SAML vs. OAUTH

SAML og OAUTH er tekniske standarder for godkendelse af brugere. Disse standarder bruges af webapplikationsudviklere, sikkerhedsprofessionelle og systemadministratorer, der ønsker at forbedre deres identitetsstyringstjeneste og forbedre metoder, som klienter kan få adgang til ressourcer med et sæt legitimationsoplysninger. I tilfælde, hvor der er behov for adgang til en applikation fra en portal, er der behov for en central identitetskilde eller Enterprise Single Sign On. I sådanne tilfælde foretrækkes SAML. I tilfælde, hvor der er behov for midlertidig adgang til ressourcer som konti eller filer, betragtes OAUTH som det bedre valg. I mobile brugssager bruges OAUTH mest. Både SAML (Security Assertion and Markup Language) og OAUTH (Open Authorization) bruges til web Single Sign On, hvilket giver mulighed for single sign-on til flere webapplikationer.

SAML

SAML bruges til at tillade webapplikationers SSO-udbydere at overføre og flytte legitimationsoplysninger mellem Identity Provider (IDP), som har legitimationsoplysningerne, og Service Provider (SP), som er den ressource, der har brug for disse legitimationsoplysninger. SAML er et standard autorisations- og godkendelsesprotokol, der for det meste bruges til at udføre føderation og identitetsstyring sammen med Single Sign On-administration. I SAML, XML-metadatadokumenter bruges som et token til indsendelse af klientens identitet. Godkendelses- og godkendelsesprocessen for SAML er som følgende:

1. Brugeren anmoder om at logge ind på tjenesten via browseren.
2. Tjenesten informerer browseren om, at den autentificerer til en bestemt identitetsudbyder (IdP), der er registreret hos tjenesten.
3. Browseren videresender godkendelsesanmodningen til de registrerede identitetsudbydere til login og godkendelse.
4. Efter vellykket legitimations- / godkendelseskontrol genererer IdP et XML-baseret påstandsdokument, der bekræfter brugerens identitet og videresender dette til browseren.
5. Browseren videregiver påstanden til tjenesteudbyderen.
6. Tjenesteudbyderen (SP) accepterer påstanden om adgang og giver brugeren adgang til tjenesten ved at logge dem ind.

Lad os nu se på et virkeligt eksempel. Antag at en bruger klikker på Log på valgmulighed på billeddelingstjenesten på webstedet abc.com. For at godkende brugeren foretages en krypteret SAML-godkendelsesanmodning af abc.com. Anmodningen sendes direkte fra hjemmesiden til autorisationsserveren (IdP). Her omdirigerer tjenesteudbyderen brugeren til IdP til godkendelse. IdP vil verificere den modtagne SAML-godkendelsesanmodning, og hvis anmodningen viser sig at være gyldig, vil den give brugeren en loginformular til at indtaste legitimationsoplysningerne. Når brugeren indtaster legitimationsoplysninger, genererer IdP en SAML-påstand eller SAML-token, der indeholder brugerens data og identitet, og sender den til tjenesteudbyderen. Serviceudbyderen (SP) verificerer SAML-påstanden og udtrækker brugerens data og identitet, tildeler de korrekte tilladelser til brugeren og logger brugeren ind i tjenesten.

Webapplikationsudviklere kan bruge SAML-plugins for at sikre, at appen og ressourcen begge følger den nødvendige praksis med Single Sign On. Dette giver en bedre brugerloginoplevelse og mere effektive sikkerhedspraksis, der udnytter en fælles identitetsstrategi. Med SAML på plads er det kun brugere med den korrekte identitet og påstandstoken, der har adgang til ressourcen.

OAUTH

OAUTH bruges, når der er behov for at videregive autorisation fra en tjeneste til en anden tjeneste uden at dele de faktiske legitimationsoplysninger, som f.eks. adgangskoden og brugernavnet. Ved brug af OAUTH, brugere kan logge på en enkelt tjeneste, få adgang til andre services ressourcer og udføre handlinger på tjenesten. OAUTH er den bedste metode, der bruges til at overføre godkendelse fra en Single Sign On-platform til en anden tjeneste eller platform eller mellem to webapplikationer. Det OAUTH arbejdsgangen er som følger:

1. Brugeren klikker på knappen Login på en ressourcedelingstjeneste.
2. Ressource-serveren viser brugeren en autorisationsbevilling og omdirigerer brugeren til autorisationsserveren.
3. Brugeren anmoder om et adgangstoken fra autorisationsserveren ved hjælp af tilladelseskodekoden.
4. Hvis koden er gyldig efter login på autorisationsserveren, får brugeren et adgangstoken, der kan bruges til at hente eller få adgang til en beskyttet ressource fra ressource-serveren.
5. Ved modtagelse af en anmodning om en beskyttet ressource med et adgangstildelingstoken kontrolleres gyldigheden af ​​adgangstokenet af ressource-serveren ved hjælp af autorisationsserveren.
6. Hvis tokenet er gyldigt og gennemfører alle kontroller, tildeles den beskyttede ressource af ressource-serveren.

En almindelig brug af OAUTH er at give en webapplikation adgang til en social medieplatform eller anden online-konto. Google-brugerkonti kan bruges med mange forbrugerapplikationer af flere forskellige årsager, såsom blogging, onlinespil, login med sociale mediekonti og læsning af artikler på nyhedswebsteder. I disse tilfælde arbejder OAUTH i baggrunden, så disse eksterne enheder kan linkes og få adgang til de nødvendige data.

OAUTH er en nødvendighed, da der skal være en måde at sende autorisationsoplysninger mellem forskellige applikationer uden at dele eller udsætte brugerlegitimationsoplysninger. OAUTH bruges også i virksomheder. Antag for eksempel, at en bruger skal have adgang til en virksomheds Single Sign On-system med deres brugernavn og adgangskode. SSO giver det adgang til alle de nødvendige ressourcer ved at videregive OAUTH-godkendelsestokens til disse apps eller ressourcer.

Konklusion

OAUTH og SAML er begge meget vigtige set fra en webapplikationsudviklers eller systemadministrators synspunkt, mens begge er meget forskellige værktøjer med forskellige funktioner. OAUTH er protokollen for adgangsgodkendelse, mens SAML er en sekundær placering, der analyserer input og giver autorisation til brugeren.