Oracle Cloud Free Tier

Créez, testez et déployez des applications avec le traitement du langage naturel, et ce, gratuitement.

Qu’est-ce que le SAML (Security Assertion Markup Language) ?

Aperçu du SAML

Le SAML (Security Assertion Markup Language) est une norme de fédération ouverte qui permet à un fournisseur d'identités (IdP) d'authentifier les utilisateurs, puis de transmettre un jeton d'authentification à une autre application appelée fournisseur de services (SP). Le SAML permet aux SP de ne pas avoir à effectuer leur propre authentification et leur transmet l'identité des utilisateurs internes et externes. Il permet de partager les informations d'identification de sécurité avec un SP sur un réseau, généralement pour une application ou un service. Le SAML permet une communication interdomaine sécurisée entre le cloud public et d'autres systèmes SAML, ainsi qu'un certain nombre d'autres systèmes de gestion des identités sur site ou dans un autre cloud. Le SAML permet d'activer une expérience d'accès avec une connexion unique (SSO) pour vos utilisateurs sur deux applications prenant en charge le protocole et les services SAML, pour permettre au SSO d'exécuter plusieurs fonctions de sécurité pour le compte d'une ou de plusieurs applications.

Le SAML désigne le langage dérivé du XML utilisé pour encoder ces informations et peut également couvrir divers messages et profils de protocole qui font partie de la norme.

Les deux principales fonctions de sécurité du SAML

  • Authentification : déterminer que les utilisateurs sont ceux qu'ils prétendent être
  • Autorisation : transmettre l'autorisation utilisateur aux applications pour l'accès à certains systèmes ou contenus

Découvrez comment Oracle utilise le SAML pour améliorer la sécurité en un seul clic.


Découvrez comment utiliser le SAML sur site et dans le cloud.

Comment fonctionne le SAML ?

Le SAML véhicule des informations sur les utilisateurs, les connexions et les attributs entre les fournisseurs d'identités (IdP) et les fournisseurs de services (SP). Chaque utilisateur s'authentifie une fois auprès d'un IdP, puis peut profiter de sa session d'authentification en toute fluidité avec de nombreuses applications. L'IdP transmet au SP ce qu'on appelle une assertion SAML lorsque l'utilisateur tente d'accéder à ces services. Le SP demande l'autorisation et l'authentification à partir de l'identification.

Exemple de SAML :

  1. Connectez-vous et accédez à l'authentification SSO.
  2. Exportez les métadonnées de votre fournisseur d'identités et importez-les.
  3. Le système d'identités comprendra mieux le fournisseur d'identités SSO pour exporter les métadonnées à partir du système d'identités.
  4. Fournissez les métadonnées à votre équipe responsable du fournisseur d'identités SSO.
  5. Testez et activez le SSO.
  6. Il est conseillé aux utilisateurs de se connecter uniquement avec leurs informations d'identification SSO.

Qui est fournisseur SAML ?

Un fournisseur SAML est un système qui aide les utilisateurs à accéder au service souhaité. Le SAML transfère les données d'identité entre deux parties : l'IdP et le SP. Il existe deux principaux types de fournisseurs SAML :

Fournisseur d'identités (IdP) : effectue l'authentification et transmet le niveau d'identité et d'autorisation de l'utilisateur au fournisseur de services. L'IdP authentifie l'utilisateur tandis que le SP autorise l'accès en fonction de la réponse fournie par l'IdP.

Fournisseur de services (SP) : approuve l'IdP et autorise l'utilisateur à accéder à la ressource demandée. Un SP requiert l'authentification à partir de l'IdP pour accorder l'autorisation à l'utilisateur et, dans la mesure où les deux systèmes peuvent communiquer ensemble, l'utilisateur ne doit se connecter qu'une seule fois.

Qu'est-ce qu'une assertion SAML ?

Une assertion SAML est un document XML que le fournisseur d'identités envoie au SP et qui contient le statut d'autorisation de l'utilisateur. Les trois types distincts d'assertions SAML sont les décisions d'authentification, d'attribut et d'autorisation.

  • Les assertions d'authentification permettent de vérifier l'identification d'un utilisateur et de fournir le temps de connexion et la méthode d'authentification utilisée (par exemple, mot de passe, MFA, Kerbeos, etc.).
  • L'assertion transmet le jeton SAML au SP. L'attribut utilisé par le SAML pour identifier l'utilisateur doit être le même dans les répertoires de l'IdP et du SP. Les attributs SAML sont des données spécifiques qui fournissent des informations sur l'utilisateur
  • Une assertion de décision d'autorisation indique si un utilisateur est autorisé à utiliser un service ou si le fournisseur d'identités a refusé la demande en raison d'un échec de mot de passe ou d'un manque de droits sur un service

Cas d'utilisation du SAML et d'OAuth

Le SAML est principalement utilisé pour activer l'accès avec connexion unique (SSO) pour les navigateurs Web. L'objectif de l'expérience utilisateur du SSO est de permettre à un utilisateur de s'authentifier une fois et d'accéder à des systèmes sécurisés séparément sans soumettre à nouveau ses identifiants. L'objectif en matière de sécurité est de s'assurer que les exigences d'authentification sont respectées dans chaque périmètre de sécurité.

  • Gérer les identités dans le cloud et sur site. Mettez en place une approche unifiée de la gestion des identités et des accès avec des workflows basés sur le cloud et une simplification du provisionnement des utilisateurs et du libre accès utilisateur. L'intégration de normes ouvertes réduit les frais généraux et la maintenance, ce qui simplifie le provisionnement et la gestion des utilisateurs dans le cloud et sur site
  • Rationaliser les tâches de gestion des identités. Réduit le besoin de changements répétés d’utilisateurs, de rôles et de groupes dans plusieurs environnements. Cela fournit un pont d'identité qui synchronise les habilitations d'identité entre les services cloud et sur site
  • Stratégie « zéro-confiance ». Appliquez des stratégies d’accès à l’aide d’un service basées sur le cloud pour l’authentification unique (SSO), l’application de mots de passe renforcés et l’authentification multifacteur (MFA). Avec l'authentification adaptative, les risques sont réduits en augmentant les exigences de connexion lorsque l'accès utilisateur est considéré comme à haut risque en fonction de l'appareil, de l'emplacement ou de l'activité
  • Gérer l’accès digital des consommateurs. Enrichissez l’expérience d’accès des consommateurs avec les interfaces utilisateur en libre accès et les écrans de connexion personnalisables aux couleurs de votre marque. L'activation de l'accès client flexible permet d'intégrer des services tiers et des applications personnalisées à l'aide d'API REST et d'une intégration basée sur les normes

Optimisation de l'expérience de connexion des utilisateurs

L'expérience utilisateur est extrêmement importante pour toutes les applications et doit commencer dès la première interaction. Il s'agit généralement de l'authentification. Si cette opération est lourde ou peu intuitive, elle peut réduire l'expérience utilisateur pour l'ensemble de l'application. Oracle Identity Cloud Service (IDCS) gère l’accès et les droits des utilisateurs sur de nombreuses applications et divers services cloud et sur site grâce à une plate-forme d’identité en tant que service (IDaaS) native du cloud. Les entreprises peuvent ainsi mettre en place une stratégie « zéro-confiance » et définir la gestion des identités utilisateur comme un nouveau périmètre de sécurité.

En savoir plus sur Oracle Identity Cloud Service.