SAML (Security Assertion Markup Language) jest to otwarty standard XML, który ułatwia użytkownikom dostęp do aplikacji bez konieczności stosowania wielu nazw użytkowników i haseł do różnych aplikacji. Jest to możliwe dzięki ułatwieniu bezpiecznej wymiany danych uwierzytelniania i autoryzacji między aplikacjami.
SAML jest jednym z najczęściej stosowanych standardów, dzięki któremu użytkownik w bardzo prosty sposób ma bezpieczny dostęp do aplikacji w chmurze za pośrednictwem logowania jednokrotnego czyli SSO. Dzięki niemu możemy mieć dostęp do wszystkich głównych aplikacji w chmurze takich jak Office 365, G Suite, Salesforce, Dropbox czy ServiceNow.
Logowanie SAML jest możliwe w systemie ADSelfServie Plus.
W jaki sposób działa uwierzytelnianie SAML?
Żeby można było użyć uwierzytelniania SAML niezbędne są trzy podmioty:
- Użytkownik – czyli osoba, która chcę uzyskać dostęp do usługi
- Usługodawca – czyli aplikacja świadcząca usługę jak na przykład Office 365 lub Dropbox
- Dostawca tożsamości – czyli aplikacja uwierzytelniająca użytkownika, na przykład ADSelfService Plus
Dostawca tożsamości może przechowywać dane użytkownika, na podstawie których następuje logowanie i używać ich do uwierzytelniania. Takie dane mogą być również przechowywane w innej infrastrukturze, na przykład ADSelfService Plus. System daje możliwość uwierzytelniania użytkownika na podstawie tożsamości z usługi Active Directory.
Logowanie jednokrotne SAML
Żeby logowanie jednokrotne SAML było możliwe, pomiędzy dostawcą tożsamości a usługodawcą musi zostać ustanowione zaufanie. Ustawienie takiego zaufania obejmuje zazwyczaj konfigurację usługodawcy przy użyciu adresów URL logowania i wylogowania jednokrotnego oraz certyfikatu X.509 wystawionego poprzez dostawcę tożsamości. Niezbędna jest również konfiguracja dostawcy tożsamości przy użyciu unikatowych atrybutów specyficznych dla usługodawcy. Po ustawieniu takiego zaufania usługodawca deleguje cały obowiązek uwierzytelniania na dostawcę tożsamości.
Zainicjowanie jednokrotnego logowania SAML w ADSelfService Plus użytkownik może zacząć od dowolnej instancji, czy to od usługodawcy, czy od dostawcy tożsamości. Logowanie jednokrotne SAML będzie działało niezależnie od tego, czy użytkownik najpierw będzie chciał się zalogować do swojej aplikacji w chmurze czy do ADSelfService Plus.
Sposób, w jaki usługa jednokrotnego logowania SAML jest inicjowana przez usługodawcę oraz jaki jest jej przepływ, ukazany został na rysunku poniżej.
- Użytkownik rozpoczyna od próby dostępu do usługodawcy
- Usługodawca generuje żądanie uwierzytelnienia SAML i przekierowuje użytkownika do dostawcy tożsamości
- Użytkownik proszony jest o uwierzytelnienie się na przykład poprzez aplikację
- Uprawnienia zostają wysłane do weryfikacji w bazie danych
- Baza danych przesyła akceptację zweryfikowanych uprawnień do dostawcy tożsamości
- Dostawca tożsamości odpowiada usługodawcy, że użytkownik się uwierzytelnił
- Użytkownik dostaje dostęp do usługodawcy
Logowanie SAML w ADSelfService Plus
Jeśli logowanie jednokrotne jest inicjowane przez dostawcę tożsamości takiego jak ADSelfService, wygląda to w następujący sposób.
- Użytkownik rozpoczyna od logowania do dostawcy tożsamości np. ADSelfService Plus
- Po zalogowaniu użytkownik przechodzi do odpowiedniej zakładki i wybiera ikonę dostawcy, do którego chcę się uwierzytelnić.
- Dostawca tożsamości przekierowuje użytkownika do usługi wraz z odpowiedzą SAML
- Usługodawca odbiera odpowiedz SAML i weryfikuje ją
- Po pomyślnym zweryfikowaniu usługa przyznaje dostęp użytkownikowi.
Logowanie jednokrotne SAML posiada wiele zalet, które sprawiają, że jest to bardzo popularne rozwiązanie w organizacjach. Dzięki niemu nie musimy posiadać wielu haseł do usług, co znacząco zwiększa bezpieczeństwo oraz poprawia komfort użytkownika eliminując konieczność wielokrotnego logowania w ciągu dnia pracy.
Wprowadzenie jednokrotnego logowania SAML w ADSelfService Plus poprawia również pracę administratorów IT. Nie muszą się martwić o połączenia z działem pomocy technicznej związane z hasłami oraz zarządzaniem wieloma tożsamościami w usługach.
02.12.2022
Autor: Kamil Cieśla
Kategorie: Aktualności Artykuł
Polecane artykuły
Relaksuj się wiedząc, że masz backup! Webinar o tworzeniu kopii zapasowych
do 22 lipca 2021