02.12.2022

Autor: Kamil Cieśla

Kategorie: Aktualności, Artykuł

SAML (Security Assertion Markup Language) jest to otwarty standard XML, który ułatwia użytkownikom dostęp do aplikacji bez konieczności stosowania wielu nazw użytkowników i haseł do różnych aplikacji. Jest to możliwe dzięki ułatwieniu bezpiecznej wymiany danych uwierzytelniania i autoryzacji między aplikacjami. 

 

SAML jest jednym z najczęściej stosowanych standardów, dzięki któremu użytkownik w bardzo prosty sposób ma bezpieczny dostęp do aplikacji w chmurze za pośrednictwem logowania jednokrotnego czyli SSO. Dzięki niemu możemy mieć dostęp do wszystkich głównych  aplikacji w chmurze takich jak Office 365, G Suite, Salesforce, Dropbox czy ServiceNow.

Logowanie SAML jest możliwe w systemie ADSelfServie Plus.

W jaki sposób działa uwierzytelnianie SAML? 

Żeby można było użyć uwierzytelniania SAML niezbędne są trzy podmioty:

  • Użytkownik – czyli osoba, która chcę uzyskać dostęp do usługi
  • Usługodawca – czyli aplikacja świadcząca usługę jak na przykład Office 365 lub Dropbox
  • Dostawca tożsamości – czyli aplikacja uwierzytelniająca użytkownika, na przykład ADSelfService Plus

Dostawca tożsamości może przechowywać dane użytkownika, na podstawie których następuje logowanie i używać ich do uwierzytelniania. Takie dane mogą być również przechowywane w innej infrastrukturze, na przykład ADSelfService Plus. System daje możliwość uwierzytelniania użytkownika na podstawie tożsamości z usługi Active Directory.

Logowanie jednokrotne SAML

Żeby logowanie jednokrotne SAML było możliwe, pomiędzy dostawcą tożsamości a usługodawcą musi zostać ustanowione zaufanie. Ustawienie takiego zaufania obejmuje zazwyczaj konfigurację usługodawcy przy użyciu adresów URL logowania i wylogowania jednokrotnego oraz certyfikatu X.509 wystawionego poprzez dostawcę tożsamości. Niezbędna jest również konfiguracja dostawcy tożsamości przy użyciu unikatowych atrybutów specyficznych dla usługodawcy. Po ustawieniu takiego zaufania usługodawca deleguje cały obowiązek uwierzytelniania na dostawcę tożsamości.

Zainicjowanie jednokrotnego logowania SAML w ADSelfService Plus użytkownik może zacząć od dowolnej instancji, czy to od usługodawcy, czy od dostawcy tożsamości. Logowanie jednokrotne SAML będzie działało niezależnie od tego, czy użytkownik najpierw będzie chciał się zalogować do swojej aplikacji w chmurze czy do ADSelfService Plus.

 

Sposób, w jaki usługa jednokrotnego logowania SAML jest inicjowana przez usługodawcę oraz jaki jest jej przepływ, ukazany został na rysunku poniżej.

Schemat Uwierzytelnianie SAML ManageEngine
  1. Użytkownik rozpoczyna od próby dostępu do usługodawcy
  2. Usługodawca generuje żądanie uwierzytelnienia SAML i przekierowuje użytkownika do dostawcy tożsamości
  3. Użytkownik proszony jest o uwierzytelnienie się na przykład poprzez aplikację
  4. Uprawnienia zostają wysłane do weryfikacji w bazie danych
  5. Baza danych przesyła akceptację zweryfikowanych uprawnień do dostawcy tożsamości
  6. Dostawca tożsamości odpowiada usługodawcy, że użytkownik się uwierzytelnił
  7. Użytkownik dostaje dostęp do usługodawcy

Logowanie SAML w ADSelfService Plus


Jeśli logowanie jednokrotne jest inicjowane przez dostawcę tożsamości takiego jak ADSelfService, wygląda to w następujący sposób.

Screenshot Logowanie SAML w ADSelfErvice ManageEngine
  1. Użytkownik rozpoczyna od logowania do dostawcy tożsamości np. ADSelfService Plus
  2. Po zalogowaniu użytkownik przechodzi do odpowiedniej zakładki i wybiera ikonę dostawcy, do którego chcę się uwierzytelnić.
  3. Dostawca tożsamości przekierowuje użytkownika do usługi wraz z odpowiedzą SAML
  4. Usługodawca odbiera odpowiedz SAML i weryfikuje ją
  5. Po pomyślnym zweryfikowaniu usługa przyznaje dostęp użytkownikowi.

Logowanie jednokrotne SAML posiada wiele zalet, które sprawiają, że jest to bardzo popularne rozwiązanie w organizacjach. Dzięki niemu nie musimy posiadać wielu haseł do usług, co znacząco zwiększa bezpieczeństwo oraz poprawia komfort użytkownika eliminując konieczność wielokrotnego logowania w ciągu dnia pracy.

 

Wprowadzenie jednokrotnego logowania SAML w ADSelfService Plus poprawia również pracę administratorów IT. Nie muszą się martwić o połączenia z działem pomocy technicznej związane z hasłami oraz zarządzaniem wieloma tożsamościami w usługach.

 

02.12.2022

Autor: Kamil Cieśla

Kategorie: Aktualności Artykuł

Newsletter. Bądź na bieżąco.

Kontakt

MWT SOLUTIONS S.A.

ul. Szyperska 14, 61-754 Poznań

Napisz do nas: