Please enable JavaScript.
Coggle requires JavaScript to display documents.
SAML, [2], [3] - Coggle Diagram
Características
- Sistema de Acceso unificado SSO
- Estándar abierto XML para el intercambio de datos de autentificación y autorización entre dominios de seguridad, es decir, entre un IDP y un SP
- Minimiza posibles fugas de seguridad ya que las aplicaciones individuales no almacenan ni sincronizan datos de usuario
- Utilizado en sistemas centralizados de autenticación y autorización (SSO)
ROLES
IDP
Identity Provider
- Productor de aserciones
- BBDD centrar que almacena la info del usuario
-
Principal
Usuario (agente de usuario) solicita un servicio al SP
- SP solicita confirmación de identidad al IDP
- SP con la info del IDP decide sobre el acceso
Elementos
- Aserciones
- Protocolos
- Enlaces
- Perfiles
Aserciones
- En formato XML
- Creadas por el IDP y enviadas al SP
- Garantizan su integridad y autenticidad mediante una firma digital que será comprobada y verificada por el SP
- Recibe el nombre de Token SAML tras ser firmada y verificada por el SP (garantiza su integridad y autenticidad )
- Tras su verificación el SP analiza su contenido y decide si le corresponde el tipo de acceso que se le ha otorgado al usuario
Tipos
- Authentication statements
- Attribute statements
- Authorization decision statements
-
-
-
Protocolos
- De tipo consulta/respuesta
- Permite solicitar o consultar una aserción o solicitar aerificación del usuario
Tipos
- Authentication request protocol
- Assertion query and request protocol
- Single logout protocol
- Artifact resolution protocol
- Name identifier management protocol
- Name identifier mapping protocol
Bindings
- Permite asignar enlaces en los protocolos estándar de comunicación o mensajería
- Describe cómo los mensajes debe ser codificado y el protocolo subyacente para llevarlos. P.ej: para SSO se suele utilizar HTTP Redirect Binding (SP to IDP) y HTTP POST Binding (IDP to SP)
Tipos
- HTTP Redirect Binding
- HTTP POST Binding
- SOAP Binding
- Reverse SOAP Binding
- HTTP Artifact Binding
- SAML URI Binding
Perfiles
- Define restricciones y /o extensiones para el uso de SAML en una aplicación en particular que lo requiera
Ver imagen (Descripción a muy alto nivel)
- User Agent intenta acceder al SP. El SP verifica si ya está autenticado. Si autenticado ==> paso 7. Si no autenticado ==> paso 2 (inicia proceso autenticación)
- El SP redirige a IDP con una petición de autenticación
- El navegador envía solicitud de autenticación al IDP
- El IDP devuelve documento XHTML en un parámetro de respuesta SAML
- El SP recoge la respuesta SAML
- El SP registra al usuario
- El usuario puede solicitar el recurso
- El recurso es recuperado
Nota: El estándar SAML es flexible en lo que se refiere a la elección del IDP permitiendo que se pueda utilizar el que se quiera
-
Seguridad
- Respuestas válidas solo para unos minutos (evita ataques de replay) (SAMLCore 2.5.1.2)
- Respuestas opcionalmente encriptadas con un secret compartido entre las partes (SAMLCore 5 and 6)
- Respuestas recomendado bajo SSL
Conceptos
Identidad Federada
- Una identidad está federada cuando todos los socios de un entorno se ponen descuerdo para tener un identificador común respecto a un usuario