Le SAML (Security Assertion Markup Language) est une norme de fédération ouverte qui permet à un fournisseur d'identités (IdP) d'authentifier les utilisateurs, puis de transmettre un jeton d'authentification à une autre application appelée fournisseur de services (SP). Le SAML permet aux SP de ne pas avoir à effectuer leur propre authentification et leur transmet l'identité des utilisateurs internes et externes. Il permet de partager les informations d'identification de sécurité avec un SP sur un réseau, généralement pour une application ou un service. Le SAML permet une communication interdomaine sécurisée entre le cloud public et d'autres systèmes SAML, ainsi qu'un certain nombre d'autres systèmes de gestion des identités sur site ou dans un autre cloud. Le SAML permet d'activer une expérience d'accès avec une connexion unique (SSO) pour vos utilisateurs sur deux applications prenant en charge le protocole et les services SAML, pour permettre au SSO d'exécuter plusieurs fonctions de sécurité pour le compte d'une ou de plusieurs applications.
Le SAML désigne le langage dérivé du XML utilisé pour encoder ces informations et peut également couvrir divers messages et profils de protocole qui font partie de la norme.
Découvrez comment Oracle utilise le SAML pour améliorer la sécurité en un seul clic.
Découvrez comment utiliser le SAML sur site et dans le cloud.
Le SAML véhicule des informations sur les utilisateurs, les connexions et les attributs entre les fournisseurs d'identités (IdP) et les fournisseurs de services (SP). Chaque utilisateur s'authentifie une fois auprès d'un IdP, puis peut profiter de sa session d'authentification en toute fluidité avec de nombreuses applications. L'IdP transmet au SP ce qu'on appelle une assertion SAML lorsque l'utilisateur tente d'accéder à ces services. Le SP demande l'autorisation et l'authentification à partir de l'identification.
Exemple de SAML :
Un fournisseur SAML est un système qui aide les utilisateurs à accéder au service souhaité. Le SAML transfère les données d'identité entre deux parties : l'IdP et le SP. Il existe deux principaux types de fournisseurs SAML :
Fournisseur d'identités (IdP) : effectue l'authentification et transmet le niveau d'identité et d'autorisation de l'utilisateur au fournisseur de services. L'IdP authentifie l'utilisateur tandis que le SP autorise l'accès en fonction de la réponse fournie par l'IdP.
Fournisseur de services (SP) : approuve l'IdP et autorise l'utilisateur à accéder à la ressource demandée. Un SP requiert l'authentification à partir de l'IdP pour accorder l'autorisation à l'utilisateur et, dans la mesure où les deux systèmes peuvent communiquer ensemble, l'utilisateur ne doit se connecter qu'une seule fois.
Une assertion SAML est un document XML que le fournisseur d'identités envoie au SP et qui contient le statut d'autorisation de l'utilisateur. Les trois types distincts d'assertions SAML sont les décisions d'authentification, d'attribut et d'autorisation.
Le SAML est principalement utilisé pour activer l'accès avec connexion unique (SSO) pour les navigateurs Web. L'objectif de l'expérience utilisateur du SSO est de permettre à un utilisateur de s'authentifier une fois et d'accéder à des systèmes sécurisés séparément sans soumettre à nouveau ses identifiants. L'objectif en matière de sécurité est de s'assurer que les exigences d'authentification sont respectées dans chaque périmètre de sécurité.
L'expérience utilisateur est extrêmement importante pour toutes les applications et doit commencer dès la première interaction. Il s'agit généralement de l'authentification. Si cette opération est lourde ou peu intuitive, elle peut réduire l'expérience utilisateur pour l'ensemble de l'application. Oracle Identity Cloud Service (IDCS) gère l’accès et les droits des utilisateurs sur de nombreuses applications et divers services cloud et sur site grâce à une plate-forme d’identité en tant que service (IDaaS) native du cloud. Les entreprises peuvent ainsi mettre en place une stratégie « zéro-confiance » et définir la gestion des identités utilisateur comme un nouveau périmètre de sécurité.