Что Такое Аутентификация Saml И Кому Она Нужна?

Управление доступом пользователей к облачным ресурсам — одна из основных задач безопасного использования облачных приложений в корпоративной среде.

С распространением многочисленных сервисных концепций SaaS, PaaS и IaaS управление политиками доступа, включая организацию строгой аутентификации для каждого приложения, создает определенную нагрузку на ИТ-подразделения предприятия.

Пользователям приходится запоминать многочисленные логины и пароли, что неизбежно приводит к потере паролей, снижению производительности и раздражению пользователей.

До 20% всех обращений в службу поддержки связаны с восстановлением утерянных или забытых паролей.

Более того, ИТ-подразделения зачастую не обладают информацией о том, с какими приложениями работают конкретные пользователи и как часто к этим приложениям осуществляется доступ, что эффективно приводит к формированию теневых ИТ и снижает эффективность управления ресурсами.

С точки зрения контроля доступа возникает еще один вопрос: как можно гарантировать, что если сотрудник уйдет из компании, он больше не будет использовать корпоративные приложения? Наконец, хотя защитить доступ к облачным ресурсам можно с помощью многофакторной аутентификации, ИТ-отделы часто не имеют информации о том, какие сотрудники удосужились использовать такую аутентификацию.

В результате возрастает вероятность компрометации данных, угроза фишинга, подбора паролей, взлома облачных баз данных и другие угрозы.

При отсутствии средств централизованного контроля доступа, используя облачные приложения в корпоративной среде часто не обеспечивает механизмов эффективного масштабирования, что приводит к дырам в безопасности, увеличению административной нагрузки, раздражению пользователей и снижению эффективности организации.

Контроль доступа к облаку: идентичность как новый периметр безопасности

В этой новой реальности Джон Фонтана из ZDNet предлагает определить новый периметр безопасности как учетные записи пользователей и использовать новые инструменты, основанные на стандартах, для управления этим периметром.

Аутентификация с использованием SAML

Стандарт SAML, введенный в действие с 2002 года, является разработкой Технического комитета служб безопасности, работающего при организации OASIS, продвигающей стандарты работы со структурированной информацией.

Используя протокол SAML, пользователи могут получить доступ ко многим своим облачным приложениям, используя всего один логин и пароль.

Этот подход называется «федерацией удостоверений», потому что вместо того, чтобы запоминать целую кучу логинов и паролей для каждого приложения, пользователю нужно запомнить только одну такую пару.

При федерации удостоверений одна система с поддержкой SAML, называемая поставщиком удостоверений (IdP), аутентифицирует пользователей, а облачные приложения передают процесс аутентификации этой системе IdP всякий раз, когда пользователь пытается получить к ним доступ.

Федерация идентификации SAML

Федерация становится возможной благодаря использованию стандартов, а SAML служит краеугольным камнем архитектуры и основным стандартом федерации удостоверений.

Кроме того, важным преимуществом SAML стало широкое распространение этого протокола и его растущая популярность.

Поскольку стандарт основан на языке разметки XML, SAML чрезвычайно гибок.

Одной реализации SAML достаточно для поддержки подключения с единым входом (SSO) для множества различных партнеров федерации.

Такая совместимость обеспечивает SAML определенные преимущества перед другими проприетарными механизмами единого входа, в частности, SAML позволяет организациям не ограничиваться решениями какого-либо одного поставщика, позволяя им переходить с одной платформы аутентификации SAML на другую.

Чтобы продемонстрировать гибкость и совместимость SAML, Kantara Initiative реализовала программу тестирования совместимости, в ходе которой поставщики решений SAML проверяли, что их готовые решения могут взаимодействовать с проектами SAML других поставщиков.

Сегодня в реестре Kantara Trust зарегистрировано более 80 сертифицированных решений от многочисленных поставщиков и организаций по всему миру.

Как работает аутентификация SAML?

