O que é?
Mecanismo de comunicação segura, baseado em XML, para troca de informações de identidades entre organizações. Elimina a necessidade de se manter múltiplas credenciais de autenticações, como senhas, em múltiplas localizações. Seu mais importante caso de uso é habilitar Sigle Sign-On (SSO) na Internet.
Por que isso é importante? Três motivos:
- Aumenta a segurança – Sem credenciais adicionais, elimina as oportunidades de Phishing por diminuir a quantidade de logins em formulários na internet
- Aumenta o acesso às aplicações – Elimina as barreiras entre usuários e aplicações; clicar em link ao invés de ter de digitar usuário e senha sempre, para cada uma delas; Single Sign-On (SSO)
- Diminui tempo e custos de administração – Elimina o esforço de manter diversos diretórios e logins separados
Como funciona?
Temos três entidades envolvidas:
- Usuário
- IdP (Identity provider): mantém o diretório de usuários, ou relaciona-se com um (Active Directory, por exemplo), e o mecanismo de autenticação
- SP (Service Provider): Organização que hospeda a aplicação alvo, ou serviço
O provedor de Identidade (IdP) e o provedor de Serviço (SP) possuem identidades federadas, ou seja, a autenticação é centralizada no IdP. Então temos a seguinte sequência:
- O usuário tenta acessar a aplicação (Clica no link)
- A aplicação procura pelo Idp para autenticar o usuário
- O IdP valida a identidade do usuário e constrói a mensagem especialmente formatada contendo informação do usuário, comunicando isso a aplicação federada
- O SP determina que a mensagem veio de um IdP conhecido, cria uma sessão para o usuário e permite seu acesso.
Veja um exemplo de SSO com SAML e GoogleAps:
Benefícios do SAML:
- Por ser um padrão, é reutilizável: implementando-se com um Provedor de serviço é possível, com o mesmo software, implementar com mais provedores de aplicações com SAML habilitado
- Elimina a segurança questionável, bem como a indesejada administração e custos de desenvolvimento de mecanismos SSO proprietários
- Os usuários adoram, pois têm acesos direto às aplicações sem a necessidade de digitar suas senhas novamente.
Existem mitos sobre a implementação de autenticação SAML 2.0 com sistemas legados e seu grau de dificuldade, mas com a contratação de uma consultoria especializada o processo tende a ser praticamente indolor para o time de TI e imperceptível para os usuários da corporação.
Uma resposta