Geekly articles weekly

Siapa yang menggunakan protokol otentikasi SAML 2.0

Di blog kami, kami sering menyentuh masalah perlindungan data dan otorisasi. Misalnya, kami berbicara tentang standar otorisasi tanpa kata sandi WebAuthn yang baru dan bahkan mewawancarai salah satu pengembangnya. Juga dibahas adalah teknologi DANE untuk otentikasi nama domain DNS. Hari ini kita akan berbicara tentang protokol SAML 2.0 dan mereka yang menggunakannya.


Foto - Marco Verch - CC BY - Foto dimodifikasi

Apa itu SAML


SAML adalah bahasa markup berbasis XML yang mendasari teknologi Single Sign-On (SSO). Ini memberi pengguna kemampuan untuk berpindah antar aplikasi (misalnya, perusahaan) dengan satu pasangan login / kata sandi.

Menggunakan protokol SAML, penyedia akun (IdP, atau penyedia identitas) dan penyedia layanan (SP, atau penyedia layanan) berinteraksi satu sama lain untuk secara aman mentransfer identitas pengguna aplikasi. Peran penyedia akun dapat dimainkan oleh layanan direktori Active Directory dan bahkan database SQL sederhana dengan login dan kata sandi. Penyedia layanan dapat berupa aplikasi web apa pun di mana pengguna ingin masuk (tentu saja, mendukung SAML).

Secara umum, proses otentikasi terdiri dari langkah-langkah berikut:

  1. Pengguna meminta untuk mengesahkannya dalam aplikasi dari SP.
  2. Penyedia layanan meminta konfirmasi masuk dari IdP.
  3. Penyedia akun mengirim pesan SAML khusus di mana ia mengatakan bahwa kredensial sudah benar atau salah.
  4. Jika datanya benar, penyedia akan mengotorisasi pengguna.


Siapa yang mengimplementasikannya


Pembaruan utama terbaru untuk SAML, SAML 2.0, diterbitkan pada 2005. Dan sejak itu, protokolnya menjadi sangat luas. Ini didukung oleh layanan seperti Salesforce , Slack, dan GitHub . Bahkan digunakan oleh sistem informasi ESIA untuk otorisasi pada layanan Negara.

Tampaknya dalam waktu yang lama protokol seharusnya menjadi sesuatu yang biasa, tetapi baru-baru ini telah membangkitkan minat lagi - sejumlah besar artikel telah diterbitkan pada topik ( di sana - sini ), dan ada diskusi aktif di jejaring sosial. SAML juga diluncurkan oleh penyedia IaaS.

Misalnya, sebulan lalu, SAML memperkenalkan Layanan Proxy Direktori Aktif Azure, alat untuk mendapatkan akses jarak jauh ke aplikasi web. Menurut beberapa ahli, perusahaan pengembang layanan memutuskan untuk menggunakan protokol ini, karena menyediakan perlindungan login SSO yang lebih andal untuk perusahaan besar daripada alternatif seperti OAuth.

Pada akhir Juli, juga diketahui bahwa SAML muncul di cloud AWS. Perusahaan berharap bahwa cara ini pelanggan akan menghabiskan lebih sedikit waktu untuk otorisasi dan akan dapat fokus pada penyelesaian masalah kritis bisnis.

Tidak hanya penyedia cloud, tetapi juga organisasi nirlaba memperhatikan protokol. Beberapa minggu yang lalu, Public Safety Technology Alliance (PSTA), yang mempromosikan teknologi untuk keselamatan publik, merekomendasikan para mitranya untuk menerapkan otorisasi berdasarkan SAML 2.0 dan OpenID. Di antara alasan-alasan yang disoroti: kematangan teknologi, prevalensi dan keandalannya.

Pendapat Protokol


Pertama-tama, integrator solusi berbasis SAML mencatat bahwa protokol menyederhanakan pekerjaan administrator sistem di perusahaan besar. Mereka tidak harus melacak lusinan kata sandi untuk aplikasi perusahaan yang berbeda untuk setiap karyawan. Cukup bagi administrator untuk menetapkan masing-masing karyawan hanya satu pasangan nama pengguna / kata sandi unik untuk akses tunggal ke semua layanan. Pendekatan ini memberikan keuntungan lain: jika seorang karyawan meninggalkan perusahaan, cukup untuk membatalkan data identifikasi untuk sekali masuk. Namun ada juga sisi negatifnya.


Foto - Matthew Brodeur - Unsplash

Misalnya, di antara kekurangannya menyoroti kompleksitas yang berlebihan. SAML dibangun berdasarkan XML, jadi ini adalah sintaks yang intensif. Plus, protokol memiliki sejumlah besar komponen opsional, yang sangat menyulitkan konfigurasi SSO.

Meskipun pakar keamanan menganggap SAML cukup andal, kerentanan di perpustakaan hotel untuk operasi SSO menjadi perhatian. Tahun lalu, insinyur keamanan di Duo Labs menemukan bug dengan memproses komentar XML. Dengan memodifikasi bidang nama pengguna di pesan SAML, penyerang dapat menyamar sebagai pengguna lain. Namun, syarat penting untuk melakukan serangan adalah memiliki akun di jaringan korban.

Dalam kasus apa pun, kerentanan ini dapat dikurangi (misalnya, menggunakan daftar putih alamat surat dan domain untuk pendaftaran di jaringan), oleh karena itu, ini tidak boleh memengaruhi penyebaran teknologi lebih lanjut di antara perusahaan IT dan penyedia cloud.

Apa yang kami tulis di blog dan jejaring sosial kami:

Lisensi Open Source Baru
Open Invention Network memiliki lebih dari tiga ribu pemegang lisensi - apa artinya untuk perangkat lunak open source

Bagaimana cara melindungi server virtual di Internet
Cara menyimpan menggunakan API

Intisari: 5 buku dan satu kursus di jaringan
Pilihan buku untuk mereka yang sudah terlibat dalam administrasi sistem atau perencanaan untuk memulai


Kami di 1cloud.ru menawarkan layanan " Cloud Object Storage ". Ini memungkinkan Anda untuk menyimpan cadangan dan bekerja dengan data arsip.

Source: https://habr.com/ru/post/id463775/

More articles:


All Articles