O que é SAML e como funciona?

SAML significa Security Assertion Markup Language, um padrão aberto que passa as credenciais de autorização de provedores de identidade (IdPs) para provedores de serviço (SPs). Simplificando, ele permite a comunicação segura entre aplicativos e permite que os usuários obtenham acesso com um único conjunto de credenciais.

Antes de nos aprofundarmos no que o SAML é usado, como o SAML funciona e como as empresas podem se beneficiar dele, você precisa entender os tipos de provedores SAML que ajudam a tornar esse processo possível. Então, vamos começar por aí.

Tipos de provedores SAML

Para que o SAML funcione, é necessário que haja um provedor de identidade e um provedor de serviço: 

• Provedores de identidade autenticam usuários: Esses sistemas são responsáveis por confirmar se um usuário é quem ele diz ser e, em seguida, enviar esses dados (e os direitos de acesso do usuário) a um provedor de serviços. Okta, Microsoft Active Directory (AD) e Microsoft Azure são todos exemplos de provedores de identidade.
• Provedores de serviço autorizam usuários: Estes sistemas usam os dados de autenticação de um provedor de identidade para conceder acesso a um serviço. Exemplos incluem Salesforce, Box e outras tecnologias de ponta. 

SAML, portanto, é a ligação entre a autenticação da identidade de um usuário e a autorização para usar um serviço. É a linguagem que ajuda os IdPs e os SPs a se comunicarem. Quando um empregador (o IdP) e uma empresa SaaS (o SP) implementam o SAML, eles conseguem autenticar perfeitamente os usuários credenciados.

Para que serve o SAML?

O SAML muda completamente a forma como os usuários fazem login em serviços ou sites e tem como objetivo simplificar os processos de autenticação e autorização federadas para todas as partes: provedores de identidade, provedores de serviços e usuários finais. 

Em vez de solicitar credenciais como nome de usuário e senha a cada tentativa de login, o SAML pode ajudar a verificar se um usuário é quem diz ser e confirmar os níveis de permissão para conceder ou negar acesso. Além disso, SAML permite que o provedor de identidade e o provedor de serviços existam separadamente, o que ajuda as Organizações a centralizar o gerenciamento de usuários—e fornecer acesso a diversas soluções de software.

SAML é usado com mais frequência para habilitar o single sign-on (SSO), que autentica usuários credenciados entre um provedor de identidade e um provedor de serviços. As organizações que implantam aplicativos configurados com SAML, por exemplo, podem permitir que seus funcionários usem apenas um conjunto de credenciais para fazer login em um único painel que lhes dá acesso direto a todas as suas ferramentas de produtividade e comunicação.

Como o SAML funciona

O SAML utiliza a Linguagem de Marcação Extensível (XML) para comunicação entre o provedor de identidade e o provedor de serviços. Isso leva o formulário de uma afirmação SAML , um tipo de documento XML que um provedor de identidade envia a um provedor de serviços para autorizar um usuário. 

Existem três tipos de asserções SAML:

1. As declarações de autenticação comprovam a identidade de um usuário e fornecem a hora em que ele fez login, bem como o protocolo de autenticação que ele usou (por exemplo, Kerberos, autenticação multifator). 
2. A atribuição afirma passar atributos SAML – os dados que fornecem informações sobre o usuário – ao provedor de serviços.
3. As declarações de autorização confirmam se o usuário está autorizado a usar um serviço — e qual o grau de autorização que ele tem — ou se o provedor de identidade negou sua solicitação devido a uma falha de senha ou falta de direitos de acesso.

Para recapitular, o SAML funciona passando informações sobre usuários, seus logins e seus atributos entre um provedor de identidade e um provedor de serviços. Quando um usuário faz login usando o SSO, por exemplo, o IdP passará os atributos SAML para o SP, garantindo que o usuário só precise fazer login uma vez. 

Vejamos como isso pode se desenrolar no dia a dia. Quando um usuário começa a trabalhar em uma nova empresa, ele recebe um endereço de e-mail e acesso a um painel de controle. Ao acessarem esse painel usando um provedor de identidade (como Okta), são apresentados ícones de provedores de serviços externos, como Slack ou o Salesforce. Eles podem então clicar em qualquer um desses ícones e entrar automaticamente no serviço sem precisar inserir suas credenciais novamente.

