε HTTPS. Μπορεί να φιλοξενηθεί εσωτερικά ή εξωτερικά.
Εσωτερικός έλεγχος ταυτότητας
Στη συνέχεια, ο χρήστης αποδεικνύει την ταυτότητά του στο IdP. Αυτή η φάση μπορεί να γίνει με ρητό έλεγχο ταυτότητας (σύνδεση/κωδικός πρόσβασης) ή με διάδοση ενός προϋπάρχοντος διακριτικού.
Δημιουργία του ισχυρισμού
Στη συνέχεια, το IdP θα δημιουργήσει ένα «token», ένα είδος ταυτότητας χρήστη, που θα ισχύει μόνο για την υπηρεσία που ζητήθηκε και για δεδομένο χρόνο. Σε αυτό το σημείο, θα βρούμε συγκεκριμένα:
- Η ταυτότητα του χρήστη: σύνδεση, email ή άλλα πεδία
- Προαιρετικά πρόσθετα χαρακτηριστικά: επώνυμο, όνομα, γλώσσα κ.λπ.
- Μια περίοδος ισχύος του διακριτικού
- Μια υπογραφή του διακριτικού από το IdP
Μετάδοση από IdP σε SP
Στην πιο πρακτική λειτουργία, ο ισχυρισμός δεν μεταβιβάζεται απευθείας από το IdP στο SP αλλά μέσω του ίδιου του χρήστη. Μέσω ενός μηχανισμού αναπήδησης HTTP, το IdP θα παρέχει στο πρόγραμμα περιήγησης πελάτη το διακριτικό για μετάδοση στον πάροχο υπηρεσιών. Μπορεί να συγκριθεί με το δελτίο ταυτότητας που παρέχει η νομαρχία για να προσκομιστεί σε οποιαδήποτε αρχή.
Κατανάλωση του token από το SP
Ο πάροχος υπηρεσιών λαμβάνει το διακριτικό από τον χρήστη. Το SP επέλεξε να εμπιστευτεί αυτό το IdP. Επικυρώνει επίσης την υπογραφή και την ακεραιότητα του διακριτικού, καθώς και την περίοδο ισχύος. Εάν οι δοκιμές είναι οριστικές, το SP ανοίγει μια περίοδο λειτουργίας στο χρήστη.
Πηγή: Wikipedia
Έλεγχος ταυτότητας SAML Vs. Εξουσιοδότηση χρήστη
Συχνά ο έλεγχος ταυτότητας SAML συγχέεται με την εξουσιοδότηση. Για λόγους σαφήνειας, είναι σημαντικό να διαφοροποιηθούν οι έννοιες του ελέγχου ταυτότητας και της εξουσιοδότησης.
Έλεγχος ταυτότητας: είναι η επικύρωση της ταυτότητας του χρήστη. βασικά, επαληθεύεται αν είναι αυτοί που λένε ότι είναι. Ένα παράδειγμα είναι η χρήση email και κωδικού πρόσβασης για πρόσβαση σε ένα σύστημα – μία μόνο περίοδος σύνδεσης ή σύνδεση για άλλες πλατφόρμες.
Εξουσιοδότηση: πρόκειται για τα δικαιώματα που δίνει ο χρήστης σε ένα εργαλείο τρίτου μέρους για πρόσβαση σε πόρους του λογαριασμού του. Με την έγκριση του χρήστη, το πρωτόκολλο εξουσιοδότησης ανταλλάσσει διακριτικά χωρίς πρόσβαση στα διαπιστευτήριά του. Συνήθως το κάνετε αυτό όταν επιτρέπετε σε μια πλατφόρμα (όπως το Facebook) να έχει πρόσβαση σε ορισμένες πληροφορίες από τον λογαριασμό σας Google.
Πρέπει να γνωρίζετε τις ορολογίες του SAML
Ισχυρισμός SAML
Οι ισχυρισμοί SAML συνήθως μεταβιβάζονται από τους παρόχους ταυτότητας στους παρόχους υπηρεσιών. Οι ισχυρισμοί περιέχουν δηλώσεις που χρησιμοποιούν οι πάροχοι υπηρεσιών για τη λήψη αποφάσεων ελέγχου πρόσβασης. Τρεις τύποι δηλώσεων παρέχονται από τη SAML:
- Οι δηλώσεις ελέγχου ταυτότητας βεβαιώνουν ότι ο πάροχος υπηρεσιών όντως πιστοποιήθηκε με τον πάροχο ταυτότητας σε μια δεδομένη στιγμή με μια μέθοδο ελέγχου ταυτότητας.
