Geekly articles weekly

Quem usa o protocolo de autenticação SAML 2.0

Em nosso blog, costumamos abordar questões de proteção e autorização de dados. Por exemplo, conversamos sobre o novo padrão de autorização sem senha do WebAuthn e até entrevistamos um de seus desenvolvedores. Também foi discutida a tecnologia DANE para autenticação de nomes de domínio DNS. Hoje falaremos sobre o protocolo SAML 2.0 e quem o utiliza.


Fotos - Marco Verch - CC BY - Foto modificada

O que é SAML


SAML é uma linguagem de marcação baseada em XML subjacente à tecnologia de logon único (SSO). Permite que os usuários alternem entre aplicativos (por exemplo, corporativos) com um único par de login / senha.

Usando o protocolo SAML, os provedores de contas (IdP ou provedor de identidade) e os provedores de serviços (SP ou provedor de serviços) interagem entre si para transferir com segurança a identidade dos usuários do aplicativo. A função de um provedor de contas pode ser desempenhada pelo serviço de diretório do Active Directory e até mesmo um simples banco de dados SQL com logins e senhas. Um provedor de serviços pode ser qualquer aplicativo Web no qual um usuário deseja efetuar login (é claro, suportando SAML).

Em geral, o processo de autenticação consiste nas seguintes etapas:

  1. O usuário pede para autorizá-lo no aplicativo do SP.
  2. O provedor de serviços solicita uma confirmação de login do IdP.
  3. O provedor da conta envia uma mensagem SAML especial na qual diz que as credenciais estão corretas ou incorretas.
  4. Se os dados estiverem corretos, o provedor autorizará o usuário.


Quem o implementa


A última atualização principal do SAML, SAML 2.0, foi publicada em 2005. E desde então, o protocolo se tornou bastante difundido. É suportado por serviços como Salesforce , Slack e GitHub . É usado até pelo sistema de informação da ESIA para autorização de serviços estatais.

Parece que em tanto tempo o protocolo deveria ter se tornado algo mundano, mas recentemente tem despertado interesse novamente - um grande número de artigos foi publicado sobre o tema ( aqui e ali ) e há uma discussão ativa nas redes sociais. O SAML também foi lançado pelos provedores de IaaS.

Por exemplo, há um mês, o SAML apresentou o Serviço de Proxy do Azure Active Directory, uma ferramenta para obter acesso remoto a aplicativos Web. Segundo alguns especialistas, a empresa de desenvolvimento de serviços decidiu usar esse protocolo, pois fornece proteção de login SSO mais confiável para grandes empresas do que alternativas como o OAuth.

No final de julho, também se soube que o SAML apareceu na nuvem da AWS. A empresa espera que, dessa forma, os clientes dediquem menos tempo à autorização e consiga se concentrar na solução de problemas críticos dos negócios.

Não apenas os provedores de nuvem, mas também as organizações sem fins lucrativos prestam atenção ao protocolo. Há algumas semanas, a Aliança de Tecnologia de Segurança Pública (PSTA), que promove a tecnologia de segurança pública, recomendou que seus parceiros implementassem uma autorização baseada em SAML 2.0 e OpenID. Entre os motivos destacados: a maturidade das tecnologias, sua prevalência e confiabilidade.

Pareceres de protocolo


Antes de tudo, os integradores de soluções baseados em SAML observam que o protocolo simplifica o trabalho dos administradores de sistemas em grandes empresas. Eles não precisam acompanhar dezenas de senhas para aplicativos corporativos diferentes para cada funcionário. Basta que o administrador atribua a cada funcionário apenas um par de nome de usuário / senha exclusivo para logon único em todos os serviços. Essa abordagem fornece outra vantagem: se um funcionário sai da empresa, basta cancelar seus dados de identificação para logon único. Mas também existem lados negativos.


Foto - Matthew Brodeur - Unsplash

Por exemplo, entre as deficiências destacam a complexidade excessiva. O SAML é construído com base no XML, portanto, exige muita sintaxe. Além disso, o protocolo possui um grande número de componentes opcionais, o que complica bastante a configuração do SSO.

Embora os especialistas em segurança considerem o SAML bastante confiável, as vulnerabilidades nas bibliotecas de hotéis para operações de SSO são uma preocupação. No ano passado, os engenheiros de segurança do Duo Labs encontraram um erro no processamento de comentários XML. Modificando o campo de nome de usuário em uma mensagem SAML, um invasor pode se passar por outro usuário. No entanto, uma condição importante para realizar um ataque é ter uma conta na rede da vítima.

Em qualquer caso, essa vulnerabilidade pode ser atenuada (por exemplo, usando uma lista de permissões de domínios e domínios para registro na rede); portanto, não deve afetar a disseminação adicional da tecnologia entre empresas de TI e provedores de nuvem.

Sobre o que escrevemos em nossos blogs e redes sociais:

Novas licenças de código aberto
A Open Invention Network possui mais de três mil licenciados - o que significa para software de código aberto

Como proteger um servidor virtual na Internet
Como salvar usando a API

Resumo: 5 livros e um curso em redes
Uma seleção de livros para aqueles que já estão envolvidos na administração do sistema ou planejam iniciar


Em 1cloud.ru, oferecemos o serviço " Cloud Object Storage ". Permite armazenar backups e trabalhar com dados de arquivamento.

Source: https://habr.com/ru/post/pt463775/

More articles:


All Articles