Кіраўніцтва распрацоўшчыка па аўтэнтыфікацыі SAML [3 Online Tools]

У сучасным свеце вельмі важна спрасціць кіраванне паролямі. Па меры таго, як кампаніі рухаюцца наперад у лічбавым фармаце, супрацоўнікі часцей, чым калі-небудзь, выкарыстоўваюць інструменты для сумеснай працы, абмену паведамленнямі і захоўвання.

Гэта стварае праблему для распрацоўшчыкаў: як забяспечыць супрацоўнікам бяспечны доступ да ўнутраных праграм і даных, якія захоўваюцца ў воблаку? Для многіх адказ – аўтэнтыфікацыя SAML!

Што такое SAML?

Security Assertion Markup Language або SAML – гэта адкрыты стандарт, які спрашчае працэсы аўтэнтыфікацыі. Ён заснаваны на XML (Extensible Markup Language), які стандартызуе сувязь паміж аб’ектамі, якія падлягаюць аўтэнтыфікацыі, і вэб-службай або дадаткам. Іншымі словамі, SAML – гэта тое, што дазваляе выкарыстоўваць адзін лагін для ўваходу ў некалькі розных прыкладанняў.

З аднаго боку, пастаўшчыку паслуг патрэбна аўтэнтыфікацыя пастаўшчыка ідэнтыфікацыйных дадзеных (IdP), каб даць аўтарызацыю карыстальніку. Напрыклад, Salesforce з’яўляецца пастаўшчыком паслуг, які абапіраецца на пастаўшчыка ідэнтыфікацыі для аўтэнтыфікацыі карыстальнікаў.

З іншага боку, пастаўшчык ідэнтыфікацыі пацвярджае, што канчатковы карыстальнік – гэта тое, за каго ён сябе выдае, і адпраўляе гэтыя дадзеныя пастаўшчыку паслуг разам з правамі доступу карыстальніка да службы. Адным з прыкладаў з’яўляецца AuthO, адзін з лідэраў у прадастаўленні рашэнняў ідэнтыфікацыі.

Як наконт сістэмы адзінага ўваходу SAML?

Адна з асноўных роляў SAML – уключыць SSO. Да SAML сістэма SSO была магчымая, але залежала ад файлаў cookie і працаздольная толькі ў тым жа дамене.

SAML забяспечвае адзіны ўваход (SSO), дазваляючы карыстальнікам атрымліваць доступ да некалькіх прыкладанняў з дапамогай аднаго ўваходу і набору ўліковых дадзеных. Хаця SAML не новы, ён існуе з 2002 года, і многія новыя прыкладанні і кампаніі SaaS выкарыстоўваюць SAML для SSO. Яе апошняя версія, SAML 2.0, уключае міждаменную сістэму адзінага ўваходу ў Інтэрнэце і з’яўляецца стандартам для аўтарызацыі рэсурсаў.

Якія перавагі аўтэнтыфікацыі SAML?

SAML прыносіць шмат пераваг для бяспекі, карыстальнікаў і іншых пастаўшчыкоў паслуг (SP).

Праверце гэта:  Як выкарыстоўваць Apple HomePod у якасці дамафона

Прастата: карыстальнікі ўваходзяць у IdP толькі адзін раз, а затым атрымліваюць бясшвоўны і больш бяспечны доступ да ўсіх прыкладанняў.

Падвышаная бяспека: многія пастаўшчыкі паслуг не маюць часу або рэсурсаў для ўкаранення і забеспячэння бяспечнай аўтэнтыфікацыі карыстальнікаў пры ўваходзе ў сістэму. Як правіла, IdP лепш абсталяваны для аўтэнтыфікацыі ідэнтыфікацыі карыстальнікаў. Вяртаючы аўтэнтыфікацыю да IdP, SAML забяспечвае бяспечную аўтэнтыфікацыю, якая можа прымяняць некалькі слаёў бяспекі, напрыклад MFA.

Палепшаны карыстацкі досвед: з дапамогай SAML вашы карыстальнікі могуць развітацца з галаўным болем ад спроб запомніць некалькі імёнаў карыстальнікаў і пароляў

Скарачэнне выдаткаў на кіраванне: пастаўшчыкі паслуг могуць палепшыць бяспеку сваёй платформы без захоўвання пароляў. Няма неабходнасці вырашаць праблемы са забытым паролем. Даведкавая служба зніжае выдаткі і вызваляе тэхнічныя каманды для працы з іншымі тэрміновымі запытамі.

Што такое Auth0 і як ён звязаны з аўтэнтыфікацыяй SAML?

