SAML vs. OAUTH

SAML i OAUTH su tehnički standardi za autorizaciju korisnika. Ove standarde koriste programeri web aplikacija, sigurnosni profesionalci i administratori sustava koji žele poboljšati svoju uslugu upravljanja identitetom i poboljšati metode kojima klijenti mogu pristupiti resursima s nizom vjerodajnica. U slučajevima kada je potreban pristup aplikaciji s portala, potreban je centralizirani izvor identiteta ili Enterprise Single Sign On. U takvim je slučajevima poželjniji SAML. U slučajevima kada je potreban privremeni pristup resursima poput računa ili datoteka, OAUTH se smatra boljim izborom. U slučajevima mobilne upotrebe uglavnom se koristi OAUTH. I SAML (sigurnosna tvrdnja i označni jezik) i OAUTH (otvorena autorizacija) koriste se za web jedinstvenu prijavu, pružajući mogućnost jednokratne prijave za više web aplikacija.

SAML

SAML koristi se za omogućavanje davatelja usluga SSO web aplikacija za prijenos i premještanje vjerodajnica između Davatelja identiteta (IDP) koji drži vjerodajnice i Pružatelja usluga (SP) koji je resurs kojem su potrebne te vjerodajnice. SAML je standardni jezik protokola za autorizaciju i provjeru autentičnosti koji se uglavnom koristi za obavljanje federacije i upravljanja identitetom, zajedno s upravljanjem jedinstvenom prijavom. U SAML, XML dokumenti s metapodacima koriste se kao znak za podnošenje identiteta klijenta. Proces provjere autentičnosti i autorizacije SAML je kako slijedi:

1. Korisnik zahtijeva prijavu na uslugu putem preglednika.
2. Usluga obavještava preglednik da provjerava autentičnost određenog davatelja identiteta (IdP) registriranog kod usluge.
3. Preglednik prosljeđuje zahtjev za provjeru autentičnosti registriranim pružateljima identiteta radi prijave i provjere autentičnosti.
4. Nakon uspješne provjere vjerodajnica / provjere autentičnosti, IdP generira dokument koji se temelji na XML-u koji potvrđuje identitet korisnika i prosljeđuje ga pregledniku.
5. Preglednik prenosi tvrdnju davatelju usluga.
6. Dobavljač usluga (SP) prihvaća tvrdnju za prijavu i omogućava korisniku pristup usluzi tako da ih prijavi.

Pogledajmo sada primjer iz stvarnog života. Pretpostavimo da korisnik klikne na Prijaviti se opcija na usluzi za razmjenu slika na web mjestu abc.com. Za autentifikaciju korisnika šifrirani SAML zahtjev za autentifikacijom postavlja abc.com. Zahtjev će se s web mjesta poslati izravno na autorizacijski poslužitelj (IdP). Ovdje će pružatelj usluga preusmjeriti korisnika na IdP radi autorizacije. IdP će potvrditi primljeni SAML zahtjev za autentifikaciju, a ako se zahtjev pokaže valjanim, predstavit će korisniku obrazac za prijavu za unos vjerodajnica. Nakon što korisnik unese vjerodajnice, IdP će generirati SAML tvrdnju ili SAML token koji sadrži korisničke podatke i identitet i poslati ih pružatelju usluga. Dobavljač usluga (SP) provjerava SAML tvrdnju i izdvaja podatke i identitet korisnika, dodjeljuje ispravna dopuštenja korisniku i prijavljuje korisnika u uslugu.

Programeri web aplikacija mogu koristiti SAML dodatke kako bi osigurali da aplikacija i resurs slijede potrebne prakse jedinstvene prijave. To će omogućiti bolje korisničko korisničko iskustvo i učinkovitije sigurnosne prakse koje koriste zajedničku strategiju identiteta. S postavljenim SAML-om, samo korisnici s ispravnim identitetom i tokenom tvrdnje mogu pristupiti resursu.

OAUTH

OAUTH koristi se kada postoji potreba za prosljeđivanjem autorizacije s jedne usluge na drugu uslugu bez dijeljenja stvarnih vjerodajnica, poput lozinke i korisničkog imena. Koristeći OAUTH, korisnici se mogu prijaviti na jednu uslugu, pristupiti resursima drugih usluga i izvoditi radnje na usluzi. OAUTH je najbolja metoda koja se koristi za prosljeđivanje autorizacije s platforme Single Sign On drugoj usluzi ili platformi ili između bilo koje dvije web aplikacije. The OAUTH tijek rada je sljedeći:

1. Korisnik klikne gumb Prijava usluge za dijeljenje resursa.
2. Poslužitelj resursa prikazuje korisniku odobrenje za autorizaciju i preusmjerava ga na autorizacijski poslužitelj.
3. Korisnik zahtijeva pristupni token od autorizacijskog poslužitelja pomoću koda za autorizaciju.
4. Ako je kôd valjan nakon prijave na autorizacijski poslužitelj, korisnik će dobiti pristupni token koji se može koristiti za dohvaćanje ili pristup zaštićenom resursu s poslužitelja resursa.
5. Po primanju zahtjeva za zaštićenim resursom s tokenom za dodjelu pristupa, poslužitelj resursa provjerava valjanost pristupnog tokena uz pomoć autorizacijskog poslužitelja.
6. Ako je token valjan i prođe sve provjere, zaštićeni resurs dodjeljuje poslužitelj resursa.

Jedna od uobičajenih upotreba OAUTH-a je omogućavanje web aplikacijama pristup platformi društvenih medija ili drugom mrežnom računu. Googleovi korisnički računi mogu se koristiti s mnogim potrošačkim aplikacijama iz nekoliko različitih razloga, poput blogova, internetskih igara, prijave pomoću računa društvenih mreža i čitanja članaka na web lokacijama s vijestima. U tim slučajevima OAUTH djeluje u pozadini, tako da se ti vanjski entiteti mogu povezati i pristupiti potrebnim podacima.

OAUTH je nužnost, jer mora postojati način slanja autorizacijskih podataka između različitih aplikacija bez dijeljenja ili izlaganja vjerodajnica korisnika. OAUTH se također koristi u poduzećima. Na primjer, pretpostavimo da korisnik mora pristupiti sustavu jedinstvene prijave tvrtke sa svojim korisničkim imenom i lozinkom. SSO mu daje pristup svim potrebnim resursima prosljeđivanjem OAUTH tokena autorizacije tim aplikacijama ili resursima.

Zaključak

OAUTH i SAML vrlo su važni s gledišta programera web stranica ili administratora sustava, dok su obojica vrlo različiti alati s različitim funkcijama. OAUTH je protokol za autorizaciju pristupa, dok je SAML sekundarno mjesto koje analizira ulaz i pruža autorizaciju korisniku.