Dans notre blog, nous abordons souvent des questions de protection et d'autorisation des données. Par exemple, nous avons
parlé de la nouvelle norme d'autorisation sans mot de passe WebAuthn et même
interviewé l' un de ses développeurs. La technologie DANE pour l'authentification des noms de domaine DNS a également
été abordée . Aujourd'hui, nous allons parler du protocole SAML 2.0 et de ceux qui l'utilisent.
Photos - Marco Verch - CC BY - Photo modifiéeQu'est-ce que SAML
SAML est un langage de balisage basé sur XML qui sous-tend la technologie d'authentification unique (SSO). Il donne aux utilisateurs la possibilité de basculer entre les applications (par exemple, d'entreprise) avec une seule paire login / mot de passe.
À l'aide du protocole SAML, les fournisseurs de comptes (IdP ou fournisseur d'identité) et les fournisseurs de services (SP ou fournisseur de services) communiquent entre eux pour transférer en toute sécurité les informations d'identification des utilisateurs de l'application. Le rôle d'un fournisseur de compte peut être joué par le service d'annuaire
Active Directory et même une simple base de données SQL avec des connexions et des mots de passe. Un fournisseur de services peut être n'importe quelle application Web dans laquelle un utilisateur souhaite se connecter (bien sûr, prenant en charge SAML).
En général, le processus d'authentification comprend les étapes suivantes:
- L'utilisateur demande à l'autoriser dans l'application depuis SP.
- Le fournisseur de services demande une confirmation de connexion à IdP.
- Le fournisseur de compte envoie un message SAML spécial dans lequel il indique que les informations d'identification sont correctes ou incorrectes.
- Si les données sont correctes, le fournisseur autorisera l'utilisateur.
Qui le met en œuvre
La dernière mise à jour majeure de SAML, SAML 2.0, a
été publiée en 2005. Et depuis lors, le protocole est devenu assez répandu. Il est pris en charge par des services tels que
Salesforce ,
Slack et
GitHub . Il est même utilisé par le système d'information
EIES pour l'autorisation des services de l'État.
Il semblerait qu'en si longtemps le protocole aurait dû devenir quelque chose de banal, mais récemment il a de nouveau suscité l'intérêt - un grand nombre d'articles ont été publiés sur le sujet ( ici et là ), et il y a une discussion active sur les réseaux sociaux. SAML a également été lancé par des fournisseurs IaaS.
Par exemple, il y a un mois, SAML a
introduit le service proxy Azure Active Directory, un outil permettant d'accéder à distance aux applications Web. Selon certains experts, la société de développement de services a décidé d'utiliser ce protocole, car il offre une protection de connexion SSO plus fiable pour les grandes entreprises que des alternatives comme OAuth.
Fin juillet, il est également devenu connu que SAML
est apparu dans le cloud AWS. La société espère que les clients passeront ainsi moins de temps sur les autorisations et pourront se concentrer sur la résolution des problèmes critiques de l'entreprise.
Non seulement les fournisseurs de cloud, mais également les organisations à but non lucratif prêtent attention au protocole. Il y a quelques semaines, la Public Safety Technology Alliance (PSTA), qui promeut la technologie pour la sécurité publique, a
recommandé à ses partenaires de mettre en œuvre une autorisation basée sur SAML 2.0 et OpenID. Parmi les raisons soulignées: la maturité des technologies, leur prévalence et leur fiabilité.
Avis sur le protocole
Tout d'abord, les intégrateurs de solutions basés sur SAML notent que le protocole simplifie le travail des administrateurs système dans les grandes entreprises. Ils n'ont pas à suivre des dizaines de mots de passe pour différentes applications d'entreprise pour chaque employé. Il suffit que l'administrateur attribue à chaque employé une seule paire nom d'utilisateur / mot de passe unique pour une connexion unique à tous les services. Cette approche offre un autre avantage: si un employé quitte l'entreprise, il suffit d'annuler ses données d'identification pour une connexion unique. Mais il y a aussi des côtés négatifs.
Photo - Matthew Brodeur - UnsplashPar exemple, parmi les lacunes
soulignent une complexité excessive. SAML est construit sur la base de XML, il est donc gourmand en syntaxe. De plus, le protocole possède un grand nombre de composants facultatifs, ce qui complique considérablement la configuration de l'authentification unique.
Bien que les experts en sécurité considèrent SAML comme assez fiable, les vulnérabilités des bibliothèques d'hôtel pour les opérations SSO sont préoccupantes. L'année dernière, les ingénieurs en sécurité de Duo Labs ont
trouvé un bogue avec le traitement des commentaires XML. En modifiant le champ du nom d'utilisateur dans un message SAML, un attaquant peut usurper l'identité d'un autre utilisateur. Cependant, une condition importante pour mener une attaque est d'avoir un compte sur le réseau de la victime.
Dans tous les cas, cette vulnérabilité peut être atténuée (par exemple, en
utilisant une liste blanche d'adresses de messagerie et de domaines pour l'enregistrement sur le réseau), par conséquent, elle ne devrait pas affecter la propagation de la technologie entre les sociétés informatiques et les fournisseurs de cloud.
Ce que nous écrivons sur nos blogs et réseaux sociaux:
Nouvelles licences Open Source
L'Open Invention Network compte plus de trois mille licenciés - qu'est-ce que cela signifie pour les logiciels open source
Comment protéger un serveur virtuel sur Internet
Comment enregistrer en utilisant l'API
Digest: 5 livres et un cours sur les réseaux
Une sélection de livres pour ceux qui sont déjà engagés dans l'administration du système ou envisagent de commencer
Chez 1cloud.ru, nous proposons le service «
Cloud Object Storage ». Il vous permet de stocker des sauvegardes et de travailler avec des données d'archive.