SAML vs. OUT

SAML ja OUT on kasutajate volitamise tehnilised standardid. Neid standardeid kasutavad veebirakenduste arendajad, turvaspetsialistid ja süsteemiadministraatorid, kes soovivad parandada oma identiteedihaldusteenust ja täiustada meetodeid, mis võimaldavad klientidel ressurssidele juurde pääseda mandaatide abil. Juhtudel, kui on vaja juurdepääsu portaalist rakendusele, on vaja tsentraliseeritud identiteedi allikat või ettevõtte ühtset sisselogimist. Sellistel juhtudel on eelistatav SAML. Juhtudel, kui on vaja ajutist juurdepääsu ressurssidele, näiteks kontodele või failidele, peetakse OAUTH-i paremaks valikuks. Mobiilse kasutamise korral kasutatakse enamasti OAUTH-i. Veebi ühekordse sisselogimise jaoks kasutatakse nii SAML-i (turbekinnitus ja märgistuskeel) kui ka OAUTH-i (avatud autoriseerimine), pakkudes võimalust ühekordse sisselogimise jaoks mitme veebirakenduse jaoks.

SAML

SAML kasutatakse selleks, et veebirakenduste SSO-teenuse pakkujad saaksid mandaate üle kanda ja teisaldada mandaate omava ID-teenuse pakkuja (IDP) ja teenusepakkuja (SP) vahel, mis on neid volitusi vajav ressurss. SAML on standardne autoriseerimis- ja autentimisprotokolli keel, mida kasutatakse enamasti föderatsiooni ja identiteedi haldamiseks koos ühekordse sisselogimise haldusega. Sisse SAML, XML-metaandmete dokumente kasutatakse kliendi identiteedi esitamise märgiks. Autentimis - ja autoriseerimisprotsess SAML on järgmine:

1. Kasutaja soovib brauseri kaudu teenusesse sisse logida.
2. Teenus teatab brauserile, et see autentib teenuses registreeritud konkreetse identiteedipakkuja (IdP).
3. Brauser edastab autentimisnõude registreeritud identiteedipakkujatele sisselogimiseks ja autentimiseks.
4. Eduka mandaadi / autentimise kontrollimisel genereerib IdP kasutaja identiteedi kontrollimiseks XML-põhise kinnitusdokumendi ja edastab selle brauserile.
5. Brauser edastab väite teenusepakkujale.
6. Teenusepakkuja (SP) aktsepteerib väite sisestamiseks ja võimaldab kasutajal teenusele juurde logida.

Vaatame nüüd tõsielulist näidet. Oletame, et kasutaja klõpsab nuppu Logi sisse suvand pildijagamisteenusel veebisaidil abc.com. Kasutaja autentimiseks teeb abc krüptitud SAML-i autentimisnõude.com. Taotlus saadetakse veebisaidilt otse autoriseerimisserverisse (IdP). Siin suunab teenusepakkuja kasutaja autoriseerimiseks IdP-sse. IdP kontrollib vastuvõetud SAML-i autentimistaotlust ja kui taotlus osutub kehtivaks, esitab see kasutajale mandaatide sisestamiseks sisselogimisvormi. Pärast seda, kui kasutaja on mandaadi sisestanud, loob IdP SAML-i kinnituse või SAML-i loa, mis sisaldab kasutaja andmeid ja identiteeti, ning saadab selle teenusepakkujale. Teenusepakkuja (SP) kontrollib SAML-i väidet ja eraldab kasutaja andmed ning identiteedi, määrab kasutajale õiged õigused ja logib kasutaja teenusesse.

Veebirakenduste arendajad saavad SAML-i pistikprogrammide abil tagada, et rakendus ja ressurss järgivad vajalikke ühekordse sisselogimise tavasid. See tagab parema kasutaja sisselogimiskogemuse ja tõhusamad turbepraktikad, mis kasutavad ühist identiteedistrateegiat. Kui SAML on paigas, saavad ressursile juurde pääseda ainult õige identiteedi ja kinnituse märgiga kasutajad.

OUT

OUT kasutatakse juhul, kui on vaja ühelt teenuselt teisele teenusele volitusi edastada ilma tegelikke mandaate, nagu parool ja kasutajanimi, jagamata. Kasutamine OUT, kasutajad saavad sisse logida ühe teenusega, pääseda juurde teiste teenuste ressurssidele ja teha teenusega toiminguid. OAUTH on parim viis, mida kasutatakse ühekordse sisselogimise platvormi kaudu volituse edastamiseks teisele teenusele või platvormile või kahe veebirakenduse vahel. The OUT töövoog on järgmine:

1. Kasutaja klõpsab ressursside jagamisteenuse nuppu Logi sisse.
2. Ressursiserver näitab kasutajale volituse andmist ja suunab kasutaja autoriseerimisserverisse.
3. Kasutaja taotleb autoriseerimisserverilt juurdepääsuluba volituse andmise koodi abil.
4. Kui kood on pärast autoriseerimisserverisse sisselogimist kehtiv, saab kasutaja juurdepääsuloa, mida saab kasutada ressursiserverist kaitstud ressursi hankimiseks või sellele juurdepääsuks.
5. Juurdepääsu lubamise märgiga kaitstud ressursi taotluse saamisel kontrollib ressursiserver autoriseerimisserveri abil juurdepääsuloa kehtivust.
6. Kui luba on kehtiv ja läbib kõik kontrollid, annab ressursiserver kaitstud ressursi.

OAUTHi üks levinumaid kasutusviise on veebirakenduse juurdepääs sotsiaalmeedia platvormile või muule veebikontole. Google'i kasutajakontosid saab kasutada paljude tarbijarakendustega mitmel erineval põhjusel, näiteks ajaveebi pidamine, võrgumängimine, sotsiaalmeedia kontodega sisselogimine ja uudiste veebisaitide artiklite lugemine. Nendel juhtudel töötab OAUTH taustal, nii et neid väliseid üksusi saab linkida ja pääseda juurde vajalikele andmetele.

OAUTH on hädavajalik, kuna peab olema võimalus autoriseerimisteavet erinevate rakenduste vahel saata ilma kasutaja mandaate jagamata või paljastamata. OAUTHi kasutatakse ka ettevõtetes. Oletame näiteks, et kasutaja peab oma kasutajanime ja parooliga pääsema juurde ettevõtte ühekordse sisselogimise süsteemile. SSO annab talle juurdepääsu kõigile vajalikele ressurssidele, edastades neile rakendustele või ressurssidele OAUTH-i volituste märgid.

Järeldus

OAUTH ja SAML on mõlemad veebirakenduste arendaja või süsteemiadministraatori seisukohast väga olulised, samas kui mõlemad on väga erinevate tööriistadega, millel on erinevad funktsioonid. OAUTH on juurdepääsu autoriseerimise protokoll, samas kui SAML on sekundaarne asukoht, mis analüüsib sisendit ja annab kasutajale loa.