SAML (Security Assertion Markup Language) چیست؟

پروتکل (SAML) یک استاندارد باز است که تجربه ورود به سیستم را برای کاربران ساده می‌کند و به آن‌ها اجازه می‌دهد که تنها  با یک مجموعه از اعتبارنامه‌ها (که معمولاً فقط یک بار وارد می‌شوند) به چندین برنامه دسترسی داشته باشند.SAML یک فناوری اساسی است که برنامه ها را به ارائه دهندگان هویت (Identity Provider - IdP) قابل اعتماد متصل می‌کند.

استاندارد SAML چگونه عمل می‌کند؟

استاندارد SAML دارای یک صفحه ورود به سیستم با فروشگاه هویت خاص به آن و قوانین احراز هویت متفاوت است تا بدین طریق کاربران قادر باشند از یک صفحه با یک گذرواژه وارد تمام نرم افزارهای تحت وب شوند. این بدان معناست که کاربران مجبور نیستند برای دسترسی به هر اپلیکیشنی گذرواژه‌ آن را حفظ کرده و مکررا وارد کنند. گذرواژه‌ها دیگر در معرض این رخداد یا سایر برنامه‌های شخص ثالث قرار نخواهند گرفت.

 استاندارد SAML از طریق برخی از فناوری‌های مهم در پشت صحنه عمل می‌کند. این فناوری­ها شامل این موارد هستند:

•  ارائه دهنده هویت: ابزار یا سرویسی مانند Duo Access Gateway که احراز هویت را بر عهده دارد و احراز هویت دو مرحله ای را فعال می‌کند

•  ارائه دهنده خدمات: نرم افزار تحت وب که کاربران سعی در دسترسی به آن دارند

• تصدیق استاندارد SAML:  پیامی که هویت کاربر و سایر عوامل شناسایی را تایید می‌کند و از طریق تغییر مسیرهای مرورگر ارسال می‌گردد

مزایای SAML چیست؟

SAML تجربه ورود به سیستم را برای کاربران ساده‌تر و امنیت را تقویت می‌کند و همچنین هزینه ها و میزان پیچیدگی را برای ارائه‌دهندگان خدمات کاهش می‌دهد. با SAML، افراد می توانند به روشی ایمن از اعتبارنامه‌ای که در اختیار دارند برای دسترسی به برنامه های مختلف استفاده کنند.

کاربران در SAML چه نقشی دارند؟

فرآیند SAML برای مدتی کوتاه برای کاربران وب قابل مشاهده است، البته نیازی به پیکربندی یا مدیریت چیزی از طرف آن‌ها نیست. از آنجایی که بیشتر فرآیند SAML در پشت صحنه اتفاق می‌افتد و از چشم کاربران مخفی است، آن‌‌ها می توانند از ورودی ساده و بی‌دردسر لذت ببرند.

ارائه‌دهندگان خدمات چگونه از SAML استفاده می کنند؟

ارائه‌دهندگان خدمات برنامه‌هایی را ارائه می دهند که کاربران تمایل به دسترسی به آن‌ها را دارند. آنها برنامه های خود را برای ایجاد و اعتماد به اتصالات SAML از طریق یک یا چند ارائه‌دهنده هویت پیکربندی و تنظیم می‌کنند.

ارائه‌دهندگان هویت IdP (Identity Provider) چه می‌کنند؟

ارائه‌دهندگان هویت درخواست‌های احراز هویت را بررسی می‌کنند و اطلاعات هویت و مجوزهای لازم را به برنامه‌های ارائه شده توسط ارائه‌دهندگان خدمات می‌فرستند. طرح Cisco Security Technology Alliance شامل چندین ارائه‌دهنده هویت شخص ثالث است.

آیا SAML از احراز هویت چند عاملی (Multi-factor Authentication) پشتیبانی می‌کند؟

بله، فناوری‌هایی مانند Duo multi-factor authentication و Duo single sign-on با هم کار می‌کنند تا فرآیند ورود از طریق SAML را ساده‌تر کنند و ایمن نگه دارند.

اصطلاحات مرتبط با SAML که باید بدانید

✓فدراسیون هویت (Identity Federation)

 Identity Federation نام فرآیند واگذاری مسئولیت احراز هویت به ارائه‌دهندگان هویت مورد اعتماد است. SAML و فناوری‌های مشابه، مانند OAuth و فدراسیون خدمات وب ( - Web Services Federation WS-Fed)، برای استفاده مجدد از اعتبارنامه‌های موجود در چندین برنامه و به شکلی ایمن، به Identity Federation متکی هستند.

✓اظهارات SAML ( SAML Assertions)

 SAML Assertions عبارت‌هایی هستند که یک ارائه‌دهنده هویت برای ارائه‌دهنده خدمات ارسال می‌کند که حاوی اطلاعات تصدیق هویت، ویژگی، یا مجوز است. به عنوان مثال، یک  SAML Assertion می‌تواند پاسخ بله (تأیید شده) یا خیر (احراز هویت ناموفق) را به ارائه‌دهنده خدمات بدهد.

✓ورود یکباره (Single Sign On - SSO)

SSO راهی برای ورود به چندین برنامه است که در آن کاربر اطلاعات ورود را تنها یک بار وارد می‌کند.. برای مثال، با Duo SSO، کاربران می‌توانند وارد یک داشبورد واحد محافظت‌شده با MFA شوند تا به همه برنامه‌های خود، چه مبتنی بر ابر و چه بومی، دسترسی داشته باشند.

✓توکن‌های SAML (SAML Tokens)

SAML Tokens اسنادی با قالب XML هستند که حاوی ادعاها یا اظهارات SAML هستند و یک نهاد در مورد نهادی دیگر ارائه می‌کند. برای مثال، یک ارائه‌دهنده هویت می‌تواند ادعا یا اظهار کند که کاربر واقعاً همان کسی است که می‌گوید به این صورت که سرویس توکن امنیتی ارائه‌دهنده آن توکن SAML  را به صورت دیجیتالی امضا می‌کند و به عنوان مدرک به ارائه دهنده خدمات می‌فرستد.

✓پروتکل دسترسی به دایرکتوری سبک (Lightweight Directory Access Protocol - LDAP)

LDAP یک استاندارد باز است که برای دسترسی به اطلاعات دایرکتوری از طریق شبکه IP استفاده می شود. SAML و LDAP هر دو پروتکل های احراز هویت هستند اما با این حال هر دو عملکرد متفاوتی دارند و برای اهداف متفاوتی استفاده می‌شوند. به عنوان مثال، LDAP اغلب برای احراز هویت داخلی استفاده می شود، در حالی که SAML اعتبارنامه‌های کاربر را به برنامه های کاربری ابری گسترش می دهد.