Auth0 – гэта платформа, якая забяспечвае паслугу аўтэнтыфікацыі і аўтарызацыі карыстальнікаў. Гэта можа быць як IdP, так і SP. Auth0 прапануе універсальны ўваход, які можна інтэграваць з SAML. Распрацоўшчыкі часта выкарыстоўваюць Auth0 з SAML, каб дыверсіфікаваць рызыку, маючы некалькі IdP.

Auth0 можна выкарыстоўваць практычна з усімі асноўнымі мовамі і API. Ён таксама можа быць інтэграваны з сацыяльнымі правайдэрамі, базамі дадзеных і каталогамі LDAP.

SAML SSO Flow

Адна з асноўных роляў SAML – уключыць адзіны ўваход (SSO). Да SAML SSO быў магчымы, але залежаў ад файлаў cookie і быў жыццяздольным толькі ў тым жа дамене.

SAML забяспечвае SSO, дазваляючы карыстальнікам атрымліваць доступ да некалькіх прыкладанняў з дапамогай аднаго лагіна і ўліковых дадзеных. SAML не новы, ён існуе з 2002 года, і многія новыя прыкладанні і SaaS кампаніі выкарыстоўваюць SAML для SSO. Яе апошняя версія, SAML 2.0, уключае міждаменную сістэму адзінага ўваходу ў Інтэрнэце і з’яўляецца стандартам для аўтарызацыі рэсурсаў.

У канкрэтных тэрмінах, гэта ўключае ў сябе запыт аўтэнтыфікацыі ад карыстальніка толькі адзін раз, калі апошні выкарыстоўвае розныя праграмы. Напрыклад, мы можам падумаць аб аўтэнтыфікацыі Google, сумеснай паміж рознымі сэрвісамі Gmail, Youtube, Google Apps і г.д.

У такім рэжыме працы Google з’яўляецца пастаўшчыком ідэнтыфікацыйных дадзеных (IdP) для сваіх паслуг. Гэтыя паслугі называюцца «пастаўшчыкамі паслуг» (SP).

Праверце гэта:  Як падзяліцца фота і відэа з вашага iPhone

Аўтэнтыфікацыя

Пры падключэнні да знешняй праграмы невядомы карыстальнік адпраўляецца на карпаратыўны IdP. Гэты IdP з’яўляецца вэб-службай, даступнай праз HTTPS. Ён можа размяшчацца ўнутры або звонку.

Унутраная аўтэнтыфікацыя

Затым карыстальнік пацвярджае сваю асобу IdP. Гэты этап можа быць выкананы шляхам відавочнай аўтэнтыфікацыі (лагін/пароль) або шляхам распаўсюджвання ўжо існуючага токена.

Спараджэнне зацвярджэння

Затым IdP згенеруе «токен», свайго роду пасведчанне асобы карыстальніка, сапраўднае толькі для запытанай паслугі і на працягу пэўнага часу. У гэтым токене мы знойдзем, у прыватнасці:

  • Ідэнтычнасць карыстальніка: лагін, электронная пошта ці іншыя палі
  • Неабавязковыя дадатковыя атрыбуты: прозвішча, імя, мова і інш.
  • Тэрмін дзеяння токена
  • Подпіс токена IdP

Перадача ад IdP да SP

У найбольш практычным рэжыме зацвярджэнне не перадаецца непасрэдна ад IdP да SP, а праз самога карыстальніка. З дапамогай механізму адмовы HTTP IdP прадаставіць браўзеру кліента маркер для перадачы пастаўшчыку паслуг. Яго можна параўнаць з пасведчаннем асобы, якое выдае прэфектура для прад’яўлення ў любы орган.

Спажыванне токена ІП

Пастаўшчык паслуг атрымлівае токен ад карыстальніка. SP вырашыў давяраць гэтаму IdP. Ён таксама правярае подпіс і цэласнасць токена, а таксама тэрмін дзеяння. Калі тэсты канчатковыя, SP адкрывае сеанс для карыстальніка.

Крыніца: Вікіпедыя

Аўтэнтыфікацыя SAML Vs. Аўтарызацыя карыстальніка

Часта аўтэнтыфікацыю SAML блытаюць з аўтарызацыяй. Для яснасці важна размежаваць паняцці аўтэнтыфікацыі і аўтарызацыі.

Аўтэнтыфікацыя: гэта праверка асобы карыстальніка; у асноўным, правяраецца, ці з’яўляюцца яны тымі, за каго сябе выдаюць. Прыкладам можа служыць выкарыстанне электроннай пошты і пароля для доступу да сістэмы – адзін сеанс або ўваход на іншыя платформы.

