เวลาที่ผู้ใช้ต้องสร้างบัญชีผู้ใช้สำหรับทุก แอพพลิเคชัน และจดจำทุกข้อมูลการเข้าสู่ระบบ ผู้ใช้อาจต้องเข้าสู่ห้าหรือยี่สิบแอพแยกต่อวัน หลายคนยากที่จะจำชื่อผู้ใช้ รหัสผ่านได้มากกว่าสามคู่ เพื่อแก้ไขปัญหานี้บุคคลบางคนใช้ ข้อมูลรับรองการ เข้าสู่ระบบเดียวกัน สำหรับแอพพลิเคชัน ทั้งหมดที่พวกเขาต้องการเข้าถึง แต่ถ้าบุคคลที่เป็นอันตรายได้รับข้อมูลรับรองเหล่านี้เขาอาจเข้าถึง แอพ หลายแอพได้ และนั่นเป็นสาเหตุที่แนวคิดของ SSO หรือ Single Sign On เป็นที่นิยมมากขึ้นในองค์กรไอที และ SAML เป็นปัจจัยสำคัญที่สุดในโซลูชันของ Single sign on ซึ่งมีการเก็บข้อมูลตัวตนผู้ใช้งานไว้บนเซิร์ฟเวอร์ส่วนกลาง
SSO ทำงานอย่างไร
แม้ว่าจะมีการใช้งาน SSO ที่แตกต่างกัน แต่โฟลว์ทั่วไปและ ผู้เล่นหลักก็เกือบจะเหมือนกัน องค์ประกอบหลักใน SSO
1. Service provider (SP)
ผู้ให้บริการให้บริการแก่ผู้ใช้และได้รับการรับรองความถูกต้องจากผู้ให้บริการข้อมูลประจำตัวเพื่อให้สิทธิ์แก่ผู้ใช้
2. Identity provider (IdP)
ผู้ให้บริการเอกลักษณ์เป็นผู้ให้ข้อมูลประจำตัวของผู้ใช้ที่พยายามเข้าถึงผู้ให้บริการและส่งข้อมูลการตรวจสอบสิทธิ์พร้อมกับสิทธิ์การเข้าถึงของผู้ใช้สำหรับบริกา
Security Markert Language (SAML)
Security Markert Language (SAML) เป็นมาตรฐานเปิดที่ อนุญาต ให้ใช้ข้อมูล รับรองความปลอดภัย ร่วมกันโดยคอมพิวเตอร์หลายเครื่องผ่าน เครือข่าย มันอธิบายถึงกรอบการทำงานที่ อนุญาต ให้ คอมพิวเตอร์ เครื่องหนึ่งทำหน้าที่รักษาความปลอดภัยบางอย่างในนามของ คอมพิวเตอร์เครื่องอื่น อย่างน้อยหนึ่งเครื่อง การรับรองความถูกต้อง การกำหนดว่าผู้ใช้คือใคร การอนุญาต การพิจารณาว่า ผู้ใช้มีสิทธิ์ในการเข้าถึงระบบหรือเนื้อหาบางอย่าง พูดอย่างเคร่งครัดหมายถึงภาษาตัวแปร XML ที่ใช้ใน การเข้ารหัสข้อมูลทั้งหมด แต่คำนี้ยังสามารถครอบคลุมข้อความ โปรโตคอล และโปรไฟล์ต่าง ๆ ที่ประกอบขึ้นเป็นส่วนหนึ่งของมาตรฐาน SAML เป็นวิธีหนึ่งในการนำ single sign-on (SSO) ไปใช้ และแท้จริงแล้ว SSO นั้นเป็นกรณีการใช้งานที่พบบ่อยที่สุดของ SAML
การยืนยัน SAML คืออะไร
SAML Assertion เป็นเอกสาร XML ที่ผู้ให้บริการเอกลักษณ์ส่งไปยังผู้ให้บริการรวมถึงรายละเอียด การอนุญาตของผู้ใช้ การยืนยันที่มีข้อความการรับรองความถูกต้องได้รับการพัฒนาทันทีหลังจากที่ผู้ใช้รับรองความถูกต้องในช่วงเซสชั่น SAML Web SSO การยืนยัน SAML มีสามประเภท
