У данашњем свету, поједностављење управљања лозинкама је од суштинског значаја. Како компаније напредују у дигитализацији, запослени користе алате за сарадњу, размену порука и складиштење више него икада.
Ово представља изазов за програмере: како запосленима обезбедити сигуран приступ интерним апликацијама и подацима ускладиштеним у облаку? За многе, одговор је САМЛ аутентификација!
Преглед садржаја
Шта је САМЛ?
Сецурити Ассертион Маркуп Лангуаге или САМЛ је отворени стандард који поједностављује процесе аутентификације. Заснован је на КСМЛ-у (Ектенсибле Маркуп Лангуаге), који стандардизује комуникацију између ентитета који се аутентификују и веб услуге или апликације. Другим речима, САМЛ је оно што омогућава коришћење једне пријаве за пријављивање на више различитих апликација.
С једне стране, провајдеру услуга је потребна аутентикација провајдера идентитета (ИдП) да би кориснику доделила овлашћење. На пример, Салесфорце је добављач услуга који се ослања на провајдера идентитета за аутентификацију корисника.
С друге стране, провајдер идентитета потврђује да је крајњи корисник оно за кога кажу да јесте и шаље те податке провајдеру услуге заједно са правима приступа корисника сервису. Један пример је АутхО, један од лидера у пружању решења за идентитет.
Шта је са САМЛ јединственом пријавом?
Једна од главних улога САМЛ-а је да омогући ССО. Пре САМЛ-а, ССО је био могућ, али је зависио од колачића и одржив само на истом домену.
САМЛ омогућава једноструко пријављивање (ССО) омогућавајући корисницима да приступе више апликација са једном пријавом и скупом акредитива. Иако САМЛ није нов, постоји од 2002. године, а многе нове апликације и СааС компаније користе САМЛ за ССО. Његова најновија верзија, САМЛ 2.0, омогућава ССО на више домена заснован на вебу и представља стандард за ауторизацију ресурса.
Које су предности САМЛ аутентификације?
САМЛ доноси многе предности за безбедност, кориснике и друге добављаче услуга (СП).
Једноставност: Корисници се само једном пријављују на ИдП, а затим уживају у беспрекорном и сигурнијем приступу свим апликацијама.
Повећана безбедност: Многи СП-ови немају времена или ресурса да имплементирају и спроведу безбедну аутентификацију корисника при пријављивању. Генерално, ИдП су боље опремљени за аутентификацију корисничких идентитета. Враћајући аутентификацију ИдП-у, САМЛ омогућава безбедну аутентификацију која може применити више слојева безбедности, као што је МФА.
Побољшано корисничко искуство: Са САМЛ-ом, ваши корисници могу да се опросте од главобоље покушаја да запамте више корисничких имена и лозинки
Смањени трошкови управљања: Добављачи услуга могу побољшати сигурност своје платформе без чувања лозинки. Нема потребе да се бавите проблемима заборављене лозинке. Служба за помоћ смањује трошкове и ослобађа техничке тимове да се баве другим хитним захтевима.
Шта је Аутх0 и како је повезан са САМЛ аутентификацијом?
Аутх0 је платформа која пружа услугу аутентификације и ауторизације корисника. Може бити и као ИдП и СП. Аутх0 нуди универзалну пријаву која се може интегрисати са САМЛ-ом. Програмери често користе Аутх0 са САМЛ-ом да би диверзификовали ризик тако што имају више ИдП-а.
Аутх0 се може користити са скоро свим главним језицима и АПИ-јима. Такође се може интегрисати са друштвеним провајдерима, базама података и ЛДАП директоријумима.
САМЛ ССО ток
Једна од главних улога САМЛ-а је да омогући јединствену пријаву (ССО). Пре САМЛ-а, ССО је био могућ, али је зависио од колачића и био је одржив само на истом домену.
САМЛ омогућава ССО омогућавајући корисницима да приступе више апликација са једном пријавом и акредитивима. САМЛ није нов, постоји од 2002. године, а многе нове апликације и СааС компаније користе САМЛ за ССО. Његова најновија верзија, САМЛ 2.0, омогућава ССО на више домена заснован на вебу и представља стандард за ауторизацију ресурса.
Конкретно, ово укључује тражење аутентификације од корисника само једном када овај користи различите апликације. На пример, можемо замислити Гоогле аутентификацију, која се дели између различитих услуга Гмаил, Иоутубе, Гоогле Аппс, итд.
У овом начину рада, Гоогле је добављач идентитета (ИдП) за своје услуге. Ове услуге се називају „провајдери услуга“ (СП).
Аутентикација
Када се повезује са спољном апликацијом, она шаље непознатог корисника корпоративном ИдП-у. Овај ИдП је веб услуга доступна преко ХТТПС-а. Може се хостовати интерно или екстерно.
