O que é SAML e como funciona?

O SAML (Security Assertion Markup Language) é um padrão aberto que permite que provedores de identidade (idP) passem credenciais de autorização para provedores de serviços (SP). Isso significa que você pode usar um conjunto de credenciais para entrar em diferentes sites. É muito mais simples gerenciar um login por usuário do que gerenciar logins separados para e-mail, CRM, Active Directory, etc.

As transações SAML usam XML (Extensigle Markup Language) para comunicações padronizadas entre o provedor de identidade e os provedores de serviços. O SAML é o link entre a autenticação da identidade de um usuário e a autorização para usar um serviço.

A adoção do SAML permite que os administradores de TI usem soluções de software como serviço (SaaS), mantendo um sistema de gerenciamento de identidade seguro. O SAML ativa o Single Sign On (SSO), que significa que os usuários podem fazer login uma vez e essas mesmas credenciais podem ser reutilizadas para efetuar login em outros provedores de serviços.

O SAML é usado para
O SAML simplifica processos de autenticação e autorização para usuários, provedores de identidade e provedores de serviços. A SAML fornece uma solução que permite provedores de identidade e provedores de serviços existam separadamente entre, centralizando o gerenciamento de usuários e fornecendo acesso a soluções de SaaS.

Também implementa um método seguro de autenticações e autorizações de usuário entre o provedor de identidade e os provedores de serviços. Quando um usuário efetua login em um aplicativo habilitado para SAML, o provedor de identidade autentica as credenciais de usuário e, em seguida, retorna a autorização para o usuário ao provedor de serviços, assim, o usuário pode usar o aplicativo.

O que é um provedor SAML?
Um provedor SAML é um sistema que ajuda o usuário a acessar um serviço. Existem dois tipos de provedores SAML: provedor de serviços e provedor de identidade.

Um provedor de serviços precisa da autenticação do provedor de identidade para conceder a autorização ao usuário.

Um provedor de identidade realiza a autenticação e confirma que o usuário é quem ele diz ser e envia esses dados ao provedor de serviços, juntamente com os direitos de acesso do usuário para o serviço.

O Microsoft Active Directory ou o Azure são provedores de identidade comuns. O Salesforce e outras soluções de CRM geralmente são provedores de serviços pois dependem de um provedor de identidade para autenticação do usuário.

O que é asserção SAML?
Uma asserção SAML é o documento XML que o provedor de identidade envia ao provedor de serviços que contém a autorização do usuário. Existem três tipos diferentes: autenticação, atributo e decisão de autorização.

  • As declarações de autenticação provam a identificação do usuário e fornecem o horário em que o usuário efetuou login e o método de autenticação usado
  • A asserção de atribuição transmite os atributos SAML ao provedor de serviços. Os atributos de SAML são partes específicas de dados que fornecem informações sobre o usuário
  • Uma decisão de autorização diz que o usuário está autorizado a usar o serviço ou se o provedor de identificação negou sua solicitação

Como o SAML funciona?
O SAML trabalha transmitindo informações sobre usuários, logins e atributos entre o provedor de identidade e os provedores de serviços. Cada usuário efetua login uma única vez com o provedor de identificação e, em seguida, o provedor de identificação pode passar os atributos de SAML para o provedor de serviços, que solicita a autorização e a autenticação. Como ambos os sistemas falam a mesma linguagem – SAML -, o usuário só precisa efetuar login uma vez.

Cada provedor de identidade e provedor de serviços precisa concordar com a configuração do SAML. As duas extremidades precisam ter a configuração exata para que a autenticação funcione.

OAuth
O OAuth é um padrão mais novo que foi desenvolvido em conjunto pelo Google e pelo Twitter para permitir logins de internet simplificados e que usa uma metodologia semelhante à SAML para compartilhar informações de login. O Facebook e o Google são dois provedores OAuth que você pode usar para fazer login em diversos sites na internet.

O SAML e o SSO são importantes para qualquer estratégia de segurança de dados da empresa. As práticas recomendadas de gerenciamento de identidades exigem que as contas de usuários sejam limitadas apenas aos recursos que o usuário precisa para realizar seu trabalho e para serem auditadas e gerenciadas. Ao usar uma solução SSO, você pode desativar contas de um sistema e remover o acesso a todos os recursos disponíveis de uma só vez, o que protege seus dados contra roubos.

Ofereça aos usuários corporativos o poder de revisar e gerencia permissões sem a ajuda da TI. Com o Varonis DataPrivilege, os usuários podem, automaticamente, aplicar as regras de segurança da empresa.  Saiba mais.