تعتمد شبكات تسجيل الدخول الموحد والثقة الصفرية على تمرير تفاصيل الهوية بشكل آمن ذهابًا وإيابًا بين المستخدمين وموفري الهوية وموفري الخدمة. SAML هو الغراء الذي يسمح بذلك.
لا تثق بأحد
كما هو الحال مع جورج سمايلي في فيلم “الخياط، الخياط، الجندي، الجاسوس” لجون لو كاريه، لا ينبغي لك أن تثق في أي شخص وتشك في الجميع. فمجرد أن يكون شخص ما موثقًا، وداخل محيط شبكتك، فهذا لا يعني بالتأكيد أنه الشخص الذي يدعي أنه كذلك. ولا يعني أيضًا أنه يجب أن نثق فيه.
إن النموذج الناشئ للأمن لا يقوم على الدفاعات المحيطية متعددة الطبقات والمحمية بقوة. إن الهوية هي المحيط الجديد.
إن شبكات الثقة الصفرية تفرض المصادقة بشكل متكرر أثناء تنقل المستخدم عبر الشبكة، ووصوله إلى التطبيقات، ووصوله إلى الخدمات المستندة إلى السحابة. بطبيعة الحال، لا أحد يريد أن يضطر إلى إعادة المصادقة مرارًا وتكرارًا. والأتمتة هي الإجابة الواضحة. بمجرد تحديد هوية المستخدم بشكل إيجابي والتأكد من أنه هو من يدعي أنه هو – وليس، على سبيل المثال، شخصًا يستخدم بيانات اعتماد المستخدمين الحقيقيين من عنوان IP لم يستخدمه المستخدم الحقيقي مطلقًا – يصبح تمرير بيانات اعتماده تلقائيًا أمرًا منطقيًا.
للقيام بذلك بشكل آمن، يلزم وجود معيار لطلب بيانات الاعتماد، وتمرير بيانات الاعتماد بشكل متوقع، واستلامها والتحقق منها أو رفضها. لغة ترميز تأكيد الأمان هي معيار قائم على XML تم تطويره من قبل اللجنة الفنية لخدمات الأمان التابعة لـ منظمة النهوض بمعايير المعلومات المنظمةفي وقت كتابة هذا التقرير، الإصدار الحالي هو SAML 2.0.
وهذه هي الطريقة التي يتم بها استخدام معلومات الأمان بين المشتركين عبر الإنترنت إلى نموذج SAML.
ما هو SAML
SSO هي خدمة مصادقة تتيح تسجيل الدخول بسهولة بهوية واحدة إلى أنظمة متعددة. مع SSO، يتحرر المستخدمون من الحاجة إلى إدخال بيانات الاعتماد يدويًا في كل مرة يريدون فيها الوصول إلى أحد الأصول أو الموارد.
يتم التحقق من صحة المستخدمين ومصادقة هوياتهم بواسطة خادم مركزي عند محاولتهم تسجيل الدخول. يتم تنفيذ المصادقة باستخدام مزيج من معلومات المستخدم وبيانات الاعتماد والشهادات ورموز المصادقة متعددة العوامل.
غالبًا ما يتم الاستفادة من SSO من قبل شبكات الثقة الصفرية لتلبية احتياجاتها من التفويض والمصادقة المستمرة. احتاجت SSO إلى حل يسمح للمستخدمين بالوصول إلى الخدمات المستندة إلى السحابة الموجودة خارج شبكة الشركة وخارج نطاق الثقة الصفرية. كانت هناك حاجة إلى معيار لاتحاد بيانات اعتماد الأمان.
اكتسبت تقنية SAML شعبية كبيرة بسرعة ووجدت قبولاً لدى مزودي الخدمات المستندة إلى السحابة. وقد قدمت شركات كبرى مثل Google وMicrosoft وIBM وRed Hat وOracle المشورة بشأن تقنية SAML وتبنتها ودافعت عنها.
باستخدام SAML، يمكن للمؤسسة إرسال معلومات الأمان مثل الهويات وامتيازات الوصول إلى مزود الخدمة بطريقة آمنة وموحدة.
سيناريوهات اتصالات SAML
هناك ثلاث كيانات رئيسية في اتصالات SAML.
- ال المستخدم النهائيهذا هو الشخص الذي يريد استخدام الموارد البعيدة أو الأصول أو الخدمة المستندة إلى السحابة.
- أ مزود الهويةأو idP. يوفر idP موارد عبر الإنترنت لمنح المصادقة للمستخدمين النهائيين عبر الشبكة.
- أ مقدم الخدمة يجب أن يثق المستخدمون في موفر الهوية. يحظى المستخدمون الذين تم تحديد هويتهم والتحقق من هويتهم بواسطة موفر الهوية بثقة مزود الخدمة، الذي يوفر للمستخدم النهائي إمكانية الوصول إلى الخدمة.
