Security Assertion Markup Language
Asserció de seguretat Markup Llengua (SAML, pronunciat SAM-el, /ˈsæməl/) és un estàndard obert per intercanviar dades d'autenticació i autorització entre parts, en particular, entre un proveïdor d'identitat i un proveïdor de servei.[1] SAML és un llenguatge de marques basat en XML, orientat a la seguretat.
SAML és també:
- Un conjunt de missatges de protocol basats en XML
- Un conjunt de protocols d'enllaçat de missatges
- Un conjunt de perfils (utilitzant els dos de dalt)
Un cas d'ús important de SAML és l'autenticació única en els navegadors web (SSO). L'autenticació única és relativament fàcil d'acomplir dins d'un àmbit de seguretat (utilitzant galetes, per exemple) però ampliant SSO arreu de diferents àmbits de seguretat és més difícil i acaba abocat a la proliferació de no-interoperabilitats entre tecnologies propietàries. El perfil SSO de Navegadors Web SAML fou especificat i estandarditzat per promoure la interoperabilitat.[2]
Descripció
L'especificació de SAML defineix tres rols: el principal (típicament un usuari humà), el proveïdor d'identitat (IdP) i el proveïdor de servei (SP). En el cas d'ús bàsic adreçat per SAML, el principal llença una petició ds del proveïdor del servei. El proveïdor del servei llença una petició al proveïdor d'identitat i que li retorna una cadena d'autenticació. En la base d'aquesta cadena, el proveïdor del servei pot decidir el control d'accés, és a dir, pot decidir si per donar el vist-i-plau a l'intent de connexió que fa el principal.
Al cor de l'asserció de SAML és un tema (un principal dins del context d'un àmbit de seguretat particular) aproximadament que alguna cosa està sent va afirmar. El tema és normalment (però no necessàriament) un ésser humà. Mentre en el SAML 2.0 Tècnic Overview, els termes subjectes i principal és utilitzat interchangeably en aquest document.[3]
Abans de lliurar la cadena d'autenticació de l'IdP al SP, l'IdP pot demanar alguna informació del principal—com ara un nom d'usuari i contrasenya—per tal d'autenticar-lo. SAML especifica el contingut de la cadena que és passada de l'IdP al SP. En SAML, un proveïdor d'identitat pot proporcionar cadenes de SAML a molts proveïdors de servei. Similarment, un SP pot confiar en i cadenes de confiança de molts IdPs independents.
SAML no especifica el mètode de autenticació al proveïdor d'identitat. L'IdP pot utilitzar un nom d'usuari i una contrasenya, o altres formes de autenticació, incloent multi-factor authentication. Un servei de directori com RADIS, LDAP o Directori Actiu que permeten als usuaris identificar-se amb un nom d'usuari i una contrasenya és una font típica de autenticació de tokens a un proveïdor d'identitat.[4] Les xarxe socials populars d'Internet també proporcionen serveis d'identitat que, en teoria, poden ser usades per donar suport a intercanvis SAML.
Història
Enllaços externs
- Serveis de Seguretat de l'OASI Comitè Tècnic
- Portada: Asserció de Seguretat Markup Llengua (SAML)
- Com Estudiar i Aprendre SAML
- Demystificant SAML
- Primer proveïdor d'identitat públic SAML 2.0
- Daniel Blum. Federated ID gains momentum. IDG Network World Inc, 2003, p. 42.
- ↑ «What is SAML? - A Word Definition From the Webopedia Computer Dictionary». Webopedia.com. [Consulta: 21 setembre 2013].
- ↑ J. Hughes et al. Profiles for the OASIS Security Assertion Markup Language (SAML) 2.0. OASIS Standard, March 2005. Document identifier: saml-profiles-2.0-os http://docs.oasis-open.org/security/saml/v2.0/saml-profiles-2.0-os.pdf (for the latest working draft of this specification with errata, see: https://www.oasis-open.org/committees/download.php/56782/sstc-saml-profiles-errata-2.0-wd-07.pdf)
- ↑ N. Ragouzis et al. Security Assertion Markup Language (SAML) 2.0 Technical Overview. OASIS Committee Draft 02, March 2008. Document identifier: sstc-saml-tech-overview-2.0-cd-02 https://wiki.oasis-open.org/security/Saml2TechOverview
- ↑ «SAML: The Secret to Centralized Identity Management». InformationWeek.com, 23-11-2004. [Consulta: 23 maig 2014].