تعدد و تنوع نرم افزارها و سرویس هایی که نیاز هست تا کاربران به هر کدام از آنها وارد شوند نیازمند احراز هویت کاربر است این احراز هویت با ارایه یک نام کاربری و رمز عبور معمولا اتفاق می افتد رشد نرم افزارها و لزوم بخاطر سپردن دهها نام کاربری و رمز عبور کار را برای همه دشوار کرده چه کاربران چه مدیران فناوری اطلاعات که میخواهند امنیت اطلاعات و دسترسی ها را مدیریت و کنترل کنند بنابراین لزوم وجود راهکارهای یکپارچه برای افزایش امنیت، سهولت در مدیریت دسترسی ها و افزایش رضایتمندی کاربران و پس اندازه کردن زمان انرژی در این حوزه نیز احساس شده آنچنان که روشهایی برای نیل به این مزایا ارایه شده که یکز از آنها SAML است.
Security Assertion Markup Language (SAML) یک استاندارد باز است که به ارائه دهندگان هویت (IPP) اجازه می دهد تا مجوزات امنیتی، تصدیق و احراز هویت را به ارائه دهندگان خدمات (SP) منتقل کنند. این یعنی آنکه می توانید برای ورود به نرم افزارهای تحت وب، پورتال ها و یا وب سایت های مختلف، از یک گواهینامه امنیتی احراز هویت واحد استفاده کنید. همین مدیریت یک ورود به سیستم برای هر کاربر بسیار ساده تر از مدیریت ورود جداگانه ورود به سرویس ایمیل، نرم افزارهای سازمانی، نرم افزار مدیریت ارتباط با مشتری (CRM) ، اکیتودایرکتوری و غیره است زیرا تنها از یک نقطه واحد امکان ارایه احراز هویت کاربر را برای ورود به هر سیستمی خواهید داد و نیازی به مدیریت و کنترل ورودهای مختلف افراد در نرم افزارهای مختلف نیست.
استاندارد SAML از زبان نشانه گذاری گسترده (XML) برای برقراری ارتباطات استاندارد بین ارائه دهنده هویت و ارائه دهندگان خدمات استفاده می کند. در کلامی ساده تر: SAML ارتباط بین تأییدکننده هویت کاربر و مجوز استفاده از یک سرویس است. این استانداردی برای ورود کاربران به برنامه های کاربردی مختلف را بر اساس جلسات مشترک میسر می کند. این استاندارد در حقیقت یک SSO یا Single Sign One “ورود یکباره به سیستم” هست یعنی کاربر تنها پس از یک بار احراز هویت نام کاربری و رمز او قادر به ورود به هر سیستمی که از این استاندارد استفاده می کند هست این استاندارد مزایای قابل توجهی بجای استفاده از نام کاربری و رمز عبور بهمراه دارد که بشرح زیر است:
بیشتر سازمانها همکنون از احراز هویت کاربران با ورود آنها به دامنه اکتیودایرکتوری استفاده می کنند اما مشکل اینجاست که اگر بخواهیم به نرم افزارهای بیشتری دسترسی داشته باشیم باید دنباله رو راهکار دیگری باشیم.
SAML بسیار قدرتمند و انعطاف پذیر است. اما چون قابلیت های بصری و کاربری آسانی ندارد معمولا هرگونه ادغامی با زمانبر خواهد بود بنابراین ابزارهای SAML منبع باز نظیر: OneLogin می توانند به جای ماهها ، به شما کمک کنند تا SAML را در یک ساعت ادغام کنید.
پروتکل احراز هویت SAML SSO با انتقال هویت کاربر از یک مکان (ارائه دهنده هویت) به دیگری (ارائه دهنده خدمات) کار می کند. این کار از طریق تبادل اسناد XML امضا شده دیجیتالی انجام می شود.
این سناریوی را در نظر بگیرید: کاربر در یک سیستم وارد می شود که به عنوان ارائه دهنده هویت عمل می کند. مثلا اکیتودایرکتوری (زمانی کاربر به ویندوز لاگین میکند!) کاربر می خواهد به یک برنامه از راه دور مانند یک برنامه پشتیبانی یا حسابداری (ارائه دهنده خدمات) نیز وارد شود. موارد زیر اتفاق می افتد:
کنسرسیوم OASIS SAML 2.0 در سال ۲۰۰۵ تصویب شد. استاندارد از ۱٫۱ به بعد طور قابل توجهی تغییر کرد. پذیرش SAML به فروشگاه های IT اجازه می دهد تا ضمن حفظ یک سیستم مدیریت هویت امن مرکزی و متمرکز، از نرم افزار به عنوان راه حل های سرویس (SaaS) استفاده کنند. SAML Single-Sign On (SSO) را قادر می سازد ، اصطلاحی است به این معنی که کاربران می توانند یک بار وارد سیستم شوند و از همان اعتبارنامه های مشابه می توان برای ورود به سایر ارائه دهندگان خدمات استفاده مجدد کرد.
SAML فرآیندهای تأیید اعتبار و مجوز را برای کاربران ، ارائه دهندگان هویت و ارائه دهندگان خدمات بطور مرکزی ساده می کند. SAML راه حلی را ارائه می دهد تا به ارائه دهنده هویت و ارائه دهندگان خدمات شما اجازه دهد جدا از یکدیگر وجود داشته باشند، مدیریت کاربر را متمرکز کرده و به راه حل های SaaS دسترسی می دهد.
SAML روشی مطمئن برای تصدیق اعتبار کاربر و مجوزهای بین ارائه دهنده هویت و ارائه دهندگان خدمات پیاده سازی می کند. وقتی کاربر وارد یک برنامه فعال شده SAML می شود ، ارائه دهنده سرویس از ارائه دهنده هویت مناسب درخواست مجوز می کند. ارائه دهنده شناسنامه اعتبار کاربر را تأیید می کند و سپس مجوز مربوط به کاربر را به ارائه دهنده خدمات برمی گرداند، و کاربر اکنون قادر به استفاده از برنامه است.
