Security Assertion Markup Language (SAML) è uno standard di federazione aperto che consente a un provider di identità (IdP) di autenticare gli utenti e trasferire il token di autenticazione a un'altra applicazione nota come provider di servizi (SP). SAML consente all'SP di funzionare senza dover eseguire la propria autenticazione e di passare l'identità per integrare gli utenti interni ed esterni. Consente la condivisione delle credenziali di sicurezza con un SP in rete, in genere un'applicazione o un servizio. SAML consente una comunicazione sicura tra più domini e tra il cloud pubblico e altri sistemi abilitati a SAML, nonché un numero selezionato di altri sistemi di gestione delle identità posizionati on premise o in un altro cloud. Con SAML, è possibile abilitare un'esperienza Single Sign-On (SSO) per gli utenti in due applicazioni qualsiasi che supportano il protocollo e i servizi SAML, consentendo così a un SSO di eseguire diverse funzioni di sicurezza per conto di una o più applicazioni.
SAML fa riferimento al linguaggio della variante XML utilizzato per codificare queste informazioni e può coprire anche vari messaggi e profili di protocollo che fanno parte dello standard.
Scopri in che modo Oracle utilizza SAML per aumentare la sicurezza con un semplice clic.
Scopri di più sull'utilizzo di SAML dall'on premise al cloud.
SAML lavora passando le informazioni sugli utenti, i login e gli attributi tra il provider di identità e l'SP. Ogni utente esegue l'autenticazione una volta su un IdP e può quindi potenzialmente estendere la propria sessione di autenticazione a numerose applicazioni in modo semplice. IdP passa ciò che viene definita asserzione SAML all'SP, quando l'utente tenta di accedere a tali servizi. L'SP richiede l'autorizzazione e l'autenticazione dall'identificazione.
Esempio SAML:
Un provider SAML è un sistema che consente agli utenti di ottenere l'accesso a un servizio necessario. SAML trasferisce i dati di identità tra due parti, un IdP e un SP. Esistono due tipi principali di provider SAML:
Provider di identità (IdP): esegue l'autenticazione e passa il livello di identità e autorizzazione dell'utente al provider di servizi (SP). L'IdP ha autenticato l'utente mentre l'SP consente l'accesso in base alla risposta fornita dall'IdP.
Provider di servizi (SP): considera attendibile l'IdP e autorizza l'utente specificato ad accedere alla risorsa richiesta. Un SP richiede l'autenticazione dall'IdP per concedere l'autorizzazione all'utente e poiché entrambi i sistemi condividono lo stesso linguaggio, l'utente deve eseguire il login una sola volta.
Un'asserzione SAML è un documento XML che il provider di identità invia all'SP contenente lo stato di autorizzazione dell'utente. I tre tipi distinti di asserzioni SAML sono le decisioni di autenticazione, attributo e autorizzazione.
SAML viene utilizzato principalmente per abilitare il Single Sign-On (SSO) del browser Web. L'obiettivo dell'esperienza utente per SSO consiste nel consentire a un utente di eseguire l'autenticazione una volta sola e ottenere l'accesso a sistemi protetti separatamente senza inviare nuovamente le credenziali. L'obiettivo di sicurezza è garantire che i requisiti di autenticazione siano soddisfatti a ciascun livello di sicurezza.
L'esperienza utente è estremamente importante per qualsiasi applicazione e deve iniziare dal momento in cui un utente interagisce con essa. La prima attività è in genere il processo di accesso. Se questa operazione è complessa o non intuitiva, può influire negativamente sull'esperienza complessiva di utilizzo dell'applicazione. Oracle Identity Cloud Service (IDCS) gestisce l'accesso e le autorizzazioni degli utenti in una vasta gamma di applicazioni e servizi cloud e on premise utilizzando una piattaforma cloud nativa Identity as a Service (IDaaS), che funge da ingresso principale a Oracle Cloud per le identità esterne. In questo modo, le organizzazioni possono abilitare una strategia zero-trust e stabilire la gestione delle identità degli utenti come nuovo perimetro di sicurezza.