SAML pret. OUTA

SAML un OUTA ir tehniskie standarti lietotāju autorizēšanai. Šos standartus izmanto tīmekļa lietojumprogrammu izstrādātāji, drošības speciālisti un sistēmu administratori, kuri vēlas uzlabot savu identitātes pārvaldības pakalpojumu un uzlabot metodes, ar kurām klienti var piekļūt resursiem, izmantojot akreditācijas datu kopu. Gadījumos, kad nepieciešama piekļuve lietojumprogrammai no portāla, ir nepieciešams centralizēts identitātes avots vai uzņēmuma vienotā pierakstīšanās. Šādos gadījumos priekšroka ir SAML. Gadījumos, kad nepieciešama pagaidu piekļuve resursiem, piemēram, kontiem vai failiem, OAUTH tiek uzskatīta par labāku izvēli. Mobilās lietošanas gadījumos galvenokārt tiek izmantots OAUTH. Gan SAML (drošības apliecinājums un iezīmēšanas valoda), gan OAUTH (atvērtā autorizācija) tiek izmantoti tīmekļa vienreizējai pierakstīšanai, nodrošinot iespēju vienreiz pierakstīties vairākām tīmekļa lietojumprogrammām.

SAML

SAML tiek izmantots, lai ļautu tīmekļa lietojumprogrammu SSO nodrošinātājiem pārsūtīt un pārvietot akreditācijas datus starp identitātes nodrošinātāju (IDP), kuram ir akreditācijas dati, un pakalpojumu sniedzēju (SP), kas ir resurss, kuram nepieciešami šie akreditācijas dati. SAML ir standarta autorizācijas un autentifikācijas protokola valoda, ko galvenokārt izmanto federācijas un identitātes pārvaldībai, kā arī vienreizējas pierakstīšanās pārvaldībai. In SAML, XML metadatu dokumenti tiek izmantoti kā marķieris klienta identitātes iesniegšanai. Autentifikācijas un autorizācijas process SAML ir šāds:

1. Lietotājs pieprasa pieteikties pakalpojumā, izmantojot pārlūku.
2. Pakalpojums informē pārlūku, ka tas tiek autentificēts konkrētam pakalpojumā reģistrētam identitātes nodrošinātājam (IdP).
3. Pārlūks nosūta autentifikācijas pieprasījumu reģistrētajiem identitātes nodrošinātājiem pieteikšanās un autentifikācijas veikšanai.
4. Pēc veiksmīgas akreditācijas datu / autentifikācijas pārbaudes IdP ģenerē uz XML balstītu apgalvojuma dokumentu, kas pārbauda lietotāja identitāti, un nosūta to pārlūkam.
5. Pārlūkprogramma paziņo apgalvojumu Pakalpojuma sniedzējam.
6. Pakalpojumu sniedzējs (SP) pieņem apgalvojumu ievadīšanai un ļauj lietotājam piekļūt pakalpojumam, tos reģistrējot.

Tagad apskatīsim reālās dzīves piemēru. Pieņemsim, ka lietotājs noklikšķina uz Pieslēgties opcija attēlu koplietošanas pakalpojumā tīmekļa vietnē abc.com. Lai autentificētu lietotāju, abc veic šifrētu SAML autentifikācijas pieprasījumu.com. Pieprasījums tiks nosūtīts no vietnes tieši autorizācijas serverim (IdP). Pakalpojuma sniedzējs šeit novirzīs lietotāju uz IdP autorizācijai. IdP pārbaudīs saņemto SAML autentifikācijas pieprasījumu un, ja pieprasījums izrādīsies derīgs, tas uzrādīs lietotājam pieteikšanās veidlapu akreditācijas datu ievadīšanai. Pēc tam, kad lietotājs ievadīs akreditācijas datus, IdP ģenerēs SAML apgalvojumu vai SAML marķieri, kas satur lietotāja datus un identitāti, un nosūtīs to pakalpojumu sniedzējam. Pakalpojuma sniedzējs (SP) pārbauda SAML apgalvojumu un iegūst lietotāja datus un identitāti, piešķir lietotājam pareizas atļaujas un piesaista lietotāju pakalpojumā.