Аўтарызацыя: гэта дазволы, якія карыстальнік дае інструментам трэцяга боку для доступу да рэсурсаў у сваім уліковым запісе. З адабрэння карыстальніка пратакол аўтарызацыі абменьваецца токенамі без доступу да яго ўліковых дадзеных. Звычайна вы робіце гэта, калі дазваляеце платформе (напрыклад, Facebook) доступ да пэўнай інфармацыі з вашага ўліковага запісу Google.

Тэрміналогіі SAML, якія трэба ведаць

Зацвярджэнне SAML

Сцверджанні SAML звычайна перадаюцца пастаўшчыкамі пасведчанняў пастаўшчыкам паслуг. Сцверджанні ўтрымліваюць заявы, якія пастаўшчыкі паслуг выкарыстоўваюць для прыняцця рашэнняў аб кантролі доступу. SAML прапануе тры тыпы дэкларацый:

  • Заявы аўтэнтыфікацыі сцвярджаюць, што пастаўшчык паслуг сапраўды быў аўтэнтыфікаваны ў пастаўшчыка ідэнтыфікацыі ў пэўны час з дапамогай метаду аўтэнтыфікацыі.
  • Дэкларацыя атрыбута сцвярджае, што прадмет звязаны з пэўнымі атрыбутамі. Атрыбут – гэта проста пара імя-значэнне. Давяраючыя бакі выкарыстоўваюць атрыбуты для прыняцця рашэнняў аб кантролі доступу.
  • Упаўнаважаная заява аб рашэнні сцвярджае, што суб’екту дазволена дзейнічаць на рэсурсе, прадстаўляючы доказы гэтага. Выразнасць станаў рашэння аўтарызацыі ў SAML наўмысна абмежаваная.
Праверце гэта:  Як спампаваць відэа з hotstar на кампутар

Зацвярджэнне Бытавое абслугоўванне

Assertion Consumer Service або ACS – гэта пункт, куды пастаўшчык ідэнтыфікацыі перанакіроўвае пасля адказу аўтэнтыфікацыі карыстальніка. Кропка, да якой перанакіроўвае пастаўшчык ідэнтыфікацыі, – гэта канчатковая кропка HTTPS, якая перадае асабістую інфармацыю.

Стан рэле па змаўчанні

Гэта URL-адрас па змаўчанні, на які будзе перанакіраваны карыстальнік пасля аўтэнтыфікацыі паведамлення SAML. Стан рэле па змаўчанні выкарыстоўваецца для каардынацыі паведамленняў паміж пастаўшчыкамі ідэнтыфікатараў і пастаўшчыкамі паслуг.

SAML з’яўляецца шырока выкарыстоўваным пратаколам, і часта трэба расшыфраваць сцверджанні SAML. Ніжэй прыведзены некаторыя з лепшых інструментаў SAML для кадавання, дэкадавання і фарматавання паведамленняў і сцвярджэнняў SAML:

#1. Інструмент SAML

Інструмент SAMl ад OneDesign – гэта калекцыя інтэрнэт-інструментаў і набораў інструментаў SAML. Яны ўключаюць у сябе розныя інструменты для кадавання і дэкадавання паведамленняў SAML, шыфравання і дэшыфравання зацвярджэнняў, а таксама падпісання і праверкі паведамленняў і зацвярджэнняў SAML. SAMLtool таксама забяспечвае некалькі розных плагінаў для інтэграцыі гэтых інструментаў з некалькімі CMS.

#2. Samtool.io

Прапанавана Auth0, samltool.io гэта інтэрнэт-інструмент, які таксама дэкадуе, правярае і правярае SAML-паведамленні і сцверджанні шляхам простай устаўкі неапрацаваных XML або URL-адрасоў, якія змяшчаюць запыты.

#3. SAM дэкодэр

SAM дэкодэр гэта просты онлайн-інструмент для дэкадавання SAML, які прапануе PingIdentity. Дэкодэр SAM можна выкарыстоўваць для дэкадавання, раздзімання і фарматавання паведамленняў, сцвярджэнняў і метададзеных SAML.

Заключнае слова

Стандарт SAML вельмі карысны для рэалізацыі асобніка цэнтральнай аўтэнтыфікацыі на аснове мовы разметкі. Адной з яго істотных пераваг з’яўляецца тое, што ён прапануе высокую эфектыўнасць і высокі стандарт бяспекі.

У прыватнасці, колькасць магчымых уцечак бяспекі зведзена да мінімуму, паколькі асобныя праграмы не павінны захоўваць або сінхранізаваць дадзеныя карыстальніка. Такім чынам дасягаецца адна з асноўных задач, якая заключаецца ў сумяшчэнні высокай ступені бяспекі з найлепшым магчымым узроўнем прастаты выкарыстання.

Вы таксама можаце паглядзець некаторыя з лепшых платформ аўтэнтыфікацыі карыстальнікаў.