Модель аутентификации SAML включает поставщика удостоверений, который выдает «утверждения SAML» (таким поставщиком может быть, например, служба аутентификации SafeNet), и поставщика услуг, который принимает эти утверждения, например Google Apps, Office 365 или любое другое облачное приложение, которое поддерживает SAML. Утверждения SAML обычно подписываются подписью PKI, которая служит доказательством подлинности утверждения.

Служба аутентификации, выступающая в качестве поставщика удостоверений, получает учетные данные пользователя и возвращает ответ облачному приложению, к которому осуществляется доступ.

Этот ответ называется утверждением SAML. В зависимости от содержимого утверждения SAML облачное приложение либо принимает, либо запрещает доступ пользователя.

Если подтверждение SAML содержит положительный ответ, значит, пользователь авторизован.

Ключевым аспектом реализации федерации удостоверений с использованием SAML является сопоставление пользователей с поставщиком удостоверений (IdP) и поставщиками услуг, чтобы, когда пользователь обращается к таким службам, как Office 365, эти службы понимали, к какому поставщику удостоверений им нужно перенаправить пользователя, чтобы он мог пройти строгую процедуру аутентификации.

Объединение удостоверений для централизованного управления доступом пользователей

Благодаря федеративной системе аутентификации пользователи могут полностью избавиться от необходимости запоминать несколько логинов и паролей.

Они смогут получить доступ ко всем своим облачным приложениям, используя одну и ту же корпоративную учетную запись, то есть ту же учетную запись, которую они используют для входа в сеть каждое утро.

С точки зрения пользователя, система федеративной проверки личности на основе SAML работает максимально гладко и плавно.

SAML использует файлы cookie, поэтому после входа пользователя в Office 365 ему не нужно проходить повторную аутентификацию при входе в другие облачные приложения на новых вкладках браузера, таких как Dropbox, WordPress, Salesforce и т. д.

Преимущества федерации идентификации SAML

Поэтому при увольнении сотрудника из организации ИТ-отделу достаточно аннулировать только одну пару логина и пароля.

Однако учетную запись можно закрыть без необходимости входа в каждое отдельное облачное приложение.

Автоматизированные сценарии помогают минимизировать административную нагрузку на ИТ-отделы за счет синхронизации с системами хранения учетных записей пользователей, такими как MS SQL или Active Directory. Если представить ИТ-инфраструктуру как офисное здание, то федеративная система аутентификации личности с использованием SAML могла бы обеспечить сотрудникам компании более простой и удобный доступ к различным частям этого здания – к офисам, конференц-залу, зоне отдыха, столовая и т. д. .

– с одной картой доступа вместо отдельных карт для каждого номера.

Кому может понадобиться SAML?

Веб-приложения уже много лет широко распространены в корпоративных средах, и, вероятно, осталось очень мало компаний, которые могут обойтись без них.

Теги: #saml #аутентификация #аутентификация пользователя #Аутентификация пользователя #Аутентификация пользователя #Аутентификация пользователя #безопасность #сетевая безопасность #безопасность веб-приложений #информационная безопасность #безопасность данных #информационная безопасность #информационная безопасность #Разработка для Office 365

• Внимание К Деталям Или Научиться Ненавидеть Скромный Пирог

  19 Oct, 24

• Советы По Тайм-Менеджменту При Ведении Блога

  19 Oct, 24

• Эволюция - Это Сорсинга

  19 Oct, 24

• О Live-Коде После 130 Стримов

  19 Oct, 24

• Разработка Монолитной Unix-Подобной Ос — Kernel Syslog (3)

  19 Oct, 24

• Css3 Анимация За Несколько Кликов

  19 Oct, 24

• Как Собирать Старые Компьютеры И Не Потеряться В Них. Часть 2

  19 Oct, 24

• «Вкл/Выкл»: Стриминговые Сервисы Все Чаще Вынуждены Скрывать Треки И Менять Содержимое Библиотек

  19 Oct, 24

• Синергетические Организации. Часть I

  19 Oct, 24

• Philips Открывает Программу Разработки Лампочек Hue

  19 Oct, 24