Geekly articles weekly

من يستخدم بروتوكول المصادقة SAML 2.0

في مدونتنا ، نتطرق غالبًا إلى مسائل حماية البيانات والتخويل. على سبيل المثال ، تحدثنا عن معيار التخويل بدون كلمة مرور WebAuthn الجديد وقمنا بإجراء مقابلة مع أحد مطوريها. كما تمت مناقشة تكنولوجيا DANE لمصادقة اسم مجال DNS. اليوم سنتحدث عن بروتوكول SAML 2.0 وأولئك الذين يستخدمونه.


صور - ماركو Verch - CC BY - تعديل الصور

ما هو SAML


SAML هي لغة ترميز تستند إلى XML وتكمن في تقنية الدخول الموحد (SSO). إنه يمنح المستخدمين القدرة على التبديل بين التطبيقات (على سبيل المثال ، الشركة) من خلال زوج واحد لتسجيل الدخول / كلمة المرور.

باستخدام بروتوكول SAML ، يتواصل مزودو الحسابات (IdP أو موفر الهوية) ومقدمو الخدمة (SP ، أو مزود الخدمة) مع بعضهم البعض لنقل بيانات اعتماد مستخدمي التطبيق بشكل آمن. يمكن لعب دور موفر الحساب من خلال خدمة دليل Active Directory وحتى قاعدة بيانات SQL بسيطة مع تسجيلات الدخول وكلمات المرور. يمكن أن يكون مزود الخدمة أي تطبيق ويب يرغب المستخدم في تسجيل الدخول (بالطبع ، دعم SAML).

بشكل عام ، تتكون عملية المصادقة من الخطوات التالية:

  1. يطلب المستخدم تخويله في التطبيق من SP.
  2. يطلب مزود الخدمة تأكيد تسجيل الدخول من IdP.
  3. يرسل موفر الحساب رسالة SAML خاصة تفيد فيها بأن بيانات الاعتماد صحيحة أو غير صحيحة.
  4. إذا كانت البيانات صحيحة ، فسيقوم الموفر بتفويض المستخدم.


الذي ينفذها


تم نشر آخر تحديث رئيسي لـ SAML ، SAML 2.0 ، في عام 2005. ومنذ ذلك الحين ، أصبح البروتوكول واسع الانتشار. يتم دعمه بواسطة خدمات مثل Salesforce و Slack و GitHub . يتم استخدامه حتى من قبل نظام معلومات ESIA للحصول على إذن بشأن خدمات الدولة.

يبدو أنه في مثل هذا الوقت الطويل من المفترض أن يصبح البروتوكول شيئًا عاديًا ، لكنه زاد الاهتمام مؤخرًا - تم نشر عدد كبير من المقالات حول هذا الموضوع ( هنا وهناك ) ، وهناك مناقشة نشطة حول الشبكات الاجتماعية. تم إطلاق SAML من قِبل موفري IaaS.

على سبيل المثال ، قبل شهر ، قدمت SAML خدمة Azure Active Directory Proxy Service ، وهي أداة للحصول على وصول عن بعد إلى تطبيقات الويب. وفقًا لبعض الخبراء ، قررت شركة تطوير الخدمة استخدام هذا البروتوكول ، نظرًا لأنه يوفر حماية أكثر موثوقية لتسجيلات الدخول الموحد للشركات الكبرى من البدائل مثل OAuth.

في أواخر يوليو ، أصبح من المعروف أيضًا أن SAML ظهر في سحابة AWS. وتأمل الشركة أن يقضي العملاء بهذه الطريقة وقتًا أقل في الحصول على ترخيص وأن يكونوا قادرين على التركيز على حل مشكلات الأعمال الحرجة.

ليس فقط مقدمي الخدمات السحابية ، ولكن أيضًا المنظمات غير الهادفة للربح تولي اهتماما للبروتوكول. منذ أسبوعين ، أوصى تحالف تكنولوجيا السلامة العامة (PSTA) ، الذي يروج لتكنولوجيا السلامة العامة ، لشركائه بتفويض تطبيق يستند إلى SAML 2.0 و OpenID. ومن بين الأسباب التي تم تسليط الضوء عليها: نضج التكنولوجيات وانتشارها وموثوقيتها.

آراء البروتوكول


أولاً وقبل كل شيء ، لاحظ مُكملو الحلول المستندة إلى SAML أن البروتوكول يبسط عمل مسؤولي النظام في الشركات الكبيرة. ليس عليهم تتبع عشرات كلمات المرور لتطبيقات الشركات المختلفة لكل موظف. يكفي أن يحدد المسؤول لكل موظف زوجًا واحدًا فريدًا من اسم المستخدم / كلمة المرور لتسجيل الدخول الفردي لجميع الخدمات. يوفر هذا النهج ميزة أخرى: إذا غادر أحد الموظفين الشركة ، فهذا يكفي لإلغاء بيانات التعريف الخاصة به لتسجيل الدخول الفردي. ولكن هناك أيضا جوانب سلبية.


صور - ماثيو برودور - Unsplash

على سبيل المثال ، من بين أوجه القصور تسليط الضوء على التعقيد المفرط. تم تصميم SAML على أساس XML ، لذلك فهو مكثف في بناء الجملة. بالإضافة إلى ذلك ، يحتوي البروتوكول على عدد كبير من المكونات الاختيارية ، مما يعقد بشكل كبير تكوين SSO.

على الرغم من أن خبراء الأمن يعتبرون SAML موثوقة إلى حد ما ، إلا أن الثغرات الأمنية في المكتبات الفندقية لعمليات SSO تشكل مصدر قلق. في العام الماضي ، وجد مهندسو الأمن في Duo Labs خطأً في معالجة تعليقات XML. عن طريق تعديل حقل اسم المستخدم في رسالة SAML ، يمكن للمهاجم انتحال شخصية مستخدم آخر. ومع ذلك ، هناك شرط مهم لتنفيذ الهجوم وهو وجود حساب على شبكة الضحية.

في أي حال ، يمكن التخفيف من مشكلة عدم الحصانة هذه (على سبيل المثال ، استخدام قائمة بيضاء لعناوين البريد والمجالات للتسجيل على الشبكة) ، لذلك يجب ألا يؤثر على انتشار التكنولوجيا بين شركات تكنولوجيا المعلومات وموفري الخدمات السحابية.

ما نكتب عنه في مدوناتنا وشبكاتنا الاجتماعية:

تراخيص جديدة مفتوحة المصدر
تضم شبكة Open Invention Network أكثر من ثلاثة آلاف مرخّص لهم - ماذا يعني ذلك بالنسبة إلى البرامج مفتوحة المصدر

كيفية حماية خادم افتراضي على الإنترنت
كيفية حفظ باستخدام API

الملخص: 5 كتب ودورة واحدة على الشبكات
مجموعة مختارة من الكتب لأولئك الذين يشاركون بالفعل في إدارة النظام أو تخطط للبدء


نحن في 1cloud.ru نقدم خدمة " تخزين الكائنات السحابية ". يسمح لك بتخزين النسخ الاحتياطية والعمل مع بيانات الأرشيف.

Source: https://habr.com/ru/post/ar463775/

More articles:


All Articles