Loading...

Tổng quan về SAML - Single Sign-On

Ngôn ngữ đánh dấu xác nhận bảo mật - Security Assertion Markup Language (SAML) là một tiêu chuẩn để đăng nhập người dùng vào các ứng dụng dựa trên phiên của họ trong ngữ cảnh khác. Tiêu chuẩn đăng nhập đăng nhập một lần Single Sign-On (SSO) này có những lợi thế đáng kể so với đăng nhập bằng tên người dùng / mật khẩu:

  • Không cần nhập thông tin đăng nhập

  • Không cần nhớ và gia hạn mật khẩu

  • Không có mật khẩu yếu

Hầu hết các tổ chức đã biết danh tính của người dùng vì họ đã đăng nhập vào miền Active Directory hoặc mạng nội bộ của họ. Sẽ rất hợp lý khi sử dụng thông tin này để đăng nhập người dùng vào các ứng dụng khác, chẳng hạn như các ứng dụng dựa trên web và một trong những cách thuận tiện hơn để thực hiện việc này là sử dụng SAML.

Cách thức hoạt động của SAML

SAML SSO hoạt động bằng cách chuyển danh tính của người dùng từ nơi này (nhà cung cấp danh tính -  identity provider) sang nơi khác (nhà cung cấp dịch vụ - service provider). Điều này được thực hiện thông qua việc trao đổi các tài liệu XML được ký điện tử.

Hãy xem xét tình huống sau: Người dùng đã đăng nhập vào hệ thống hoạt động như một nhà cung cấp danh tính. Người dùng muốn đăng nhập vào ứng dụng từ xa, chẳng hạn như ứng dụng hỗ trợ hoặc ứng dụng kế toán (nhà cung cấp dịch vụ).

Điều sau xảy ra:

  1. Người dùng truy cập ứng dụng từ xa bằng liên kết trên mạng nội bộ, dấu trang hoặc tương tự và ứng dụng sẽ tải.

  2. Ứng dụng xác định nguồn gốc của người dùng (theo tên miền phụ của ứng dụng, địa chỉ IP của người dùng hoặc tương tự) và chuyển hướng người dùng trở lại nhà cung cấp danh tính, yêu cầu xác thực. Đây là yêu cầu xác thực.

  3. Người dùng có một phiên trình duyệt đang hoạt động hiện có với nhà cung cấp danh tính hoặc thiết lập một phiên bằng cách đăng nhập vào nhà cung cấp danh tính.

  4. Nhà cung cấp danh tính xây dựng phản hồi xác thực dưới dạng tài liệu XML chứa tên người dùng hoặc địa chỉ email của người dùng, ký tên người dùng đó bằng chứng chỉ X.509 và đăng thông tin này lên nhà cung cấp dịch vụ.

  5. Nhà cung cấp dịch vụ, đã biết nhà cung cấp danh tính và có vân tay chứng chỉ, sẽ truy xuất phản hồi xác thực và xác thực nó bằng vân tay chứng chỉ.

  6. Danh tính của người dùng được thiết lập và người dùng được cung cấp quyền truy cập ứng dụng.

Sơ đồ bên dưới minh họa quy trình đăng nhập một lần cho SSO do nhà cung cấp dịch vụ khởi tạo, tức là khi một ứng dụng kích hoạt SSO.

 

Các bạn để ý một số website hiện ra thông báo login bằng google - gmail/ facebook, thì đây chính là ứng dụng của SSO với google - gmail/ facebook là nhà cung cấp danh tính và website https://vnexpress.net (ví dụ) là nhà cung cấp dịch vụ.  Bạn chỉ cần đăng nhập một lần vào google - gmail/facebook rồi dùng tài khoản đó để đăng nhập vào các website, ứng dụng khác.

 Ví dụ SAML  

 

(Theo onelogin.com)


Liên hệThỏa thuận sử dụng | Chính sách bảo mật