Интерна аутентификација
Корисник тада доказује свој идентитет ИдП-у. Ова фаза се може обавити експлицитном аутентификацијом (логин/лозинка) или пропагацијом већ постојећег токена.
Генерисање тврдње
ИдП ће тада генерисати „токен“, неку врсту корисничке личне карте, која важи само за тражену услугу и за одређено време. У овом знаку ћемо посебно пронаћи:
- Идентитет корисника: логин, емаил или друга поља
- Опциони додатни атрибути: презиме, име, језик итд.
- Период важења токена
- Потпис токена од ИдП-а
Пренос од ИдП до СП
У најпрактичнијем режиму, тврдња се не преноси директно од ИдП-а до СП-а, већ преко самог корисника. Путем ХТТП механизма одбијања, ИдП ће клијентском претраживачу обезбедити токен за пренос добављачу услуга. Може се упоредити са личном картом коју је дала префектура за предочење било којој власти.
Потрошња токена од стране СП
Провајдер сервиса прима токен од корисника. СП је одлучио да верује овом ИдП-у. Такође потврђује потпис и интегритет токена, као и период важења. Ако су тестови коначни, СП отвара сесију кориснику.
Извор: Википедија
САМЛ аутентикација вс. Ауторизација корисника
САМЛ аутентификација се често меша са ауторизацијом. Ради јасноће, важно је разликовати концепте аутентификације и ауторизације.
Аутентификација: то је потврда идентитета корисника; у суштини, проверава се да ли су они за које кажу да јесу. Пример је коришћење е-поште и лозинке за приступ систему – једна сесија или пријављивање за друге платформе.
Ауторизација: ово су дозволе које корисник даје алату треће стране за приступ ресурсима на свом налогу. Уз одобрење корисника, протокол ауторизације размењује токене без приступа њиховим акредитивима. Обично то радите када дозволите платформи (као што је Фацебоок) да приступи одређеним информацијама са вашег Гоогле налога.
Терминологије САМЛ-а које морате знати
САМЛ тврдња
САМЛ тврдње обично прослеђују добављачи идентитета добављачима услуга. Тврдње садрже изјаве које провајдери услуга користе за доношење одлука о контроли приступа. САМЛ обезбеђује три типа декларација:
- Изјаве о аутентификацији потврђују да је провајдер услуга заиста био аутентификован код провајдера идентитета у датом тренутку помоћу методе аутентификације.
- Декларација атрибута потврђује да је субјект повезан са одређеним атрибутима. Атрибут је једноставно пар име-вредност. Поуздане стране користе атрибуте за доношење одлука о контроли приступа.
- Овлашћена изјава о одлуци потврђује да је субјекту дозвољено да делује на извору тако што ће представити доказе за то. Изражајност одлука о овлашћењу у САМЛ-у намерно је ограничена.
Ассертион Цонсумер Сервице
Ассертион Цонсумер Сервице или АЦС је тачка на коју провајдер идентитета преусмерава након одговора на аутентификацију корисника. Тачка на коју добављач идентитета преусмерава је ХТТПС крајња тачка која преноси личне податке.
Подразумевано стање релеја
То је подразумевана УРЛ адреса на коју ће корисник бити преусмерен након што се САМЛ порука потврди. Подразумевано стање релеја се користи за координацију порука између ИдП и СП.
САМЛ је широко коришћен протокол и често је потребно декодирати САМЛ тврдње. Следе неке од најбољих САМЛ алатки за кодирање, декодирање и форматирање САМЛ порука и тврдњи:
#1. САМЛтоол
САМлтоол би ОнеДесигн је колекција онлајн САМЛ алата и комплета алата. Ово укључује различите алате за кодирање и декодирање САМЛ порука, шифровање и дешифровање тврдњи, као и потписивање и валидацију САМЛ порука и тврдњи. САМЛтоол такође нуди неколико различитих додатака за интеграцију ових алата са неколико ЦМС-а.
#2. Самтоол.ио
Нуди Аутх0, самлтоол.ио је онлајн алатка која такође декодира, проверава и верификује САМЛ поруке и тврдње једноставним лепљењем сировог КСМЛ-а или УРЛ-ова који садрже захтеве.
#3. САМ декодер
САМ декодер је једноставан онлајн алат за декодирање САМЛ-а који нуди ПингИдентити. САМ декодер се може користити за декодирање, надувавање и форматирање САМЛ порука, тврдњи и метаподатака.
Завршне речи
САМЛ стандард је веома користан за имплементацију централне инстанце аутентификације засноване на језику за означавање. Једна од његових значајних предности је то што нуди високу ефикасност и висок стандард безбедности.
Конкретно, број могућих безбедносних цурења је минимизиран јер појединачне апликације не морају да складиште или синхронизују корисничке податке. На овај начин се постиже један од примарних циљева, а то је помирење високог степена безбедности са најбољим могућим нивоом лакоће коришћења.
Такође можете погледати неке од најбољих платформи за аутентификацију корисника.