Внедрение SAML: определение, преимущества и этапы

25 ноября 2021 г.

Внедрение SAML упрощает процессы аутентификации и авторизации для пользователей, поставщиков удостоверений и поставщиков услуг. SAML предлагает решение, позволяющее поставщику удостоверений и поставщику услуг существовать независимо. Он также централизует управление пользователями. В этой статье мы обсудим, что такое SAML, каковы его преимущества и как его использовать с помощью руководства.

Что такое САМЛ?

SAML расшифровывается как язык разметки утверждений безопасности и относится к стандарту единого входа (SSO), позволяющему пользователям входить в приложения. SAML основан на XML и обеспечивает надлежащую передачу данных между двумя сторонами: поставщиком удостоверений (IDP) и поставщиком услуг (SP). Роль поставщика удостоверений заключается в обеспечении аутентификации и передаче удостоверения пользователя и уровня авторизации поставщику услуг. Задача поставщика услуг — доверять поставщику удостоверений и разрешать пользователю доступ к запрошенному ресурсу.

Как работает SAML?

SAML работает путем передачи удостоверения пользователя от поставщика удостоверений поставщику услуг через документы XML с цифровой подписью. Реализация SAML защищает метод получения прохода для аутентификации и авторизации пользователя и упрощает передачу между поставщиком удостоверений и поставщиком услуг.

Когда пользователь входит в приложение с поддержкой SAML, поставщик услуг запрашивает авторизацию у поставщика удостоверений. Поставщик удостоверений отвечает на запрос, передавая учетные данные пользователя поставщику услуг, что позволяет пользователю использовать приложение. Вот еще несколько фактов о том, как работает эта система:

• Поставщик услуг не взаимодействует напрямую с поставщиком удостоверений. Отдельный браузер управляет всеми перенаправлениями.

• Поставщик услуг не может идентифицировать пользователя до тех пор, пока подтверждение SAML не вернется от поставщика удостоверений.

• Поток аутентификации SAML является асинхронным. Поставщик услуг не знает, может ли поставщик удостоверений завершить весь поток, и в результате поставщик услуг не поддерживает никаких запросов проверки подлинности.

Когда поставщик услуг получает ответ от поставщика удостоверений, ответ содержит всю необходимую информацию.

Преимущества внедрения SAML

Внедрение SAML имеет ряд преимуществ, в том числе:

• Вы экономите время, сохраняя свои учетные данные при входе в систему.

• Пароль, который вы выбираете, может быть как коротким, так и длинным, как вы хотите.

• Пользовательский опыт улучшается, позволяя пользователям войти в систему только один раз и оставаться в системе, а также помогая пользователям получить доступ к более чем одному поставщику услуг.

• Безопасность повышается, поскольку SAML обеспечивает единую точку аутентификации, где информация об удостоверении передается поставщикам услуг. Эта форма аутентификации обеспечивает прямую передачу учетных данных поставщику удостоверений.

• Затраты поставщиков услуг снижаются, поскольку теперь роль поставщика удостоверений заключается в том, чтобы хранить информацию об учетной записи в нескольких службах.

Предварительные условия для включения единого входа

Прежде чем включить единый вход, важно убедиться, что адрес электронной почты учетной записи пользователя совпадает с его адресом электронной почты в каталоге компании. После этого выполните следующие шаги:

1. Нажмите на изображение своего профиля.

2. Выберите «Настройки».

3. Нажмите «Безопасность».

4. На странице «Безопасность» перейдите к разделу «SAMLSSO».

5. Убедитесь, что тег «Отключено» отображается рядом с заголовком «SAML SSO».

Как включить единый вход

Если вы хотите успешно включить систему единого входа, выполните следующие действия:

1. Нажмите на изображение своего профиля.

2. Выберите «Настройки».

3. Нажмите «Безопасность».

4. На странице «Безопасность» перейдите к разделу «SAM LSSO».

5. Нажмите кнопку «Настроить SAML SSO».

6. Настройте поставщика удостоверений с помощью метаданных.

7. Нажмите «Продолжить».

8. Далее вам необходимо указать метаданные от вашего провайдера. Вы можете либо ввести ссылку для предоставления XML, либо ввести XML в виде текста.

9. Нажмите кнопку “Далее.”

10. Нажмите кнопку «Продолжить и включить SAML».

11. Затем вы получите электронное письмо с кодом для подтверждения реализации SSO.

12. Введите код из полученного письма в открывшемся всплывающем окне.

13. Нажмите «Подтвердить».

Как внедрить SAML

Чтобы обеспечить успешное внедрение SAML, выполните следующие действия:

1. Обеспечить обмен идентификационной информацией

Вы достигаете обмена информацией об идентичности через метаданные XML между поставщиком услуг и поставщиком удостоверений. Эти данные позволяют поставщику услуг и поставщику удостоверений гарантировать безопасную передачу аутентификации между двумя сторонами. SAML предлагает формат данных, который люди могут использовать для облегчения процесса доверия.

2. Настройте поставщика удостоверений

Этот шаг необходим для того, чтобы ваш поставщик удостоверений мог взаимодействовать с поставщиком услуг с помощью SAML. Все продукты, поддерживающие SAML в режиме поставщика удостоверений, служат для аутентификации пользователей, но у каждого продукта свой процесс настройки и настройки. Обязательно определите процесс для вашего конкретного продукта SAML.

3. Включите SAML в настройках конфигурации

Во-первых, вы обеспечиваете настройку SAML в своей системе. Затем вы сможете найти файл метаданных, содержащий эту информацию. Обычно именно ваш менеджер по работе с клиентами включает SAML у поставщика услуг.

4. Проверьте соединение с единым входом

Чтобы завершить настройку, проверьте процесс входа в систему. Для этого обратитесь к своему поставщику услуг. Затем вы попадаете в интерфейс службы федерации Active Directory (ADFS), где вы вводите свое имя пользователя и пароль. После аутентификации вы будете перенаправлены к поставщику услуг, уже вошедшему в вашу учетную запись.

Когда вы подтвердите, что реализация SAML работает правильно в тестовой среде, вы можете повторить те же шаги для тестирования на реальной установке. Ваш координатор проекта помогает включить SAML в вашей рабочей конфигурации после того, как вы подтвердите это на портале тестирования.

5. Выйти в эфир

Прежде чем перейти к следующему шагу, убедитесь, что вы удовлетворены результатами теста. После завершения тестирования вы можете выполнить единый вход к поставщику услуг. Текущая реализация SAML позволяет пользователям, которые уже существуют в базе данных поставщика услуг, входить в систему.