Oracle Cloud Free Tier

Sviluppa, testa e implementa applicazioni sfruttando gratuitamente le funzionalità di elaborazione del linguaggio naturale.

Che cosa si intende per SAML (Security Assertion Markup Language)?

Informazioni su SAML

Security Assertion Markup Language (SAML) è uno standard di federazione aperto che consente a un provider di identità (IdP) di autenticare gli utenti e trasferire il token di autenticazione a un'altra applicazione nota come provider di servizi (SP). SAML consente all'SP di funzionare senza dover eseguire la propria autenticazione e di passare l'identità per integrare gli utenti interni ed esterni. Consente la condivisione delle credenziali di sicurezza con un SP in rete, in genere un'applicazione o un servizio. SAML consente una comunicazione sicura tra più domini e tra il cloud pubblico e altri sistemi abilitati a SAML, nonché un numero selezionato di altri sistemi di gestione delle identità posizionati on premise o in un altro cloud. Con SAML, è possibile abilitare un'esperienza Single Sign-On (SSO) per gli utenti in due applicazioni qualsiasi che supportano il protocollo e i servizi SAML, consentendo così a un SSO di eseguire diverse funzioni di sicurezza per conto di una o più applicazioni.

SAML fa riferimento al linguaggio della variante XML utilizzato per codificare queste informazioni e può coprire anche vari messaggi e profili di protocollo che fanno parte dello standard.

Due funzioni di sicurezza principali di SAML

  • Autenticazione: confermare che gli utenti sono chi dicono di essere
  • Autorizzazione: passaggio dell'autorizzazione utente alle applicazioni per l'accesso a determinati sistemi o contenuti

Scopri in che modo Oracle utilizza SAML per aumentare la sicurezza con un semplice clic.


Scopri di più sull'utilizzo di SAML dall'on premise al cloud.

Come funziona SAML?

SAML lavora passando le informazioni sugli utenti, i login e gli attributi tra il provider di identità e l'SP. Ogni utente esegue l'autenticazione una volta su un IdP e può quindi potenzialmente estendere la propria sessione di autenticazione a numerose applicazioni in modo semplice. IdP passa ciò che viene definita asserzione SAML all'SP, quando l'utente tenta di accedere a tali servizi. L'SP richiede l'autorizzazione e l'autenticazione dall'identificazione.

Esempio SAML:

  1. Eseguire il login e accedere all'autenticazione SSO.
  2. Esportare i metadati dal provider di identità e importarli.
  3. Il sistema di identità comprenderà di più sul provider di identità SSO per esportare i metadati dal sistema di identità.
  4. Fornire i metadati al team del provider di identità SSO.
  5. Eseguire il test e abilitare SSO.
  6. Si consiglia agli utenti di eseguire l'accesso solo con le proprie credenziali SSO.

Chi è un provider SAML?

Un provider SAML è un sistema che consente agli utenti di ottenere l'accesso a un servizio necessario. SAML trasferisce i dati di identità tra due parti, un IdP e un SP. Esistono due tipi principali di provider SAML:

Provider di identità (IdP): esegue l'autenticazione e passa il livello di identità e autorizzazione dell'utente al provider di servizi (SP). L'IdP ha autenticato l'utente mentre l'SP consente l'accesso in base alla risposta fornita dall'IdP.

Provider di servizi (SP): considera attendibile l'IdP e autorizza l'utente specificato ad accedere alla risorsa richiesta. Un SP richiede l'autenticazione dall'IdP per concedere l'autorizzazione all'utente e poiché entrambi i sistemi condividono lo stesso linguaggio, l'utente deve eseguire il login una sola volta.

Che cos'è un'asserzione SAML?

Un'asserzione SAML è un documento XML che il provider di identità invia all'SP contenente lo stato di autorizzazione dell'utente. I tre tipi distinti di asserzioni SAML sono le decisioni di autenticazione, attributo e autorizzazione.

  • Le asserzioni di autenticazione aiutano a verificare l'identificazione di un utente e a fornire l'ora in cui l'utente esegue il login e il metodo di autenticazione utilizzato (ad esempio, password, MFA, Kerbeos e così via).
  • L'asserzione assegnata passa il token SAML all'SP. L'attributo utilizzato da SAML per identificare l'utente viene considerato uguale sia nella directory IdP che nella directory SP. Gli attributi SAML sono dati specifici che forniscono informazioni sull'utente
  • Un'asserzione sulla decisione di autorizzazione indica se un utente è autorizzato a utilizzare un servizio o se il provider di identità ha negato la richiesta a causa di un errore della password o della mancanza di diritti per un servizio

Casi d'uso SAML e OAuth

SAML viene utilizzato principalmente per abilitare il Single Sign-On (SSO) del browser Web. L'obiettivo dell'esperienza utente per SSO consiste nel consentire a un utente di eseguire l'autenticazione una volta sola e ottenere l'accesso a sistemi protetti separatamente senza inviare nuovamente le credenziali. L'obiettivo di sicurezza è garantire che i requisiti di autenticazione siano soddisfatti a ciascun livello di sicurezza.

  • Gestire le identità nel cloud e on premise. Promuovere un approccio unificato alla gestione delle identità e degli accessi con flussi di lavoro basati su cloud, provisioning degli utenti semplificato e self-service per gli utenti. L'integrazione degli standard aperti riduce il carico di lavoro e la manutenzione, fornendo il provisioning e la gestione semplificati degli utenti nel cloud e on-premise
  • Semplificare le attività relative alle identità. Riduce la necessità di modifiche ricorrenti di utenti, ruoli o gruppi in più ambienti. Offre un bridge di identità che sincronizza le autorizzazioni delle identità tra servizi on premise e cloud
  • Strategia zero-trust. Applicare i criteri di accesso utilizzando il servizio basato su cloud per Single Sign-On (SSO), l'applicazione efficace delle password e l'autenticazione a più fattori (MFA). Grazie all'autenticazione adattiva, i rischi si riducono aumentando i requisiti di login quando l'accesso degli utenti viene considerato ad alto rischio in base a dispositivo, posizione o attività
  • Gestire l'accesso digitale del consumatore. Integra l'esperienza di accesso dei consumatori con interfacce utente self-service e schermate di login personalizzabili con il brand. L'accesso flessibile dei clienti consente di integrare servizi di terze parti e applicazioni personalizzate mediante le API REST e un'integrazione basata sugli standard

Ottimizzazione dell'esperienza di login utente

L'esperienza utente è estremamente importante per qualsiasi applicazione e deve iniziare dal momento in cui un utente interagisce con essa. La prima attività è in genere il processo di accesso. Se questa operazione è complessa o non intuitiva, può influire negativamente sull'esperienza complessiva di utilizzo dell'applicazione. Oracle Identity Cloud Service (IDCS) gestisce l'accesso e le autorizzazioni degli utenti in una vasta gamma di applicazioni e servizi cloud e on premise utilizzando una piattaforma cloud nativa Identity as a Service (IDaaS), che funge da ingresso principale a Oracle Cloud per le identità esterne. In questo modo, le organizzazioni possono abilitare una strategia zero-trust e stabilire la gestione delle identità degli utenti come nuovo perimetro di sicurezza.

Ulteriori informazioni su Oracle Identity Cloud Service.