فناوری SAML چیست و چگونه کار می کند؟

فناوری SAML چیست و چگونه کار می کند؟

تعدد و تنوع نرم افزارها و سرویس هایی که نیاز هست تا کاربران به هر کدام از آنها وارد شوند نیازمند احراز هویت کاربر است این احراز هویت با ارایه یک نام کاربری و رمز عبور معمولا اتفاق می افتد رشد نرم افزارها و لزوم بخاطر سپردن دهها نام کاربری و رمز عبور کار را برای همه دشوار کرده چه کاربران چه مدیران فناوری اطلاعات که میخواهند امنیت اطلاعات و دسترسی ها را مدیریت و کنترل کنند بنابراین لزوم وجود راهکارهای یکپارچه برای افزایش امنیت، سهولت در مدیریت دسترسی ها و افزایش رضایتمندی کاربران و پس اندازه کردن زمان انرژی در این حوزه نیز احساس شده آنچنان که روشهایی برای نیل به این مزایا ارایه شده که یکز از آنها SAML است.

SAML چیست؟

Security Assertion Markup Language (SAML) یک استاندارد باز است که به ارائه دهندگان هویت (IPP) اجازه می دهد تا مجوزات امنیتی، تصدیق و احراز هویت را به ارائه دهندگان خدمات (SP) منتقل کنند. این یعنی آنکه می توانید برای ورود به نرم افزارهای تحت وب، پورتال ها و یا وب سایت های مختلف، از یک گواهینامه امنیتی احراز هویت واحد استفاده کنید. همین مدیریت یک ورود به سیستم برای هر کاربر بسیار ساده تر از مدیریت ورود جداگانه ورود به سرویس ایمیل، نرم افزارهای سازمانی، نرم افزار مدیریت ارتباط با مشتری (CRM) ، اکیتودایرکتوری و غیره است زیرا تنها از یک نقطه واحد امکان ارایه احراز هویت کاربر را برای ورود به هر سیستمی خواهید داد و نیازی به مدیریت و کنترل ورودهای مختلف افراد در نرم افزارهای مختلف نیست.

استاندارد SAML از زبان نشانه گذاری گسترده (XML) برای برقراری ارتباطات استاندارد بین ارائه دهنده هویت و ارائه دهندگان خدمات استفاده می کند. در کلامی ساده تر: SAML ارتباط بین تأییدکننده هویت کاربر و مجوز استفاده از یک سرویس است.  این استانداردی برای ورود کاربران به برنامه های کاربردی مختلف را بر اساس جلسات مشترک میسر می کند. این استاندارد در حقیقت یک SSO یا Single Sign One "ورود یکباره به سیستم" هست یعنی کاربر تنها پس از یک بار احراز هویت نام کاربری و رمز او قادر به ورود به هر سیستمی که از این استاندارد استفاده می کند هست این استاندارد مزایای قابل توجهی بجای استفاده از نام کاربری و رمز عبور بهمراه دارد که بشرح زیر است:

1. نیازی به تایپ نام کاربری و رمز عبور توسط کاربر نیست.
2. نیازی به بخاطر سپردن گذرواژه‌های مختلف برای ورود به نرم افزارهای مختلف نیست.
3. نیازی به بازنشانی و ریست گذرواژه‌های نرم افزارهای مختلف نیست.
4. نیازی به تمدید گذرواژه‌ها نیست
5. نقص امنیتی بدلیل وجود گذرواژه‌های ضعیف کاربران از بین می رود
6. سهولت در بستن دسترسی های کاربران به تمام سرویس ها و نرم افزارها، در یک نقطه متمرکز و واحد
7. مدیریت آسان کاربران
8. از بین رفتن نرم افزارهای جزیره ای برای احراز هویت های مجزا
9. و....

بیشتر سازمانها همکنون از احراز هویت کاربران با ورود آنها به دامنه اکتیودایرکتوری استفاده می کنند اما مشکل اینجاست که اگر بخواهیم به نرم افزارهای بیشتری دسترسی داشته باشیم باید دنباله رو راهکار دیگری باشیم.

SAML بسیار قدرتمند و انعطاف پذیر است. اما چون قابلیت های بصری و کاربری آسانی ندارد معمولا هرگونه ادغامی با زمانبر خواهد بود بنابراین ابزارهای SAML منبع باز نظیر: OneLogin می توانند به جای ماهها ، به شما کمک کنند تا SAML را در یک ساعت ادغام کنید.

نحوه کار SAML

پروتکل احراز هویت  SAML SSO با انتقال هویت کاربر از یک مکان (ارائه دهنده هویت) به دیگری (ارائه دهنده خدمات) کار می کند. این کار از طریق تبادل اسناد XML امضا شده دیجیتالی انجام می شود.

این سناریوی را در نظر بگیرید: کاربر در یک سیستم وارد می شود که به عنوان ارائه دهنده هویت عمل می کند. مثلا اکیتودایرکتوری (زمانی کاربر به ویندوز لاگین میکند!) کاربر می خواهد به یک برنامه از راه دور مانند یک برنامه پشتیبانی یا حسابداری (ارائه دهنده خدمات) نیز وارد شود. موارد زیر اتفاق می افتد:

• کاربر با کلیک بر روی یک لینک اینترانت، قادر به دسترسی ریموت به نرم افزار مورد نظر خواهد بود
• نرم افزار حسابداری،(ارائه دهنده خدمات)،منشاء درخواست کاربر را از طریق(نام دامنه، زیر دامنه، آدرس IP کاربر یا موارد مشابه) را شناسایی می کند و کاربر را به سمت ارائه دهنده هویت هدایت می کند و درخواست احراز هویت او را می کند. این همان درخواست تأیید اعتبار است. یعنی تشخیص هویت کاربر.
•  ارائه دهنده تشخیص هویت، پاسخ  استعلام و احراز هویت را در قالب یک سند XML که حاوی نام کاربری یا آدرس ایمیل کاربر است، می سازد ، آن را با استفاده از یک گواهی X.509 امضا می کند و این اطلاعات را به نرم افزار حسابداری،(ارائه دهنده خدمات)، ارسال می کند.
• نرم افزار حسابداری (ارائه دهنده خدمات)که از قبل ارائه دهنده هویت را می شناسد او پاسخ احراز هویت را بازیابی می کند و با استفاده از اثر گواهی صادر شده، آن را تأیید می کند.
•     هویت کاربر تایید و دسترسی برنامه به کاربر فراهم می شود.

کنسرسیوم OASIS SAML 2.0 در سال ۲۰۰۵ تصویب شد. استاندارد از ۱٫۱ به بعد طور قابل توجهی تغییر کرد. پذیرش SAML به فروشگاه های IT اجازه می دهد تا ضمن حفظ یک سیستم مدیریت هویت امن مرکزی و متمرکز، از نرم افزار به عنوان راه حل های سرویس (SaaS) استفاده کنند. SAML Single-Sign On (SSO) را قادر می سازد ، اصطلاحی است به این معنی که کاربران می توانند یک بار وارد سیستم شوند و از همان اعتبارنامه های مشابه می توان برای ورود به سایر ارائه دهندگان خدمات استفاده مجدد کرد.

ادامه مطلب در صفحه بعد…