O que é?

Mecanismo de comunicação segura, baseado em XML, para troca de informações de identidades entre organizações. Elimina a necessidade de se manter múltiplas credenciais de autenticações, como senhas, em múltiplas localizações. Seu mais importante caso de uso é habilitar Sigle Sign-On (SSO) na Internet.

Por que isso é importante? Três motivos:

• Aumenta a segurança – Sem credenciais adicionais, elimina as oportunidades de Phishing por diminuir a quantidade de logins em formulários na internet
• Aumenta o acesso às aplicações – Elimina as barreiras entre usuários e aplicações; clicar em link ao invés de ter de digitar usuário e senha sempre, para cada uma delas; Single Sign-On (SSO)
• Diminui tempo  e custos de administração – Elimina o esforço de manter diversos diretórios e logins separados

Como funciona?

Temos três entidades envolvidas:

1. Usuário
2. IdP (Identity provider): mantém o diretório de usuários, ou relaciona-se com um (Active Directory, por exemplo), e o mecanismo de autenticação
3. SP (Service Provider): Organização que hospeda a aplicação alvo, ou serviço

O provedor de Identidade (IdP) e o provedor de Serviço (SP) possuem identidades federadas, ou seja, a autenticação é centralizada no IdP. Então temos a seguinte sequência:

1. O usuário tenta acessar a aplicação (Clica no link)
2. A aplicação procura pelo Idp para autenticar o usuário
3. O IdP valida a identidade do usuário e constrói a mensagem especialmente formatada contendo informação do usuário, comunicando isso a aplicação federada
4. O SP determina que a mensagem veio de um IdP conhecido, cria uma sessão para o usuário e permite seu acesso.

Veja um exemplo de SSO com SAML e GoogleAps:

Benefícios do SAML:

1. Por ser um padrão, é reutilizável: implementando-se com um Provedor de serviço é possível, com o mesmo software, implementar com mais provedores de aplicações com SAML habilitado
2. Elimina a segurança questionável, bem como a indesejada administração e custos de desenvolvimento de mecanismos SSO proprietários
3. Os usuários adoram, pois têm acesos direto às aplicações sem a necessidade de digitar suas senhas novamente.

Existem mitos sobre a implementação de autenticação SAML 2.0 com sistemas legados e seu grau de dificuldade, mas com a contratação de uma consultoria especializada o processo tende a ser praticamente indolor para o time de TI e imperceptível para os usuários da corporação.