1. การยืนยัน ความถูกต้องให้การระบุตัวตนของผู้ใช้และเวลาที่ผู้ใช้เข้าสู่ระบบและเทคนิคการตรวจสอบที่พวกเขาใช้
2. การยืนยัน คุณสมบัติจะส่งผ่านแอตทริบิวต์ ไปยังผู้ให้บริการ – แอตทริบิวต์เป็นข้อมูลเฉพาะที่ให้ข้อมูลเกี่ยวกับผู้ใช้
3. การยืนยัน การตัดสินใจ อนุญาตระบุว่าผู้ใช้นั้นได้รับอนุญาตให้ใช้บริการหรือหากผู้ให้บริการข้อมูลประจำตัวปฏิเสธคำขอของพวกเขา เนื่องจากความล้มเหลวของ รหัสผ่าน หรือการขาดสิทธิ์ในการใช้บริการ
กระบวนการ SAML Web SSO
SAML Web SSO สามารถเริ่มต้นได้จาก SP หรือ IdP โฟลว์เว็บ SSO ที่เริ่มต้นโดยผู้ให้บริการเอกลักษณ์เรียกว่า IdP-initiated ในขณะที่โฟลว์ที่เริ่มต้นที่ผู้ให้บริการเรียกว่า SP-initiated
- SSO ที่เริ่มต้นโดย Idp ผู้ใช้เริ่มต้นที่ ไอดีพี จะแนะนำผู้ใช้ให้รับรองความถูกต้องและแสดงลิงก์ไปยังผู้ให้บริการหนึ่งรายขึ้นไป (เช่นในรูปแบบเมนู) ที่ผู้ใช้จะสามารถเข้าถึงได้ในภายหลัง หลังจากการรับรองความถูกต้องของผู้ใช้ IdP จะสร้างการตอบกลับ SAML รวมถึงการยืนยันการตรวจสอบความถูกต้องและส่งผู้ใช้ออกไปยัง SP ที่ต้องการของผู้ใช้ หากผู้ใช้พยายามเชื่อมต่อกับ SP การยืนยันนั้นจะมากับเขา ในทางกลับกัน SP จะวิเคราะห์การยืนยันแล้วให้สิทธิ์การเข้าถึง (หรือปฏิเสธ) ตามการยืนยันนั้น
- SSO ที่เริ่ม SP นั้นตรงกันข้าม ผู้ใช้ไปที่ผู้ให้บริการก่อนและ SP เปลี่ยนเส้นทางเขาไปยังไอดีพี สำหรับการตรวจสอบ เนื่องจาก SSO ที่เริ่มต้นโดย SP คือการกำหนดค่าทั่วไปเราจะเจาะลึกลงไปในรายละเอียดของโฟลว์นี้
ที่กลาวคือ IdP สร้างการตอบกลับ SAML ในระยะที่ 4 ซึ่งประกอบด้วยการรับรองความถูกต้องซึ่งหมายถึงบริบทความปลอดภัยการเข้าสู่ระบบของผู้ใช้ การยืนยันมีการเซ็นชื่อแบบดิจิทัลแล้วส่งไปยัง เบราว์เซอร์ ของผู้ใช้ จากนั้นขั้นตอนต่อไป คือ การส่งต่อเบราว์เซอร์ของผู้ใช้ที่มีการเซ็นรับรองแบบดิจิทัลไปยัง SP ซึ่งจะตรวจสอบลายเซ็นดิจิทัลประมวลผลเนื้อหาของ การยืนยัน และ จากนั้น (หากตรงตามเงื่อนไขทั้งหมด) จะสร้างบริบทความปลอดภัยของผู้ใช้ . เมื่อเสร็จสิ้นผู้ใช้จะถูก “เข้าสู่ระบบ” ที่ SP และจะสามารถเข้าถึงบริการของ SP ได้
เพิ่มเติมเกี่ยวกับคุณสมบัติความปลอดภัยของ SAML (ภาษามาร์กอัปการยืนยันความปลอดภัย) ในโพสต์ในอนาคต
