SAML

O SAML (Security Assertion Markup Language) é um padrão para registrar usuários em aplicativos com base em suas sessões em outro contexto. O padrão de login único (SSO) tem vantagens significativas sobre o login usando um nome de usuário/senha:

  • Não há necessidade de digitar credenciais
  • Não há necessidade de lembrar e renovar senhas
  • Não existem senhas fracas

A maioria das organizações já conhece a identidade dos usuários porque eles estão conectados ao domínio ou à intranet do Active Directory. Faz sentido usar essas informações para registrar usuários em outros aplicativos, como aplicativos baseados na Web, e uma das maneiras mais elegantes de se fazer isso é usando o SAML.

O SAML é muito poderoso e flexível, mas a especificação pode ser um pouco complicada. Os kits de ferramentas SAML de código aberto do OneLogin podem ajudar você a integrar o SAML em horas, ao invés de meses. Nós criamos uma configuração simples que funcionará para a maioria dos aplicativos.

Como funciona a SAML

O SSO de SAML funciona transferindo a identidade do usuário de um local (o provedor de identidade) para outro (o provedor de serviços). Isso é feito por meio de uma troca de documentos XML assinados digitalmente.

Considere o seguinte cenário: Um usuário está conectado a um sistema que atua como um provedor de identidade. O usuário deseja efetuar login em um aplicativo remoto, como um aplicativo de suporte ou de contabilidade (o provedor de serviços). O seguinte acontece:

O usuário acessa o aplicativo remoto usando o link em uma intranet, um marcador ou similar e o aplicativo é carregado.

O aplicativo identifica a origem do usuário (por subdomínio do aplicativo, endereço IP do usuário ou similar) e redireciona o usuário de volta ao provedor de identidade, solicitando autenticação. Este é o pedido de autenticação.

O usuário ou possui uma sessão de navegador ativa existente com o provedor de identidade ou estabelece uma, efetuando login no provedor de identidade.

O provedor de identidade cria a resposta de autenticação na forma de um documento XML contendo o nome de usuário ou endereço de e-mail do usuário, assina-o usando um certificado X.509 e publica essas informações no provedor de serviços.

O provedor de serviços, que já conhece o provedor de identidade e possui uma impressão digital do certificado, recupera a resposta de autenticação e a valida usando a impressão digital do certificado.

A identidade do usuário é estabelecida e o usuário recebe acesso ao aplicativo.


Este artigo foi útil?