Geekly articles weekly

Wer verwendet das SAML 2.0-Authentifizierungsprotokoll?

In unserem Blog gehen wir häufig auf Fragen des Datenschutzes und der Autorisierung ein. Zum Beispiel haben wir über den neuen passwortlosen Autorisierungsstandard von WebAuthn gesprochen und sogar einen seiner Entwickler interviewt . Ebenfalls diskutiert wurde die DANE-Technologie für die Authentifizierung von DNS-Domänennamen. Heute werden wir über das SAML 2.0-Protokoll und diejenigen, die es verwenden, sprechen.


Fotos - Marco Verch - CC BY - Foto geändert

Was ist SAML?


SAML ist eine XML-basierte Auszeichnungssprache, die der Single Sign-On (SSO) -Technologie zugrunde liegt. Benutzer können mit einem einzigen Login / Passwort-Paar zwischen Anwendungen (z. B. Unternehmen) wechseln.

Mithilfe des SAML-Protokolls interagieren Kontoanbieter (IdP oder Identitätsanbieter) und Dienstanbieter (SP oder Dienstanbieter) miteinander, um die Identität von Anwendungsbenutzern sicher zu übertragen. Die Rolle eines Kontoproviders kann der Active Directory- Verzeichnisdienst und sogar eine einfache SQL-Datenbank mit Anmeldungen und Kennwörtern spielen. Ein Dienstanbieter kann eine beliebige Webanwendung sein, bei der sich ein Benutzer anmelden möchte (natürlich unterstützt er SAML).

Im Allgemeinen besteht der Authentifizierungsprozess aus den folgenden Schritten:

  1. Der Benutzer fordert Sie auf, es in der Anwendung von SP zu autorisieren.
  2. Der Dienstanbieter fordert eine Anmeldebestätigung von IdP an.
  3. Der Kontoprovider sendet eine spezielle SAML-Nachricht, in der angegeben wird, dass die Anmeldeinformationen korrekt oder falsch sind.
  4. Wenn die Daten korrekt sind, autorisiert der Anbieter den Benutzer.


Wer setzt es um


Das neueste wichtige Update für SAML, SAML 2.0, wurde 2005 veröffentlicht. Und seitdem ist das Protokoll ziemlich weit verbreitet. Es wird von Diensten wie Salesforce , Slack und GitHub unterstützt . Es wird sogar vom ESIA- Informationssystem zur Genehmigung staatlicher Dienste verwendet.

Es scheint, dass das Protokoll in so langer Zeit etwas Alltägliches hätte werden sollen, aber in letzter Zeit hat es wieder Interesse geweckt - eine große Anzahl von Artikeln wurde zu diesem Thema veröffentlicht ( hier und da ) und es gibt eine aktive Diskussion über soziale Netzwerke. SAML wurde auch von IaaS-Anbietern gestartet.

Vor einem Monat hat SAML beispielsweise den Azure Active Directory-Proxy-Dienst eingeführt, ein Tool für den Remotezugriff auf Webanwendungen. Nach Ansicht einiger Experten hat sich das Serviceentwicklungsunternehmen für dieses Protokoll entschieden, da es großen Unternehmen einen zuverlässigeren SSO-Anmeldeschutz bietet als Alternativen wie OAuth.

Ende Juli wurde auch bekannt, dass SAML in der AWS-Cloud erschien. Das Unternehmen hofft, dass Kunden auf diese Weise weniger Zeit für die Autorisierung aufwenden und sich auf die Lösung geschäftskritischer Probleme konzentrieren können.

Nicht nur Cloud-Anbieter, sondern auch gemeinnützige Organisationen achten auf das Protokoll. Vor einigen Wochen empfahl die Public Safety Technology Alliance (PSTA), die Technologie für die öffentliche Sicherheit fördert, ihren Partnern die Implementierung einer Autorisierung auf der Basis von SAML 2.0 und OpenID. Unter anderem wurden die Gründe hervorgehoben: die Reife der Technologien, ihre Verbreitung und Zuverlässigkeit.

Protokollgutachten


Zunächst stellen SAML-basierte Lösungsintegratoren fest, dass das Protokoll die Arbeit von Systemadministratoren in großen Unternehmen vereinfacht. Sie müssen nicht Dutzende von Passwörtern für verschiedene Unternehmensanwendungen für jeden Mitarbeiter nachverfolgen. Es reicht aus, wenn der Administrator jedem Mitarbeiter nur ein eindeutiges Benutzername / Kennwort-Paar für die einmalige Anmeldung aller Dienste zuweist. Dieser Ansatz bietet einen weiteren Vorteil: Wenn ein Mitarbeiter das Unternehmen verlässt, reicht es aus, seine Identifikationsdaten für die einmalige Anmeldung zu löschen. Es gibt aber auch negative Seiten.


Foto - Matthew Brodeur - Unsplash

Unter den Mängeln ist beispielsweise eine übermäßige Komplexität hervorzuheben . SAML basiert auf XML und ist daher syntaxintensiv. Darüber hinaus verfügt das Protokoll über eine große Anzahl optionaler Komponenten, was die Konfiguration von SSO erheblich erschwert.

Obwohl Sicherheitsexperten SAML als ziemlich zuverlässig betrachten, sind Schwachstellen in Hotelbibliotheken für SSO-Operationen ein Problem. Letztes Jahr haben Sicherheitsingenieure bei Duo Labs einen Fehler bei der Verarbeitung von XML-Kommentaren festgestellt . Durch Ändern des Felds Benutzername in einer SAML-Nachricht kann sich ein Angreifer als ein anderer Benutzer ausgeben. Eine wichtige Voraussetzung für die Durchführung eines Angriffs ist jedoch ein Konto im Netzwerk des Opfers.

In jedem Fall kann diese Sicherheitsanfälligkeit verringert werden (z. B. mithilfe einer Whitelist mit E-Mail-Adressen und Domänen für die Registrierung im Netzwerk). Daher sollte sie die weitere Verbreitung der Technologie unter IT-Unternehmen und Cloud-Anbietern nicht beeinträchtigen.

Worüber wir in unseren Blogs und sozialen Netzwerken schreiben:

Neue Open Source-Lizenzen
Das Open Invention Network hat mehr als dreitausend Lizenznehmer - was bedeutet das für Open Source-Software?

So schützen Sie einen virtuellen Server im Internet
So speichern Sie mit der API

Digest: 5 Bücher und ein Kurs über Netzwerke
Eine Auswahl von Büchern für diejenigen, die bereits mit der Systemadministration beschäftigt sind oder planen zu beginnen


Wir bei 1cloud.ru bieten den Service „ Cloud Object Storage “ an. Sie können Backups speichern und mit Archivdaten arbeiten.

Source: https://habr.com/ru/post/de463775/

More articles:


All Articles