احراز هویت SAML فرایند تأیید هویت و اعتبار کاربر (رمز عبور ، تأیید هویت دو عاملی و غیره) است. مجوز SAML به ارائه دهنده خدمات می گوید که چه چیزی برای اعطای کاربر معتبر دسترسی دارد.
ارائه دهنده SAML سیستمی است که به کاربر کمک می کند تا به خدمات مورد نیاز خود دسترسی پیدا کند. دو نوع اصلی ارائه دهندگان SAML ، ارائه دهنده خدمات و ارائه دهنده هویت وجود دارد.
اکتیودایرکتوری مایکروسافت[۱] یا Azure از جمله “ارایه دهندگان هویت” رایج هستند. نرم افزارهای اتوماسیون و یا سایر راه حل های CRM معمولاً از جمله” ارائه دهنده خدمات” هستند، به این دلیل که برای تأیید اعتبار کاربر به یک ارائه دهنده هویت بستگی دارند.
SAML Assertion یک سند XML است که ارائه دهنده هویت به ارائه دهنده سرویس ارسال می کند که حاوی مجوز کاربر است. سه نوع مختلف از ادعاهای SAML وجود دارد – تأیید اعتبار ، ویژگی و تصمیم مجوز.
ادعاهای تأیید هویت، شناسایی کاربر را اثبات می کند و زمان ورود کاربر را به شما معرفی می کند و اینکه از چه روشی برای احراز هویت استفاده کرده است (به عنوان مثال ، Kerberos ، فاکتور ۲ عاملی، NTLM و غیره)
ادعای انتساب ویژگی های SAML را به ارائه دهنده خدمات منتقل می کند – ویژگی های SAML قطعات خاصی از داده ها هستند که اطلاعات مربوط به کاربر را ارائه می دهند.
ادعای تصمیم مجوز، می گوید یا کاربر مجاز به استفاده از خدمات باشد یا اینکه ارائه دهنده درخواست خود را به دلیل خرابی رمز عبور یا عدم دسترسی به خدمات شناسایی و رد میکند.
خانم ستوده (کاربر) اولین چیزی است که صبح وارد سیستم اش می شود آنهم از طریق SSO.
سپس او سعی می کند تا صفحه وب CRM خود باز کند.
CRM – ارائه دهنده خدمات – مدارک معتبر خانم ستوده را با ارائه دهنده هویت، چک می کند.
ارائه دهنده هویت پیام های مجوز و تأیید اعتبار را به ارائه دهنده خدمات ارسال می کند، که به خانم ستوده اجازه می دهد تا وارد CRM شود.
خانم ستوده می تواند از CRM استفاده کند و کار را انجام دهد.
این پروسه برای هر تعداد کاربر با هر تعداد نرم افزار (ارایه دهنده خدمت) قابل تعمیم است.
احراز هویت کاربران نسبت به برنامه های کاربردی احتمالاً یکی از بزرگترین چالشی است که بخش فناوری اطلاعات با آن روبرو است. سیستم های مختلف زیادی وجود دارد که کاربر به آنها نیاز دارد به آنها دسترسی پیدا کند و به همین دلیل پروتکل های تأیید هویت که استانداردهای باز هستند در جهان ارایه شده، ما پنج مورد متداول را معرفی می کنیم:
OAuth یک استاندارد تقریبا جدید است که توسط Google و توئیتر برای فعال کردن ورود ساده به اینترنت ساخته شده. OAuth از یک متدلوژی مشابه SAML برای به اشتراک گذاری اطلاعات ورود به سیستم استفاده می کند. اما SAML کنترل بیشتری در اختیار سازمانها می گذارد تا ورود SSO خود را ایمن تر نگه دارند. از طرفی OAuth در تلفن های همراه بهتر است و از JSON استفاده می کند.
فیسبوک و گوگل هر دو ارائه دهنده OAuth هستند که ممکن است از آنها برای ورود به سایت های اینترنتی دیگر استفاده کنید. احتمالا بسیار دیده اید که فلان سایت برای ورود از شما اتصال به Gmail و Facebook می خواهد این همان پروتکل OAuth است که شما را احراز هویت می کند بی آنکه نام کاربری و رمز عبور جدیدی در فلان سایت تعریف کنید.
SAML و SSO برای هر استراتژی امنیت سایبری سازمانی مهم هستند. بهترین شیوه های مدیریت هویت مستلزم این است که حسابهای کاربری فقط به منابعی که کاربر برای انجام کار خود نیاز دارد محدود و به صورت متمرکز و ممیزی کنترل شود. با استفاده از یک راه حل SSO ، می توانید حساب ها را از یک سیستم غیرفعال کرده و دسترسی یکباره به کلیه منابع موجود را حذف کنید ، این باعث می شود با محافظت از اطلاعات از سرقت داده های شما جلوگیری شود.
اما در میان همه این راهکارهای مشابه،
امروز اکثر نرم افزارهای ITIL نیز مجهز به این فناوری شده اند بخصوص آنکه همچنان در بالا گفته شد SAML فناوری مناسب سازمانهاست نرم افزار سرویس دسک پلاس نسخه جدید نیز از این قاعده مستثنی نیست و در نسخه جدید با تجهیز به این فناوری لزوم استفاده از یک مخزن احراز هویت متمرکز بجای تعریف کاربر در داخل نرم افزار و یا وارد کردن از LDAP و اکتیودایرکتوری را با سهولت تمام در اختیار شما قرار می دهد.
[۱] Microsoft Active Directory