SAML срещу. ОСТ

SAML и ОСТ са технически стандарти за разрешаване на потребители. Тези стандарти се използват от разработчиците на уеб приложения, професионалистите по сигурността и системните администратори, които се стремят да подобрят своята услуга за управление на идентичността и да подобрят методите, по които клиентите могат да имат достъп до ресурси с набор от идентификационни данни. В случаите, когато е необходим достъп до приложение от портал, има нужда от централизиран източник на самоличност или Enterprise Single Sign On. В такива случаи SAML е за предпочитане. В случаите, когато е необходим временен достъп до ресурси като акаунти или файлове, OAUTH се счита за по-добрият избор. В случаите на мобилна употреба се използва най-вече OAUTH. Както SAML (Утвърждаване на сигурността и език за маркиране), така и OAUTH (Отворено упълномощаване) се използват за уеб единен вход, предоставящ възможност за единичен вход за множество уеб приложения.

SAML

SAML се използва, за да позволи на доставчиците на SSO на уеб приложения да прехвърлят и преместват идентификационни данни между доставчика на идентификация (IDP), който държи идентификационните данни, и доставчика на услуги (SP), който е ресурсът, който се нуждае от тези идентификационни данни. SAML е стандартен език за протокол за упълномощаване и удостоверяване, който се използва най-вече за извършване на федерация и управление на идентичността, заедно с управлението на Single Sign On. В SAML, Документите с XML метаданни се използват като символ за подаване на самоличността на клиента. Процесът на удостоверяване и упълномощаване на SAML е както следва:

1. Потребителят иска да влезе в услугата чрез браузъра.
2. Услугата информира браузъра, че се удостоверява с конкретен доставчик на самоличност (IdP), регистриран в услугата.
3. Браузърът препраща заявката за удостоверяване на регистрираните доставчици на самоличност за влизане и удостоверяване.
4. След успешна проверка на идентификационните данни / удостоверяването, IdP генерира XML-базиран документ за потвърждение, потвърждаващ самоличността на потребителя и го предава на браузъра.
5. Браузърът предава твърдението на доставчика на услуги.
6. Доставчикът на услуги (SP) приема твърдението за влизане и позволява на потребителя достъп до услугата, като ги влезе.

Сега нека да разгледаме реалния пример. Да предположим, че потребителят щраква върху Влизам опция в услугата за споделяне на изображения на уебсайта abc.com. За удостоверяване на потребителя се прави криптирана заявка за удостоверяване на SAML от abc.com. Искането ще бъде изпратено от уебсайта директно до сървъра за оторизация (IdP). Тук Доставчикът на услуги ще пренасочи потребителя към IdP за оторизация. IdP ще провери получената заявка за удостоверяване на SAML и ако заявката се окаже валидна, ще представи на потребителя формуляр за вход, за да въведе идентификационните данни. След като потребителят въведе идентификационните данни, IdP ще генерира твърдение SAML или SAML маркер, съдържащ данните и самоличността на потребителя, и ще ги изпрати на доставчика на услуги. Доставчикът на услуги (SP) проверява заявлението SAML и извлича данните и самоличността на потребителя, присвоява правилните разрешения на потребителя и вписва потребителя в услугата.

Разработчиците на уеб приложения могат да използват приставки SAML, за да гарантират, че и приложението, и ресурсът спазват необходимите практики за единно влизане. Това ще направи по-добро преживяване на потребителско влизане и по-ефективни практики за сигурност, които използват обща стратегия за идентичност. С SAML на място, само потребители с правилна идентичност и маркер за твърдение могат да имат достъп до ресурса.

ОСТ

ОСТ се използва, когато има нужда от предаване на оторизация от една услуга на друга услуга, без да се споделят действителните идентификационни данни, като парола и потребителско име. Използвайки ОСТ, потребителите могат да влязат в една услуга, да имат достъп до ресурсите на други услуги и да извършват действия по услугата. OAUTH е най-добрият метод, използван за предаване на оторизация от платформа за единно влизане към друга услуга или платформа или между всякакви две уеб приложения. The ОСТ работният процес е както следва:

1. Потребителят натиска бутона за вход в услуга за споделяне на ресурси.
2. Ресурсният сървър показва на потребителя разрешение за оторизация и го пренасочва към сървъра за оторизация.
3. Потребителят иска токен за достъп от сървъра за оторизация, използвайки кода за предоставяне на разрешение.
4. Ако кодът е валиден след влизане в сървъра за оторизация, потребителят ще получи маркер за достъп, който може да се използва за извличане или достъп до защитен ресурс от сървъра за ресурси.
5. При получаване на заявка за защитен ресурс с маркер за предоставяне на достъп, валидността на маркера за достъп се проверява от сървъра на ресурсите с помощта на сървъра за оторизация.
6. Ако маркерът е валиден и преминава всички проверки, защитеният ресурс се предоставя от ресурсния сървър.

Едно от често използваните OAUTH е даване на възможност на уеб приложение за достъп до платформа за социални медии или друг онлайн акаунт. Потребителските акаунти на Google могат да се използват с много потребителски приложения по няколко различни причини, като например блогове, онлайн игри, влизане с акаунти в социални медии и четене на статии в новинарски уебсайтове. В тези случаи OAUTH работи във фонов режим, така че тези външни обекти могат да бъдат свързани и да имат достъп до необходимите данни.

OAUTH е необходимост, тъй като трябва да има начин за изпращане на информация за оторизация между различни приложения, без да се споделят или излагат потребителски идентификационни данни. OAUTH се използва и в бизнеса. Да предположим например, че потребителят трябва да осъществи достъп до фирмената система за единен вход с потребителско име и парола. SSO му дава достъп до всички необходими ресурси, като предава OAUTH оторизационни маркери на тези приложения или ресурси.

Заключение

OAUTH и SAML са много важни от гледна точка на разработчика на уеб приложения или системния администратор, докато и двамата са много различни инструменти с различни функции. OAUTH е протоколът за упълномощаване на достъпа, докато SAML е вторично местоположение, което анализира входа и предоставя оторизация на потребителя.