SAML vs. OAUTH

SAML és OAUTH technikai szabványok a felhasználók engedélyezésére. Ezeket a szabványokat a webalkalmazások fejlesztői, a biztonsági szakemberek és a rendszergazdák használják, akik javítani akarják identitáskezelési szolgáltatásukat, és olyan módszereket fejlesztenek, amelyekkel az ügyfelek hitelesítő adatokkal férhetnek hozzá az erőforrásokhoz. Azokban az esetekben, amikor egy alkalmazáshoz portálról kell hozzáférni, központosított identitásforrásra vagy vállalati egyszeri bejelentkezésre van szükség. Ilyen esetekben a SAML az előnyösebb. Azokban az esetekben, amikor ideiglenes hozzáférésre van szükség erőforrásokhoz, például fiókokhoz vagy fájlokhoz, az OAUTH-t tartják jobb választásnak. Mobilhasználati esetekben leginkább az OAUTH-t használják. Mind a SAML-t (Security Assertion and Markup Language), mind az OAUTH-t (Open Authorization) az egyszeri webes bejelentkezéshez használják, egyszeri bejelentkezés lehetőségét biztosítva több webes alkalmazáshoz.

SAML

SAML arra használják, hogy a webalkalmazások SSO-szolgáltatói hitelesítő adatokat továbbítsanak és áthelyezhessenek a hitelesítő adatokat birtokló Identity Provider (IDP) és a hitelesítő adatokra szoruló erőforrás a Service Provider (SP) között. SAML egy szabványos hitelesítési és hitelesítési protokoll nyelv, amelyet többnyire az összevonás és az identitáskezelés, valamint az egyszeri bejelentkezés kezelésére használnak. Ban ben SAML, Az XML metaadat-dokumentumokat jelzőként használják az ügyfél személyazonosságának elküldéséhez. A hitelesítési és engedélyezési folyamat SAML az alábbiak:

1. A felhasználó a böngészőn keresztül jelentkezik be a szolgáltatásba.
2. A szolgáltatás tájékoztatja a böngészőt arról, hogy hitelesítést végez a szolgáltatással regisztrált, meghatározott Identity Provider (IdP) felé.
3. A böngésző továbbítja a hitelesítési kérelmet a regisztrált identitásszolgáltatóknak bejelentkezés és hitelesítés céljából.
4. A hitelesítő adatok / hitelesítés sikeres ellenőrzése után az IdP létrehoz egy XML alapú állítási dokumentumot, amely igazolja a felhasználó személyazonosságát, és továbbítja ezt a böngészőnek.
5. A böngésző az állítást továbbítja a Szolgáltatónak.
6. A Szolgáltató (SP) elfogadja az állítást a belépéshez, és bejelentkezéssel lehetővé teszi a felhasználó számára a szolgáltatáshoz való hozzáférést.

Most nézzünk meg egy valós példát. Tegyük fel, hogy egy felhasználó rákattint a Belépés opció a képmegosztó szolgáltatáson az abc weboldalon.com. A felhasználó hitelesítéséhez az abc titkosított SAML hitelesítési kérelmet küld.com. A kérést a webhelyről közvetlenül az engedélyezési szerverre (IdP) küldjük el. Itt a Szolgáltató átirányítja a felhasználót az IdP-hez hitelesítés céljából. Az IdP ellenőrzi a fogadott SAML-hitelesítési kérelmet, és ha a kérés érvényesnek bizonyul, bejelentkezési űrlapot nyújt be a felhasználó számára a hitelesítő adatok megadásához. Miután a felhasználó megadta a hitelesítő adatokat, az IdP létrehoz egy SAML-állítást vagy SAML-tokent, amely tartalmazza a felhasználó adatait és identitását, és elküldi azt a Szolgáltatónak. A Szolgáltató (SP) ellenőrzi az SAML-állítást, és kivonja a felhasználó adatait és személyazonosságát, megfelelő jogosultságokat rendel hozzá a felhasználóhoz, és bejelentkezteti a felhasználót a szolgáltatásba.

