پروتکل (SAML) یک استاندارد باز است که تجربه ورود به سیستم را برای کاربران ساده میکند و به آنها اجازه میدهد که تنها با یک مجموعه از اعتبارنامهها (که معمولاً فقط یک بار وارد میشوند) به چندین برنامه دسترسی داشته باشند.SAML یک فناوری اساسی است که برنامه ها را به ارائه دهندگان هویت (Identity Provider - IdP) قابل اعتماد متصل میکند.
استاندارد SAML دارای یک صفحه ورود به سیستم با فروشگاه هویت خاص به آن و قوانین احراز هویت متفاوت است تا بدین طریق کاربران قادر باشند از یک صفحه با یک گذرواژه وارد تمام نرم افزارهای تحت وب شوند. این بدان معناست که کاربران مجبور نیستند برای دسترسی به هر اپلیکیشنی گذرواژه آن را حفظ کرده و مکررا وارد کنند. گذرواژهها دیگر در معرض این رخداد یا سایر برنامههای شخص ثالث قرار نخواهند گرفت.
استاندارد SAML از طریق برخی از فناوریهای مهم در پشت صحنه عمل میکند. این فناوریها شامل این موارد هستند:
ارائه دهنده هویت: ابزار یا سرویسی مانند Duo Access Gateway که احراز هویت را بر عهده دارد و احراز هویت دو مرحله ای را فعال میکند
ارائه دهنده خدمات: نرم افزار تحت وب که کاربران سعی در دسترسی به آن دارند
تصدیق استاندارد SAML: پیامی که هویت کاربر و سایر عوامل شناسایی را تایید میکند و از طریق تغییر مسیرهای مرورگر ارسال میگردد
SAML تجربه ورود به سیستم را برای کاربران سادهتر و امنیت را تقویت میکند و همچنین هزینه ها و میزان پیچیدگی را برای ارائهدهندگان خدمات کاهش میدهد. با SAML، افراد می توانند به روشی ایمن از اعتبارنامهای که در اختیار دارند برای دسترسی به برنامه های مختلف استفاده کنند.
فرآیند SAML برای مدتی کوتاه برای کاربران وب قابل مشاهده است، البته نیازی به پیکربندی یا مدیریت چیزی از طرف آنها نیست. از آنجایی که بیشتر فرآیند SAML در پشت صحنه اتفاق میافتد و از چشم کاربران مخفی است، آنها می توانند از ورودی ساده و بیدردسر لذت ببرند.
ارائهدهندگان خدمات برنامههایی را ارائه می دهند که کاربران تمایل به دسترسی به آنها را دارند. آنها برنامه های خود را برای ایجاد و اعتماد به اتصالات SAML از طریق یک یا چند ارائهدهنده هویت پیکربندی و تنظیم میکنند.
ارائهدهندگان هویت درخواستهای احراز هویت را بررسی میکنند و اطلاعات هویت و مجوزهای لازم را به برنامههای ارائه شده توسط ارائهدهندگان خدمات میفرستند. طرح Cisco Security Technology Alliance شامل چندین ارائهدهنده هویت شخص ثالث است.
بله، فناوریهایی مانند Duo multi-factor authentication و Duo single sign-on با هم کار میکنند تا فرآیند ورود از طریق SAML را سادهتر کنند و ایمن نگه دارند.
Identity Federation نام فرآیند واگذاری مسئولیت احراز هویت به ارائهدهندگان هویت مورد اعتماد است. SAML و فناوریهای مشابه، مانند OAuth و فدراسیون خدمات وب ( - Web Services Federation WS-Fed)، برای استفاده مجدد از اعتبارنامههای موجود در چندین برنامه و به شکلی ایمن، به Identity Federation متکی هستند.
SAML Assertions عبارتهایی هستند که یک ارائهدهنده هویت برای ارائهدهنده خدمات ارسال میکند که حاوی اطلاعات تصدیق هویت، ویژگی، یا مجوز است. به عنوان مثال، یک SAML Assertion میتواند پاسخ بله (تأیید شده) یا خیر (احراز هویت ناموفق) را به ارائهدهنده خدمات بدهد.
SSO راهی برای ورود به چندین برنامه است که در آن کاربر اطلاعات ورود را تنها یک بار وارد میکند.. برای مثال، با Duo SSO، کاربران میتوانند وارد یک داشبورد واحد محافظتشده با MFA شوند تا به همه برنامههای خود، چه مبتنی بر ابر و چه بومی، دسترسی داشته باشند.
SAML Tokens اسنادی با قالب XML هستند که حاوی ادعاها یا اظهارات SAML هستند و یک نهاد در مورد نهادی دیگر ارائه میکند. برای مثال، یک ارائهدهنده هویت میتواند ادعا یا اظهار کند که کاربر واقعاً همان کسی است که میگوید به این صورت که سرویس توکن امنیتی ارائهدهنده آن توکن SAML را به صورت دیجیتالی امضا میکند و به عنوان مدرک به ارائه دهنده خدمات میفرستد.
LDAP یک استاندارد باز است که برای دسترسی به اطلاعات دایرکتوری از طریق شبکه IP استفاده می شود. SAML و LDAP هر دو پروتکل های احراز هویت هستند اما با این حال هر دو عملکرد متفاوتی دارند و برای اهداف متفاوتی استفاده میشوند. به عنوان مثال، LDAP اغلب برای احراز هویت داخلی استفاده می شود، در حالی که SAML اعتبارنامههای کاربر را به برنامه های کاربری ابری گسترش می دهد.