Security Assertion Markup Language

Security Assertion Markup Language (Asserció de seguretat Markup Llengua, SAML, pronunciat SAM-el, /ˈsæməl/) és un estàndard informàtic obert per intercanviar dades d'autenticació i autorització entre parts, en particular, entre un proveïdor d'identitat i un proveïdor de servei.^[1] SAML és un llenguatge de marques basat en XML, orientat a la seguretat.

SAML és també:

Un conjunt de missatges de protocol basats en XML
Un conjunt de protocols d'enllaçat de missatges
Un conjunt de perfils (utilitzant els dos de dalt)

Un cas d'ús important de SAML és l'autenticació única en els navegadors web (SSO). L'autenticació única és relativament fàcil d'acomplir dins d'un àmbit de seguretat (utilitzant galetes, per exemple) però ampliant SSO arreu de diferents àmbits de seguretat és més difícil i acaba abocant a la proliferació de no-interoperabilitats entre tecnologies propietàries. El perfil SSO de Navegadors Web SAML fou especificat i estandarditzat per promoure la interoperabilitat.^[2]

Descripció

L'especificació de SAML defineix tres rols: el principal (típicament un usuari humà), el proveïdor d'identitat (IdP) i el proveïdor de servei (SP). En el cas d'ús bàsic adreçat per SAML, el principal llença una petició ds del proveïdor del servei. El proveïdor del servei llença una petició al proveïdor d'identitat i que li retorna una cadena d'autenticació. En la base d'aquesta cadena, el proveïdor del servei pot decidir el control d'accés, és a dir, pot decidir si per donar el vist-i-plau a l'intent de connexió que fa el principal.

Al cor de l'asserció de SAML hi ha un subjecte (un principal dins del context d'un àmbit de seguretat particular) sobre el que s'està provant de comprovar la identitat. El subjecte acostuma a ser (tot i que no té per què) un ésser humà. Mentre a la Revisió Tècnica SAML 2.0, els termes subjectes i principal es fan servir de forma intercanviada.^[3]

Abans de comunicar la cadena d'autenticació de l'IdP al SP, l'IdP pot demanar alguna informació del principal—com ara un nom d'usuari i contrasenya—per tal d'autenticar-lo. SAML especifica el contingut de la cadena que l'IdP passarà al SP. A SAML, un proveïdor d'identitat pot proporcionar cadenes a molts proveïdors de servei. Similarment, un SP pot fer les comprovacions a partir de cadenes de confiança de molts IdPs independents.

SAML no especifica el mètode d'autenticació al proveïdor d'identitat. L'IdP pot utilitzar un nom d'usuari i una contrasenya, o altres formes de autenticació, incloent l' autentificació de doble factor. Un servei de directori com RADIS, LDAP o Directori Actiu que permeten als usuaris identificar-se amb un nom d'usuari i una contrasenya són formes típiques d'autenticació de tokens usant un proveïdor d'identitat.^[4] Les xarxes socials populars d'Internet també proporcionen serveis d'identitat que, en teoria, poden ser usades per donar suport a intercanvis SAML.

Referències

↑ «What is SAML? - A Word Definition From the Webopedia Computer Dictionary». Webopedia.com. [Consulta: 21 setembre 2013].
↑ J. Hughes et al. Profiles for the OASIS Security Assertion Markup Language (SAML) 2.0. OASIS Standard, March 2005. Document identifier: saml-profiles-2.0-os http://docs.oasis-open.org/security/saml/v2.0/saml-profiles-2.0-os.pdf (for the latest working draft of this specification with errata, see: https://www.oasis-open.org/committees/download.php/56782/sstc-saml-profiles-errata-2.0-wd-07.pdf)
↑ N. Ragouzis et al. Security Assertion Markup Language (SAML) 2.0 Technical Overview. OASIS Committee Draft 02, March 2008. Document identifier: sstc-saml-tech-overview-2.0-cd-02 https://wiki.oasis-open.org/security/Saml2TechOverview
↑ «SAML: The Secret to Centralized Identity Management». InformationWeek.com, 23-11-2004. [Consulta: 23 maig 2014].

Enllaços externs

Serveis de Seguretat de l'OASI Comitè Tècnic
Portada: Asserció de Seguretat Markup Llengua (SAML)
Com Estudiar i Aprendre SAML
Demystificant SAML
Primer proveïdor d'identitat públic SAML 2.0
Daniel Blum. Federated ID gains momentum. IDG Network World Inc, 2003, p. 42.

[ISnTY-1] «What is SAML? - A Word Definition From the Webopedia Computer Dictionary». Webopedia.com. [Consulta: 21 setembre 2013].

[SAMLProf20-2] J. Hughes et al. Profiles for the OASIS Security Assertion Markup Language (SAML) 2.0. OASIS Standard, March 2005. Document identifier: saml-profiles-2.0-os http://docs.oasis-open.org/security/saml/v2.0/saml-profiles-2.0-os.pdf (for the latest working draft of this specification with errata, see: https://www.oasis-open.org/committees/download.php/56782/sstc-saml-profiles-errata-2.0-wd-07.pdf)

[SAMLTechOverview20-3] N. Ragouzis et al. Security Assertion Markup Language (SAML) 2.0 Technical Overview. OASIS Committee Draft 02, March 2008. Document identifier: sstc-saml-tech-overview-2.0-cd-02 https://wiki.oasis-open.org/security/Saml2TechOverview

[92xv0-4] «SAML: The Secret to Centralized Identity Management». InformationWeek.com, 23-11-2004. [Consulta: 23 maig 2014].

[1]

[2]

[3]

[4]