Oracle Cloud Free Tier

Создавайте, тестируйте и развертывайте приложения, применяя обработку естественного языка, бесплатно.

Темы «Язык разметки утверждения безопасности»

Что такое язык SAML?

Общие сведения о SAML

Язык разметки утверждения безопасности (SAML) — это открытый федеративный стандарт, позволяющий поставщику идентификационных данных (IdP) выполнять проверку подлинности пользователей и затем передавать учетные данные аутентификации или идентификаторы другому приложению, известному как поставщик услуг (SP). SAML позволяет SP работать без выполнения собственной аутентификации и передачи идентификационных данных для интеграции внутренних и внешних пользователей. Это позволяет использовать учетные данные безопасности совместно с SP в сети, обычно в приложении или сервисе. SAML обеспечивает безопасную междоменную связь между публичным облаком и другими системами с поддержкой SAML, а также выбранное количество других систем управления идентификационными данными в локальной среде или другом облаке. С помощью SAML можно включить функцию единого входа (SSO) для пользователей в двух приложениях, поддерживающих протокол и сервисы SAML, что позволяет SSO выполнять несколько функций безопасности от имени одного или нескольких приложений.

Язык SAML, родственный вариантным языкам XML, используется для кодирования этой информации, а также может охватывать различные сообщения и профили протоколов, составляющие часть стандарта.

Две основные функции безопасности SAML

  • Аутентификация: проверка, что пользователь действительно является тем, за кого себя выдает
  • Авторизация: передача авторизации пользователя приложениям для доступа к определенным системам или содержимому

Узнайте, как Oracle использует SAML для повышения безопасности в один клик.


Узнайте об использовании SAML из локальной среды в облако.

Как работает SAML?

SAML работает путем передачи информации о пользователях, входе в систему и атрибутах между поставщиком идентификации и SP. Каждый пользователь выполняет аутентификацию один раз в IdP и затем может беспрепятственно расширить свой сеанс аутентификации потенциально на несколько приложений. IdP передает SP утверждение SAML при попытке пользователя получить доступ к этим сервисам. SP запрашивает авторизацию и аутентификацию через identify.

Пример SAML.

  1. Войдите в систему и откройте аутентификацию SSO.
  2. Экспортируйте метаданные из своего провайдера идентификации и импортируйте их.
  3. Система идентификации будет лучше понимать поставщика идентификационных данных SSO для экспорта метаданных из системы идентификации.
  4. Укажите метаданные для команды поставщика идентификации SSO.
  5. Проверьте и включите SSO.
  6. Рекомендуется только для входа в систему с учетными данными SSO.

Кто является поставщиком SAML?

Поставщик SAML — это система, которая помогает пользователям получать доступ к необходимому сервису. SAML передает идентификационные данные между двумя сторонами: IdP и SP. Есть два основных типа поставщиков SAML.

Поставщик идентификационных данных (IdP) выполняет аутентификацию и передает уровень идентификации и авторизации пользователя поставщику сервисов. IdP выполняет аутентификацию пользователя, а SP разрешает доступ на основе ответа, предоставленного IdP.

Поставщик услуг (SP) выполняет функцию IdP и разрешает данному пользователю доступ к запрошенному ресурсу. SP требует аутентификации у IdP для предоставления авторизации пользователю, и, поскольку обе системы используют один и тот же язык, пользователю требуется войти в систему только один раз.

Что такое утверждение SAML?

Утверждение SAML — это XML-документ, который поставщик идентификации отправляет SP, документ содержит статус авторизации пользователя. Тремя разными типами утверждений SAML являются решения по аутентификации, атрибутам и авторизации.

  • Утверждения аутентификации помогают проверить идентификацию пользователя и время входа пользователя в систему, а также используемый метод аутентификации (например, пароль, MFA, Kerbeos и т. д.).
  • Назначенное утверждение передает SP токен SAML. Считается, что атрибут, используемый SAML для идентификации пользователя, одинаковый в каталоге IdP и SP. Атрибуты SAML — это определенные фрагменты данных, содержащие информацию о пользователе
  • Утверждение решения об авторизации указывает, что пользователь имеет право использовать сервис или что поставщик идентификации отклонил запрос из-за сбоя пароля или отсутствия прав на обслуживание.

Примеры использования SAML и OAuth

SAML в основном используется для включения единого входа в веб-браузер (SSO). Задача пользовательского интерфейса для SSO заключается в том, чтобы разрешить пользователю проходить аутентификацию один раз и получить доступ к отдельно защищенным системам без повторной отправки учетных данных. Задача обеспечения безопасности состоит в том, чтобы обеспечить соответствие требованиям аутентификации в каждом периметре безопасности.

  • Управление идентификационными данными в облачной и локальной среде. Обеспечение единого подхода к управлению идентификационными данными и доступом с помощью облачных потоков операций, упрощенной инициализации пользователей и самообслуживания. Интеграция разработки открытых стандартов сокращает накладные расходы и обслуживание, обеспечивая упрощенную подготовку пользователей и управление ими в облаке и локальных средах.
  • Оптимизация задач идентификации. Уменьшает потребность в повторяющихся изменениях пользователей, ролей и групп в нескольких средах. Это обеспечивает мост идентификации для синхронизации прав на идентификационные данные в локальных и облачных сервисах
  • Стратегия с нулевым доверием. Применяйте политики доступа с помощью облачного сервиса для единого входа (SSO), строгого соблюдения паролей и многофакторной аутентификации (MFA). При адаптивной аутентификации риск уменьшается за счет увеличения требований к входу в систему, когда пользователь получает доступ с высоким риском на основе устройства, местоположения или активности
  • Управление цифровым доступом потребителей. Расширяйте возможности доступа потребителей с помощью пользовательских интерфейсов самообслуживания и настраиваемых брендом экранов входа. Гибкая поддержка доступа заказчиков помогает интегрировать сторонние сервисы и специализированные приложения с помощью REST API и интеграции на основе стандартов

Оптимизация взаимодействия с пользователями

Пользовательский интерфейс имеет огромное значение для любого приложения, и он должен начинаться с момента его взаимодействия с пользователем. Первое действие обычно является входом в систему. Если эта операция громоздкая или не интуитивно понятная, это может ухудшать общие впечатления от пользования приложением. Oracle Identity Cloud Service (IDCS) управляет доступом и правами пользователей из широкого спектра облачных и локальных приложений и сервисов с использованием облачной платформы идентификационных данных как сервиса (IDaaS), выступающей в качестве предварительной платформы Oracle Cloud для внешних идентификаторов. Благодаря этому компании могут реализовать стратегию нулевого доверия и устанавливать управление идентификационными данными пользователей в качестве нового периметра безопасности.

Узнайте больше об Oracle Identity Cloud Service.