عندما يقوم المستخدم النهائي بتسجيل الدخول إلى حسابه المؤسسي واستخدام أي من اختصاراته أو روابط لوحة المعلومات للوصول إلى الموارد البعيدة، يتم التحقق من صحتها من خلال موفر الهوية. يرسل موفر الهوية رسالة SAML إلى مزود الخدمة. يؤدي هذا إلى بدء محادثة SAML بين موفر الهوية وموفر الخدمة. إذا تحقق موفر الهوية من هوية المستخدم النهائي، يقبل مزود الخدمة المستخدم النهائي باعتباره مستخدمًا حقيقيًا ويمنحه حق الوصول إلى خدماته.
إذا لم يتم التحقق من هوية المستخدم النهائي بواسطة موفر الهوية قبل تقديم طلب إلى مزود الخدمة، يقوم موفر الخدمة بإعادة توجيه المستخدم إلى موفر الهوية حتى يتمكن من تسجيل الدخول وإثبات هويته. ثم يتواصل موفر الهوية مع موفر الخدمة للتحقق من هوية المستخدم النهائي، ثم يعيد توجيه المستخدم النهائي إلى موفر الخدمة.
إن مقدمي الهوية هم الوسطاء في العملية برمتها. وبدونهم، لن يعمل النظام. وهناك منظمات تخدم هذا المطلب، وتقدم خدمات مقدمي الهوية التي يمكن للشركات أن تتعاون معها للاستفادة من خدمات SAML الخاصة بها. وستقوم منظمات أخرى بإرشادك حتى تصبح مقدم الهوية الخاص بك.
تأكيدات SAML
تأكيد SAML هو المستند XML الذي يرسله موفر الهوية إلى مزود الخدمة. هناك ثلاثة أنواع مختلفة من تأكيدات SAML — المصادقة، والسمة، وقرار التفويض.
- تأكيدات المصادقة التحقق من هوية المستخدم. كما يقدمون بعض البيانات الوصفية ذات الصلة، مثل وقت تسجيل الدخول والعوامل التي تم استخدامها لتسجيل الدخول وإنشاء المصادقة.
- تأكيدات الإسناد تُستخدم لنقل البيانات المحددة التي توفر معلومات حول المستخدم إلى مزود الخدمة. تُعرف هذه البيانات باسم سمات SAML.
- تأكيدات قرار الترخيص تحتوي على قرار مقدم خدمة الهوية بشأن ما إذا كان المستخدم مصرحًا له أو غير مصرح له باستخدام الخدمة. وهذا يختلف بشكل طفيف عن تأكيدات المصادقة. تقول تأكيدات المصادقة أن مقدم خدمة الهوية يعرف من هو الفرد. تقول تأكيدات قرار التفويض ما إذا كان هذا الفرد يتمتع بالامتيازات اللازمة للوصول إلى الخدمة أو الأصول المطلوبة.
ماذا عن OAuth وWS-FED؟
تستخدم الشركات في أغلب الأحيان SAML للوصول بشكل آمن و–على الأقل من وجهة نظر المستخدم—ببساطة إلى الخدمات الخارجية التي تدفع الشركة مقابلها. يستخدم مزودو الخدمات مثل Salesforce وGo Daddy وDropbox وNokia والعديد من الإدارات الحكومية والمدنية SAML.
OAuth، أو التفويض المفتوح، هو بروتوكول تفويض مفتوح المعيار يستخدمه في الغالب تطبيقات وخدمات المستهلك. بدلاً من الاضطرار إلى إنشاء هوية عند إنشاء حساب، قد تتيح لك منصة تدعم OAuth “تسجيل الدخول باستخدام Google” أو Facebook أو Twitter. في الواقع، أنت تستخدم Twitter أو Facebook أو أي شخص آخر كمزود للهوية. يتيح لك استخدام مؤسسة موثوقة من قِبل المنصة التي تنشئ عليها الحساب لضمان هويتك. إنه يفعل ذلك بطريقة لا تتطلب مشاركة كلمة مرور Google أو Twitter أو Facebook الخاصة بك. إذا تعرضت المنصة الجديدة لاختراق البيانات، فلن يتم الكشف عن بيانات اعتمادك.
يقوم Web Services Federation بنفس وظيفة SAML. فهو يجمع بين المصادقة والتفويض من مقدمي الخدمات إلى موفر هوية مشترك موثوق به. وهو أقل انتشارًا من SAML، على الرغم من أنه مدعوم من قبل مقدمي الهوية مثل خدمات اتحاد Active Directory من Microsoft، إلا أنه لم يحقق تقدمًا كبيرًا مع مقدمي الخدمات السحابية.
توقف، من يذهب هناك؟
يسهل SAML تسجيل الدخول مرة واحدة باستخدام هوية اتحادية واحدة، والتي يتم الاستفادة منها من خلال شبكات الثقة الصفرية.
إنه مثل جندي قادر على أن يقول للحارس: “سيأتي العقيد ليضمني في لحظة”.