A webalkalmazások fejlesztői a SAML beépülő modulok segítségével biztosíthatják, hogy az alkalmazás és az erőforrás egyaránt betartsa a szükséges egyszeri bejelentkezés gyakorlatait. Ez jobb felhasználói bejelentkezési élményt és hatékonyabb biztonsági gyakorlatokat eredményez, amelyek kihasználják a közös identitásstratégiát. A SAML használatával az erőforráshoz csak a megfelelő identitással és érvényesítési tokennel rendelkező felhasználók férhetnek hozzá.

OAUTH

OAUTH akkor használatos, ha engedélyt kell átadni az egyik szolgáltatásból a másikba anélkül, hogy megosztanánk a tényleges hitelesítő adatokat, például a jelszót és a felhasználónévet. Használata OAUTH, a felhasználók egyetlen szolgáltatásba bejelentkezhetnek, hozzáférhetnek más szolgáltatások erőforrásaihoz, és műveleteket hajthatnak végre a szolgáltatással. Az OAUTH a legjobb módszer arra, hogy az egyszeri bejelentkezési platformról egy másik szolgáltatáshoz vagy platformhoz vagy bármely két webalkalmazáshoz engedélyt adjon át. A OAUTH munkafolyamat a következő:

1. A felhasználó egy erőforrás-megosztási szolgáltatás Bejelentkezés gombjára kattint.
2. Az erőforrás-kiszolgáló megmutatja a felhasználónak egy engedélyezési engedélyt, és átirányítja a felhasználót az engedélyezési kiszolgálóra.
3. A felhasználó hozzáférési tokent kér az engedélyezési szervertől a jogosultság megadásának kódjával.
4. Ha a kód az engedélyezési kiszolgálóra való bejelentkezés után érvényes, a felhasználó hozzáférési tokent kap, amely felhasználható egy védett erőforrás lekérésére vagy elérésére az erőforrás-kiszolgálóról.
5. A hozzáférés-engedélyezési tokennel ellátott védett erőforrás iránti kérelem fogadásakor a hozzáférési token érvényességét az erőforrás-kiszolgáló ellenőrzi az engedélyezési kiszolgáló segítségével.
6. Ha a token érvényes, és az összes ellenőrzést átadja, a védett erőforrást az erőforrás-kiszolgáló adja meg.

Az OAUTH egyik gyakori felhasználása az, hogy egy webalkalmazás hozzáférést biztosít a közösségi média platformhoz vagy más online fiókhoz. A Google felhasználói fiókok számos fogyasztói alkalmazással használhatók különböző okokból, például blogolás, online játékok, bejelentkezés közösségi médiafiókokkal és cikkek olvasása híroldalakon. Ezekben az esetekben az OAUTH a háttérben működik, így ezek a külső entitások összekapcsolhatók és hozzáférhetnek a szükséges adatokhoz.

Az OAUTH szükségszerűség, mivel biztosítani kell a különböző alkalmazások közötti engedélyezési információk küldését anélkül, hogy meg kellene osztani vagy feltenni a felhasználói hitelesítő adatokat. Az OAUTH-t a vállalkozásokban is használják. Tegyük fel például, hogy a felhasználónak a felhasználó nevével és jelszavával kell hozzáférnie a vállalat egyszeri bejelentkezési rendszeréhez. Az egyszeri bejelentkezés hozzáférést biztosít az összes szükséges erőforráshoz azáltal, hogy az OAUTH engedélyezési tokeneket továbbítja ezeknek az alkalmazásoknak vagy erőforrásoknak.

Következtetés

Az OAUTH és a SAML egyaránt nagyon fontosak egy webalkalmazás-fejlesztő vagy rendszergazda szempontjából, miközben mindkettő nagyon különböző eszköz, különböző funkciókkal. Az OAUTH a hozzáférés engedélyezésének protokollja, míg a SAML egy másodlagos hely, amely elemzi a bemenetet és engedélyt ad a felhasználónak.