在我们的博客中,我们经常涉及数据保护和授权问题。 例如,我们
讨论了新的WebAuthn无密码授权标准,甚至
采访了其中一位开发人员。 还
讨论了用于DNS域名认证的DANE技术。 今天,我们将讨论SAML 2.0协议以及使用它的人。
照片-Marco Verch -CC BY-照片已修改什么是SAML
SAML是基于XML的标记语言,它是
单点登录 (SSO)技术的基础。 它使用户能够使用单个登录名/密码对在应用程序(例如公司)之间进行切换。
使用SAML协议,帐户提供程序(IdP或身份提供程序)和服务提供程序(SP或服务提供程序)相互交互以安全地传输应用程序用户的身份。
Active Directory目录服务甚至具有登录名和密码的简单SQL数据库都可以扮演帐户提供者的角色。 服务提供商可以是用户要登录的任何Web应用程序(当然,支持SAML)。
通常,身份验证过程包括以下步骤:
- 用户要求在SP的应用程序中对其进行授权。
- 服务提供商向IdP请求登录确认。
- 帐户提供者发送一条特殊的SAML消息,其中指出凭据正确或不正确。
- 如果数据正确,则提供者将授权用户。
谁来实现
SAML的最新重大更新SAML 2.0于2005
年发布 。 从那时起,该协议已变得相当普遍。 它由
Salesforce ,
Slack和
GitHub等服务支持。
ESIA信息系统甚至使用它来授权国家服务。
似乎在这么长的时间内,该协议应该已经变得平凡了,但是最近它又再次引起了人们的兴趣-关于该主题的大量文章已经发表( 在这里和那里 ),并且在社交网络上进行了积极的讨论。 IAML服务提供商也启动了SAML。
例如,一个月前,SAML
推出了Azure Active Directory代理服务,该工具可用于获取对Web应用程序的远程访问。 一些专家认为,服务开发公司决定使用此协议,因为与OAuth之类的替代方案相比,它为大型公司提供了更可靠的SSO登录保护。
7月下旬,人们还知道SAML
出现在AWS云中。 该公司希望通过这种方式,客户将花费更少的时间进行授权,并能够专注于解决业务关键问题。
不仅云提供商,而且非营利组织也都关注该协议。 几周前,促进公共安全技术的公共安全技术联盟(PSTA)
建议其合作伙伴实施基于SAML 2.0和OpenID的授权。 其中突出的原因包括:技术的成熟度,技术的普遍性和可靠性。
协议意见
首先,基于SAML的解决方案集成商注意到该协议简化了大型公司中系统管理员的工作。 他们不必为每位员工跟踪用于不同公司应用程序的数十个密码。 管理员只需为每个员工分配一个唯一的用户名/密码对,即可单点登录所有服务。 这种方法提供了另一个优势:如果员工离开公司,则足以取消其身份数据以进行单点登录。 但是也有消极的一面。
照片- 马修·布罗德 ( Matthew Brodeur) -不飞溅例如,缺点
之一就是过于复杂。 SAML基于XML构建,因此它是语法密集型的。 另外,该协议具有大量可选组件,这极大地简化了SSO的配置。
尽管安全专家认为SAML是相当可靠的,但是酒店图书馆中SSO操作的漏洞仍然值得关注。 去年,Duo Labs的安全工程师
发现了一个处理XML注释
的错误。 通过修改SAML消息中的用户名字段,攻击者可以冒充其他用户。 但是,进行攻击的重要条件是在受害者的网络上拥有一个帐户。
无论如何,此漏洞都可以缓解(例如,
使用邮件地址和域
的白名单在网络上进行注册),因此,它不应影响技术在IT公司和云提供商之间的进一步传播。
我们在博客和社交网络中写的内容:
新的开源许可证
开放发明网拥有三千多名被许可人-这对开源软件意味着什么
如何保护Internet上的虚拟服务器
如何使用API保存
摘要:网络上的5本书和一门课程
为已经从事系统管理或计划入门的人员选择的书籍
我们在1cloud.ru提供服务“
Cloud Object Storage ”。 它允许您存储备份并使用存档数据。