Tīmekļa lietojumprogrammu izstrādātāji var izmantot SAML spraudņus, lai nodrošinātu, ka lietotne un resurss ievēro nepieciešamo vienreizējās pierakstīšanās praksi. Tas nodrošinās labāku lietotāja pieteikšanās pieredzi un efektīvāku drošības praksi, kas veicina kopēju identitātes stratēģiju. Ja ir izveidota SAML, resursam var piekļūt tikai lietotāji ar pareizu identitāti un apgalvojuma marķieri.

OUTA

OUTA tiek izmantots, ja nepieciešams nodot autorizāciju no viena pakalpojuma citam pakalpojumam, nedalot faktiskos akreditācijas datus, piemēram, paroli un lietotājvārdu. Izmantojot OUTA, lietotāji var pierakstīties vienā pakalpojumā, piekļūt citu pakalpojumu resursiem un veikt darbības ar pakalpojumu. OAUTH ir labākā metode, ko izmanto autorizācijas pārsūtīšanai no vienotās pierakstīšanās platformas citam pakalpojumam vai platformai vai starp jebkurām divām tīmekļa lietojumprogrammām. The OUTA darbplūsma ir šāda:

1. Lietotājs noklikšķina uz resursu koplietošanas pakalpojuma pogas Pieteikties.
2. Resursu serveris parāda lietotājam autorizācijas piešķiršanu un novirza lietotāju uz autorizācijas serveri.
3. Lietotājs pieprasa piekļuves pilnvaru no autorizācijas servera, izmantojot autorizācijas piešķiršanas kodu.
4. Ja kods ir derīgs pēc pieteikšanās autorizācijas serverī, lietotājs saņems piekļuves marķieri, kuru var izmantot, lai izgūtu vai piekļūtu aizsargātam resursam no resursu servera.
5. Saņemot pieprasījumu par aizsargātu resursu ar piekļuves piešķiršanas marķieri, resursu serveris ar autorizācijas servera palīdzību pārbauda piekļuves marķiera derīgumu.
6. Ja marķieris ir derīgs un iztur visas pārbaudes, aizsargāto resursu piešķir resursu serveris.

Viens izplatīts OAUTH lietojums ir tīmekļa lietojumprogrammas piekļuve sociālo mediju platformai vai citam tiešsaistes kontam. Google lietotāju kontus var izmantot daudzās patērētāju lietojumprogrammās dažādu iemeslu dēļ, piemēram, emuāru izveide, tiešsaistes spēles, pieteikšanās ar sociālo mediju kontiem un rakstu lasīšana ziņu vietnēs. Šādos gadījumos OAUTH darbojas fonā, lai šīs ārējās vienības varētu sasaistīt un piekļūt nepieciešamajiem datiem.

OAUTH ir nepieciešamība, jo ir jābūt iespējai nosūtīt autorizācijas informāciju starp dažādām lietojumprogrammām, neizmantojot un neatklājot lietotāja akreditācijas datus. OAUTH izmanto arī uzņēmumos. Piemēram, pieņemsim, ka lietotājam ir nepieciešams piekļūt uzņēmuma vienotās pierakstīšanās sistēmai ar savu lietotājvārdu un paroli. SSO piešķir tai piekļuvi visiem nepieciešamajiem resursiem, nododot OAUTH autorizācijas pilnvaras šīm lietotnēm vai resursiem.

Secinājums

OAUTH un SAML abas ir ļoti svarīgas no tīmekļa lietojumprogrammu izstrādātāja vai sistēmas administratora viedokļa, savukārt tās abas ir ļoti atšķirīgi rīki ar dažādām funkcijām. OAUTH ir piekļuves autorizācijas protokols, savukārt SAML ir sekundāra vieta, kas analizē ievadi un nodrošina autorizāciju lietotājam.