Security Assertion Markup Language

Security Assertion Markup Language (Llenguatge de marques per assercions de seguretat, SAML, pronunciat SAM-el, /ˈsæməl/) és un estàndard informàtic obert per intercanviar dades d'autenticació i autorització entre parts, en particular, entre un proveïdor d'identitat i un proveïdor de servei.^[1] SAML és un llenguatge de marques basat en XML, orientat a la seguretat.

SAML és també:

Un conjunt de missatges de protocol basats en XML
Un conjunt de protocols d'enllaçat de missatges
Un conjunt de perfils (utilitzant els dos de dalt)

Un cas d'ús important de SAML és l'autenticació única en els navegadors web (SSO). L'autenticació única és relativament fàcil d'acomplir dins d'un àmbit de seguretat (utilitzant galetes, per exemple) però ampliant SSO arreu de diferents àmbits de seguretat és més difícil i acaba abocant a la proliferació de no-interoperabilitats entre tecnologies propietàries. El perfil SSO de Navegadors Web SAML fou especificat i estandarditzat per promoure la interoperabilitat.^[2]

Una asserció SAML és un document XML que el proveïdor d'identitat envia al proveïdor del servei, el que de fet es vol fer servir, que conté l'autorització de l'usuari^[3]:

demostra que l'usuari està correctament identificat i diu quan ho ha fet
li passa atributs al proveïdor del servei, petites peces de dades que aporten informació sobre l'usuari
una asserció de decisió d'autorització diu si l'usuari ha estat autoritzat a usar aquest servei o si el proveïdor d'identitat li ha denegat la petició degut a un error en la contrasenya o una manca de priviliegis

Descripció general

L'especificació de SAML defineix tres rols: el principal (típicament un usuari humà), el proveïdor d'identitat (IdP) i el proveïdor de servei (SP). En el cas d'ús bàsic adreçat per SAML, el principal llença una petició des del proveïdor del servei. El proveïdor del servei llença una petició al proveïdor d'identitat i que li retorna una asserció () d'autenticació. En la base d'aquesta asserció, el proveïdor del servei pot decidir el control d'accés, és a dir, pot decidir si per donar el vist-i-plau a l'intent de connexió que fa el principal.

Al cor de l'asserció de SAML hi ha un subjecte (un principal dins del context d'un àmbit de seguretat particular) sobre el que s'està provant de comprovar la identitat. El subjecte acostuma a ser (tot i que no té per què) un ésser humà. Mentre a la Revisió Tècnica SAML 2.0, els termes subjectes i principal es fan servir de forma intercanviada.^[4]

Abans de comunicar l'asserció d'autenticació de l'IdP al SP, l'IdP pot demanar alguna informació del principal—com ara un nom d'usuari i contrasenya—per tal d'autenticar-lo. SAML especifica el contingut de l'asserció que l'IdP passarà al SP. A SAML, un proveïdor d'identitat pot proporcionar assercions a molts proveïdors de servei. Similarment, un SP pot fer les comprovacions a partir d'assercions de confiança de molts IdPs independents.

SAML no especifica el mètode d'autenticació al proveïdor d'identitat. L'IdP pot utilitzar un nom d'usuari i una contrasenya, o altres formes de autenticació, incloent l' autentificació de doble factor. Un servei de directori com RADIS, LDAP o Directori Actiu que permeten als usuaris identificar-se amb un nom d'usuari i una contrasenya són formes típiques d'autenticació de tokens usant un proveïdor d'identitat.^[5] Les xarxes socials populars d'Internet també proporcionen serveis d'identitat que, en teoria, poden ser usades per donar suport a intercanvis SAML.

Referències

↑ «What is SAML? - A Word Definition From the Webopedia Computer Dictionary». Webopedia.com. [Consulta: 21 setembre 2013].
↑ J. Hughes et al. Profiles for the OASIS Security Assertion Markup Language (SAML) 2.0. OASIS Standard, March 2005. Document identifier: saml-profiles-2.0-os http://docs.oasis-open.org/security/saml/v2.0/saml-profiles-2.0-os.pdf (for the latest working draft of this specification with errata, see: https://www.oasis-open.org/committees/download.php/56782/sstc-saml-profiles-errata-2.0-wd-07.pdf)
↑ «What is a SAML Assertion?» (en anglès). varonis.com, 29-03-2020. [Consulta: 17 novembre 2021].
↑ N. Ragouzis et al. Security Assertion Markup Language (SAML) 2.0 Technical Overview. OASIS Committee Draft 02, March 2008. Document identifier: sstc-saml-tech-overview-2.0-cd-02 https://wiki.oasis-open.org/security/Saml2TechOverview
↑ «SAML: The Secret to Centralized Identity Management». InformationWeek.com, 23-11-2004. [Consulta: 23 maig 2014].

Enllaços externs

Serveis de Seguretat de l'OASI Comitè Tècnic
Portada: Asserció de Seguretat Markup Llengua (SAML)
Com Estudiar i Aprendre SAML
Demystificant SAML
Primer proveïdor d'identitat públic SAML 2.0
Daniel Blum. Federated ID gains momentum. IDG Network World Inc, 2003, p. 42.

[ISnTY-1] «What is SAML? - A Word Definition From the Webopedia Computer Dictionary». Webopedia.com. [Consulta: 21 setembre 2013].

[SAMLProf20-2] J. Hughes et al. Profiles for the OASIS Security Assertion Markup Language (SAML) 2.0. OASIS Standard, March 2005. Document identifier: saml-profiles-2.0-os http://docs.oasis-open.org/security/saml/v2.0/saml-profiles-2.0-os.pdf (for the latest working draft of this specification with errata, see: https://www.oasis-open.org/committees/download.php/56782/sstc-saml-profiles-errata-2.0-wd-07.pdf)

[WhatIsAssertion-3] «What is a SAML Assertion?» (en anglès). varonis.com, 29-03-2020. [Consulta: 17 novembre 2021].

[SAMLTechOverview20-4] N. Ragouzis et al. Security Assertion Markup Language (SAML) 2.0 Technical Overview. OASIS Committee Draft 02, March 2008. Document identifier: sstc-saml-tech-overview-2.0-cd-02 https://wiki.oasis-open.org/security/Saml2TechOverview

[92xv0-5] «SAML: The Secret to Centralized Identity Management». InformationWeek.com, 23-11-2004. [Consulta: 23 maig 2014].

[1]

[2]

[3]

[4]

[5]