SAML vs. OAUTH

SAML in OAUTH so tehnični standardi za pooblaščanje uporabnikov. Te standarde uporabljajo razvijalci spletnih aplikacij, strokovnjaki za varnost in sistemski skrbniki, ki želijo izboljšati svojo storitev upravljanja identitete in izboljšati načine, kako lahko stranke dostopajo do virov z naborom poverilnic. V primerih, ko je potreben dostop do aplikacije s portala, je potreben centraliziran vir identitete ali Enterprise Single Sign On. V takih primerih je zaželen SAML. V primerih, ko je potreben začasni dostop do virov, kot so računi ali datoteke, se OAUTH šteje za boljšo izbiro. V primerih mobilne uporabe se večinoma uporablja OAUTH. Za spletni enotni vpis se uporabljata SAML (varnostno uveljavljanje in označevalni jezik) in OAUTH (odprto pooblastilo), ki omogočata enotno prijavo za več spletnih aplikacij.

SAML

SAML se uporablja za omogočanje ponudnikov SSO spletnih aplikacij za prenos in premikanje poverilnic med ponudnikom identitete (IDP), ki hrani poverilnice, in ponudnikom storitev (SP), ki je vir, ki potrebuje te poverilnice. SAML je standardni jezik protokola za avtorizacijo in overjanje, ki se večinoma uporablja za upravljanje zvez in identitet, skupaj z upravljanjem enotne prijave. V SAML, Dokumenti z metapodatki XML se uporabljajo kot žeton za predložitev identitete stranke. Postopek preverjanja pristnosti in avtorizacije za SAML kot sledi:

1. Uporabnik zahteva prijavo v storitev prek brskalnika.
2. Storitev obvesti brskalnik, da preverja pristnost določenega ponudnika identitete (IdP), registriranega pri storitvi.
3. Brskalnik posreduje zahtevo za preverjanje pristnosti registriranim ponudnikom identitete za prijavo in preverjanje pristnosti.
4. Po uspešnem preverjanju poverilnic / preverjanja pristnosti IdP ustvari XML-utemeljen dokument, ki potrjuje identiteto uporabnika, in ga posreduje brskalniku.
5. Brskalnik to trditev posreduje ponudniku storitev.
6. Ponudnik storitev (SP) sprejme trditev za vstop in uporabniku omogoči dostop do storitve tako, da se prijavi.

Zdaj pa si poglejmo primer iz resničnega življenja. Recimo, da uporabnik klikne Vpiši se možnost storitve za izmenjavo slik na spletnem mestu abc.com. Za avtentikacijo uporabnika zahteva abc šifrirana zahteva za preverjanje pristnosti SAML.com. Zahteva bo s spletnega mesta poslana neposredno na avtorizacijski strežnik (IdP). Tu bo ponudnik storitev uporabnika preusmeril na IdP za avtorizacijo. IdP bo preveril prejeto zahtevo za preverjanje pristnosti SAML in če se zahteva izkaže za veljavno, bo uporabniku predložil prijavni obrazec za vnos poverilnic. Ko uporabnik vnese poverilnice, bo IdP ustvaril trditev SAML ali žeton SAML, ki vsebuje uporabniške podatke in identiteto, in ga poslal ponudniku storitev. Ponudnik storitev (SP) preveri trditev SAML ter izvleče podatke in identiteto uporabnika, uporabniku dodeli pravilna dovoljenja in uporabnika prijavi v storitev.

Razvijalci spletnih aplikacij lahko z vtičniki SAML zagotovijo, da aplikacija in vir upoštevata potrebne prakse enotne prijave. To bo omogočilo boljšo izkušnjo prijave uporabnikov in učinkovitejše varnostne prakse, ki uporabljajo skupno strategijo identitete. Če je SAML nameščen, lahko do vira dostopajo samo uporabniki s pravilno identiteto in trditvijo.

OAUTH

OAUTH se uporablja, kadar je treba posredovati pooblastilo ene storitve drugi storitvi, ne da bi si delili dejanske poverilnice, na primer geslo in uporabniško ime. Uporaba OAUTH, uporabniki se lahko prijavijo v eno samo storitev, dostopajo do virov drugih storitev in izvajajo dejanja v storitvi. OAUTH je najboljši način za prenos pooblastila s platforme enotnega vpisa na drugo storitev ali platformo ali med katerima koli spletnima programoma. The OAUTH potek dela je naslednji:

1. Uporabnik klikne gumb Prijava storitve za izmenjavo virov.
2. Strežnik virov uporabniku prikaže odobritev odobritve in ga preusmeri na pooblastilski strežnik.
3. Uporabnik zahteva žeton za dostop od avtorizacijskega strežnika z uporabo kode odobritve avtorizacije.
4. Če je koda veljavna po prijavi v avtorizacijski strežnik, bo uporabnik dobil žeton za dostop, ki ga lahko uporabi za pridobivanje ali dostop do zaščitenega vira s strežnika virov.
5. Ob prejemu zahteve za zaščiten vir z žetonom za odobritev dostopa strežnik virov s pomočjo avtorizacijskega strežnika preveri veljavnost žetona za dostop.
6. Če je žeton veljaven in opravi vsa preverjanja, zaščiteni vir dodeli strežnik virov.

Pogosta uporaba OAUTH je, da spletni aplikaciji omogoča dostop do platforme za družabna omrežja ali drugega spletnega računa. Googlove uporabniške račune je mogoče uporabiti s številnimi potrošniškimi aplikacijami iz več različnih razlogov, kot so bloganje, spletne igre, prijava z računi v družabnih omrežjih in branje člankov na spletnih straneh z novicami. V teh primerih OAUTH deluje v ozadju, tako da je mogoče te zunanje entitete povezati in dostopati do potrebnih podatkov.

OAUTH je nujnost, saj mora obstajati način za pošiljanje informacij o avtorizaciji med različnimi aplikacijami, ne da bi delili ali izpostavljali uporabniške poverilnice. OAUTH se uporablja tudi v podjetjih. Denimo, da mora uporabnik dostopati do sistema enotne prijave podjetja s svojim uporabniškim imenom in geslom. SSO mu omogoča dostop do vseh potrebnih virov s posredovanjem žetonov pooblastila OAUTH tem aplikacijam ali virom.

Zaključek

OAUTH in SAML sta zelo pomembna z vidika razvijalca spletnih aplikacij ali skrbnika sistema, medtem ko sta oba zelo različni orodji z različnimi funkcijami. OAUTH je protokol za avtorizacijo dostopa, SAML pa je sekundarna lokacija, ki analizira vhod in uporabniku omogoči avtorizacijo.