- Μια δήλωση χαρακτηριστικών βεβαιώνει ότι ένα θέμα σχετίζεται με ορισμένα χαρακτηριστικά. Ένα χαρακτηριστικό είναι απλώς ένα ζεύγος ονόματος-τιμής. Τα εξαρτημένα μέρη χρησιμοποιούν τα χαρακτηριστικά για τη λήψη αποφάσεων ελέγχου πρόσβασης.
- Μια δήλωση εξουσιοδοτημένης απόφασης βεβαιώνει ότι ένα υποκείμενο επιτρέπεται να ενεργήσει σε έναν πόρο παρουσιάζοντας αποδεικτικά στοιχεία για αυτόν. Η εκφραστικότητα των καταστάσεων απόφασης εξουσιοδότησης στο SAML είναι σκόπιμα περιορισμένη.
Υποστήριξη Εξυπηρέτησης Καταναλωτών
Η Υπηρεσία Καταναλωτών Assertion ή ACS είναι το σημείο όπου ο πάροχος ταυτότητας ανακατευθύνει μετά την απόκριση ελέγχου ταυτότητας χρήστη. Το σημείο στο οποίο ανακατευθύνει ο πάροχος ταυτότητας είναι ένα τελικό σημείο HTTPS που μεταφέρει προσωπικές πληροφορίες.
Προεπιλεγμένη κατάσταση ρελέ
Είναι η προεπιλεγμένη διεύθυνση URL στην οποία ο χρήστης θα ανακατευθυνθεί μετά τον έλεγχο ταυτότητας του μηνύματος SAML. Η προεπιλεγμένη κατάσταση αναμετάδοσης χρησιμοποιείται για τον συντονισμό μηνυμάτων μεταξύ IdP και SP.
Το SAML είναι ένα ευρέως χρησιμοποιούμενο πρωτόκολλο και συχνά χρειάζεται να αποκωδικοποιήσει κανείς τους ισχυρισμούς SAML. Ακολουθούν μερικά από τα καλύτερα εργαλεία SAML για κωδικοποίηση, αποκωδικοποίηση και μορφοποίηση μηνυμάτων SAML και ισχυρισμών:
#1. SAMLtool
SAMltool από το OneDesign είναι μια συλλογή διαδικτυακών εργαλείων και εργαλείων SAML. Αυτά περιλαμβάνουν διάφορα εργαλεία για την κωδικοποίηση και την αποκωδικοποίηση μηνυμάτων SAML, την κρυπτογράφηση και την αποκρυπτογράφηση ισχυρισμών και την υπογραφή και επικύρωση μηνυμάτων και ισχυρισμών SAML. Το SAMLtool παρέχει επίσης πολλές διαφορετικές προσθήκες για την ενσωμάτωση αυτών των εργαλείων με πολλά CMS.
#2. Samtool.io
Προσφέρεται από το Auth0, samltool.io είναι ένα διαδικτυακό εργαλείο που επίσης αποκωδικοποιείτε, επιθεωρείτε και επαληθεύετε μηνύματα SAML και ισχυρισμούς απλώνοντας την επικόλληση raw XML ή διευθύνσεων URL που περιέχουν αιτήματα.
#3. Αποκωδικοποιητής SAM
Αποκωδικοποιητής SAM είναι ένα απλό διαδικτυακό εργαλείο για την αποκωδικοποίηση SAML που προσφέρεται από το PingIdentity. Ο αποκωδικοποιητής SAM μπορεί να χρησιμοποιηθεί για την αποκωδικοποίηση, τη διόγκωση και τη μορφοποίηση μηνυμάτων SAML, ισχυρισμών και μεταδεδομένων.
Τελικές Λέξεις
Το πρότυπο SAML είναι πολύ χρήσιμο για την υλοποίηση μιας κεντρικής παρουσίας ελέγχου ταυτότητας που βασίζεται στη γλώσσα σήμανσης. Ένα από τα σημαντικά πλεονεκτήματά του είναι ότι προσφέρει υψηλή απόδοση και υψηλό επίπεδο ασφάλειας.
Συγκεκριμένα, ο αριθμός των πιθανών διαρροών ασφαλείας ελαχιστοποιείται, καθώς οι μεμονωμένες εφαρμογές δεν χρειάζεται να αποθηκεύουν ή να συγχρονίζουν δεδομένα χρήστη. Με αυτόν τον τρόπο επιτυγχάνεται ένας από τους πρωταρχικούς στόχους, ο οποίος είναι ο συνδυασμός υψηλού βαθμού ασφάλειας με το καλύτερο δυνατό επίπεδο ευκολίας χρήσης.
Μπορείτε επίσης να δείτε μερικές από τις καλύτερες πλατφόρμες ελέγχου ταυτότητας χρήστη.