Dito isso, existem, na verdade, dois tipos de fluxos SAML pelos quais os usuários podem passar para acessar sites, aplicativos e serviços online: 

Fluxo SAML iniciado pelo provedor de serviços

Isso ocorre quando um usuário tenta fazer login em um serviço habilitado para SAML por meio de sua página login ou app móvel. Em vez de solicitar que o usuário se registre, o serviço redireciona o usuário ao seu provedor de identidade para tratar da autenticação. Se a identidade deles for confirmada, será concedido acesso ao site ou app.

Fluxo SAML iniciado pelo provedor de identidade

Este fluxo ocorre quando um usuário faz login no provedor de identidade e inicia um aplicativo de serviço de seu banco de dados. Se eles já tiverem uma conta com o provedor de serviços, eles obterão acesso automaticamente. Caso contrário, alguns provedores de identidade podem usar o SAML para criar uma nova conta autenticada para esse serviço.

Benefícios do SAML

O SAML oferece muitos benefícios para usuários e empresas, não menos importante a redução do atrito do uso de vários aplicativos da web. Outras vantagens incluem:

Experiências de usuário aprimoradas

O SAML não apenas facilita o login em aplicativos e serviços, mas também ajuda os usuários a serem mais produtivos, pois podem acessar facilmente as ferramentas de que precisam para realizar seus trabalhos.

Menos credenciais perdidas

Ter que lidar com vários logins geralmente leva as pessoas a esquecerem suas senhas ou, pior, anotá-las, o que aumenta o risco de roubo dessas credenciais. Com o SAML, os usuários só precisam saber uma combinação de nome de usuário e senha.

Maior segurança

O SAML fornece um único ponto de autenticação em um provedor de identidade seguro, que então transfere as informações de identidade do usuário para os provedores de serviços. Isso garante que as credenciais sejam enviadas apenas diretamente, minimizando as oportunidades de phishing ou roubo de identidade. 

Custos reduzidos

A implementação do SAML economiza quantidades significativas de tempo de administração, pois ajuda a eliminar a necessidade de envio de tickets e redefinições de senha. Também ajuda a manter os custos de desenvolvimento (muitas vezes associados a métodos de autenticação proprietários) no mínimo.

Gerenciamento de usuário simplificado

Com os funcionários usando vários aplicativos, pode se tornar um pesadelo para os departamentos de TI gerenciar os direitos de acesso à medida que as funções mudam ou quando os funcionários deixam a empresa. O SAML simplifica isso, pois cada usuário pode ser gerenciado a partir de um único diretório.

Alternativas ao SAML

Embora o SAML ofereça uma série de benefícios em termos de federação de identidade, existem padrões alternativos disponíveis que ajudam as empresas e os serviços a gerenciar e aprovar com segurança as identidades dos usuários.

OpenID: OpenID é um padrão de identidade de código aberto que permite aos usuários acessar vários sites e aplicativos sem compartilhar informações de login adicionais. Se você já fez login em um site usando suas credenciais do Google, YouTube ou Facebook, você já experimentou o OpenID.

OAuth: OAuth (ou OpenAuth, se preferir usar o nome completo) é um padrão desenvolvido em conjunto pelo Google e pelo Twitter para permitir o login simplificado entre sites. É semelhante ao SAML na forma como compartilha informações entre aplicativos (Facebook e Google são dois provedores OAuth que você provavelmente já usou). No entanto, difere por usar um token JSON para autenticar o usuário e, como resultado, é mais apropriado para dispositivos móveis.

federação de serviços web: federação de serviços web é usada para autenticação federada de provedor de serviços para provedor de identidade. Geralmente é considerado mais simples de implementar para desenvolvedores e tem bom suporte de provedores de identidade populares, como o Active Directory, mas menos de provedores de nuvem.

Primeiros passos com SAML

O SAML é uma parte vital de qualquer estratégia de segurança cibernética, pois limita o uso de credenciais e permite que as empresas auditem e gerenciem a identidade centralmente. Além disso, oferece aos usuários acesso fácil aos aplicativos da web que eles exigem — de uma forma que também aumenta a segurança.

Começar a usar o SAML é simples com o provedor de identidade certo. A Okta, por exemplo, fornece uma ferramenta de validação SAML, bem como vários toolkits SAML de código aberto em diferentes linguagens de programação. 

Para ter uma ideia melhor de como o SAML pode beneficiar organizações e funcionários, confira os seguintes recursos: 

• Compreendendo o SAML (Documentação)
• Integrações SAML, OpenID Connect e IdP de parceiros (Demonstração do produto)

• IntegraçõesSAML de aplicativos locais e configurações pré-construídas (demonstração do produto)