Кто Использует Протокол Аутентификации Saml 2.0

В нашем блоге мы часто затрагиваем вопросы защиты данных и авторизации.

Например, мы сказал о новом стандарте беспарольной авторизации WebAuthn и даже интервью от одного из его разработчиков.

Также обсуждено Технология DANE для аутентификации доменных имен через DNS. Сегодня поговорим о протоколе SAML 2.0 и о тех, кто его использует.

Кто использует протокол аутентификации SAML 2.0

Фото - Марко Верч — CC BY — Фотография изменена

Что такое SAML

SAML это язык разметки, построенный на XML, который лежит в основе технологии Единая точка входа (ССО).

Он дает пользователям возможность переключаться между приложениями (например, корпоративными) с помощью единой пары логин/пароль.

SAML использует поставщиков удостоверений (IdP) и поставщиков услуг (SP) для безопасного взаимодействия с пользователями приложений.

Роль поставщика учетных записей может выполнять служба каталогов.

Активный каталог и даже простую базу данных SQL с логинами и паролями.

Поставщиком услуг может быть любое веб-приложение, в котором пользователь хочет войти (разумеется, с поддержкой SAML).

В целом процесс аутентификации состоит из следующих этапов:

Пользователь просит авторизовать его в приложении от ИП.
Поставщик услуг запрашивает подтверждение входа в систему у IdP.
Поставщик удостоверений отправляет специальное сообщение SAML, в котором указывает, верны или неверны идентификационные данные.
Если данные верны, провайдер авторизует пользователя.

Кто использует протокол аутентификации SAML 2.0

Кто это реализует

Последним крупным обновлением SAML является SAML 2.0. был опубликован в 2005 году.

И с тех пор протокол получил достаточно широкое распространение.

Его поддерживают такие сервисы, как Salesforce , Слабый И GitHub .

Даже информационная система использует его.

ОВОСС для авторизации на Госуслугах.

Казалось бы, за столь длительный период протокол должен был стать чем-то обыденным, но в последнее время он вновь вызвал повышенный интерес - на эту тему опубликовано большое количество статей( Здесь И Здесь ) и в социальных сетях В процессе активное обсуждение.
Поставщики IaaS также начали использовать SAML.

Например, месяц назад SAML реализован Прокси-служба в Azure Active Directory — это инструмент для получения удаленного доступа к веб-приложениям.

К мнение По мнению ряда экспертов, компания, разработавшая сервис, решила использовать этот протокол, поскольку он обеспечивает более надежную защиту SSO-входов для крупных компаний, чем альтернативы вроде OAuth. В конце июля также стало известно, что SAML появился в облаке AWS. В компании надеются, что таким образом клиенты будут тратить меньше времени на авторизацию и смогут сосредоточиться на решении критически важных для бизнеса задач.

На протокол обращают внимание не только облачные провайдеры, но и некоммерческие организации.

Пару недель назад Альянс технологий общественной безопасности (PSTA), продвигающий технологии общественной безопасности, рекомендуемые реализовать авторизацию на базе SAML 2.0 и OpenID для наших партнеров.

Среди причин называлась зрелость технологий, их распространенность и надежность.

Мнения о протоколе

Прежде всего интеграторы решений на базе SAML отмечают, что протокол упрощает работу системных администраторов в крупных компаниях.

Им не придется хранить для каждого сотрудника десятки паролей к различным корпоративным приложениям.

Администратору достаточно назначить каждому сотруднику только одну уникальную пару логин/пароль для единого входа во все сервисы.

Такой подход дает еще одно преимущество: если сотрудник покидает компанию, то для единого входа достаточно отозвать его идентификационные данные.

Но есть и отрицательные стороны.

Кто использует протокол аутентификации SAML 2.0

Фото - Мэтью Бродер — Unsplash Например, среди недостатков выделять ненужная сложность.

SAML построен на основе XML, поэтому он требователен к синтаксису.

Плюс протокол имеет большое количество необязательных компонентов, что существенно усложняет настройку SSO. Хотя эксперты по информационной безопасности считают протокол SAML достаточно надежным, существуют опасения по поводу наличия уязвимостей в некоторых библиотеках для операций SSO. В прошлом году инженеры компании Duo Labs, занимающейся информационной безопасностью, найденный ошибка с обработкой XML-комментариев.

Изменяя поле имени пользователя в сообщении SAML, злоумышленник может выдать себя за другого пользователя.

Однако важным условием проведения атаки является наличие учетной записи в сети жертвы.

В любом случае эту уязвимость можно смягчить (например, использовать белый список адресов электронной почты и доменов для онлайн-регистрации), поэтому это не должно повлиять на дальнейшее распространение технологии среди ИТ-компаний и облачных провайдеров.

^{О чем мы пишем в наших блогах и социальных сетях:} Новые лицензии на ПО с открытым исходным кодом, кто ими занимается

У Open Invention Network более трех тысяч лицензиатов – что это значит для программного обеспечения с открытым исходным кодом?

Как защитить виртуальный сервер в Интернете

Как сэкономить с помощью API

Дайджест: 5 книг и один курс в сетях

Подборка книг для тех, кто уже занимается системным администрированием или планирует начать.