SAML vs. OAUTH

SAML och OAUTH är tekniska standarder för att auktorisera användare. Dessa standarder används av webbapplikationsutvecklare, säkerhetspersonal och systemadministratörer som vill förbättra sin identitetshanteringstjänst och förbättra metoder som klienter kan få tillgång till resurser med en uppsättning referenser. I fall där åtkomst till en applikation från en portal behövs finns det ett behov av en central identitetskälla eller Enterprise Single Sign On. I sådana fall är SAML att föredra. I fall där tillfällig åtkomst till resurser som konton eller filer behövs anses OAUTH vara det bättre valet. I mobilanvändningsfall används OAUTH mestadels. Både SAML (Security Assertion and Markup Language) och OAUTH (Open Authorization) används för webben Single Sign On, vilket ger möjlighet för enkel inloggning för flera webbapplikationer.

SAML

SAML används för att tillåta webbapplikations SSO-leverantörer att överföra och flytta referenser mellan Identity Provider (IDP), som innehar referenser, och Service Provider (SP), som är den resurs som behöver dessa referenser. SAML är ett standardspråk för auktoriserings- och autentiseringsprotokoll som oftast används för att utföra federation och identitetshantering, tillsammans med Single Sign On-hantering. I SAML, XML-metadatadokument används som en token för inlämning av klientens identitet. Verifierings- och auktoriseringsprocessen för SAML enligt följande:

1. Användaren begär att logga in på tjänsten via webbläsaren.
2. Tjänsten informerar webbläsaren om att den autentiseras till en specifik identitetsleverantör (IdP) som är registrerad hos tjänsten.
3. Webbläsaren vidarebefordrar autentiseringsförfrågan till de registrerade identitetsleverantörerna för inloggning och autentisering.
4. Vid lyckad autentiserings- / autentiseringskontroll genererar IdP ett XML-baserat påståendokument som verifierar användarens identitet och vidarebefordrar detta till webbläsaren.
5. Webbläsaren vidarebefordrar påståendet till tjänsteleverantören.
6. Tjänsteleverantören (SP) accepterar påståendet för inmatning och ger användaren åtkomst till tjänsten genom att logga in dem.

Låt oss nu titta på ett verkligt exempel. Antag att en användare klickar på Logga in alternativ på bilddelningstjänsten på webbplatsen abc.com. För att autentisera användaren görs en krypterad SAML-autentiseringsbegäran av abc.com. Förfrågan kommer att skickas från webbplatsen direkt till auktoriseringsservern (IdP). Här omdirigerar tjänsteleverantören användaren till IdP för auktorisering. IdP kommer att verifiera den mottagna SAML-autentiseringsförfrågan, och om begäran visar sig giltig, kommer den att ge användaren ett inloggningsformulär för att ange referenserna. Efter att användaren har angett inloggningsuppgifterna kommer IdP att generera ett SAML-påstående eller SAML-token som innehåller användarens data och identitet och skickar det till tjänsteleverantören. Tjänsteleverantören (SP) verifierar SAML-påståendet och extraherar användarens data och identitet, tilldelar användaren rätt behörigheter och loggar in användaren i tjänsten.

Webbapplikationsutvecklare kan använda SAML-plugins för att säkerställa att appen och resurserna följer de nödvändiga metoderna för enkel inloggning. Detta ger en bättre användarinloggningsupplevelse och effektivare säkerhetspraxis som utnyttjar en gemensam identitetsstrategi. Med SAML på plats kan endast användare med rätt identitet och påståendetoken få tillgång till resursen.

OAUTH

OAUTH används när det finns ett behov av att överföra auktorisering från en tjänst till en annan tjänst utan att dela de faktiska referenserna, som lösenord och användarnamn. Använder sig av OAUTH, användare kan logga in på en enda tjänst, få tillgång till resurserna för andra tjänster och utföra åtgärder på tjänsten. OAUTH är den bästa metoden som används för att överföra auktorisering från en Single Sign On-plattform till en annan tjänst eller plattform eller mellan två webbapplikationer. De OAUTH arbetsflödet är som följer:

1. Användaren klickar på inloggningsknappen för en resursdelningstjänst.
2. Resursservern visar användaren ett auktorisationsbidrag och omdirigerar användaren till auktoriseringsservern.
3. Användaren begär en åtkomsttoken från auktoriseringsservern med hjälp av auktorisationskod.
4. Om koden är giltig efter inloggning på auktoriseringsservern får användaren en åtkomsttoken som kan användas för att hämta eller komma åt en skyddad resurs från resursservern.
5. Vid mottagning av en begäran om en skyddad resurs med en åtkomsttilldelningstecken kontrolleras giltigheten för åtkomsttoken av resursservern med hjälp av auktoriseringsservern.
6. Om token är giltig och klarar alla kontroller beviljas den skyddade resursen av resursservern.

En vanlig användning av OAUTH är att låta en webbapplikation komma åt en social medieplattform eller annat onlinekonto. Googles användarkonton kan användas med många konsumentapplikationer av flera olika skäl, till exempel blogga, onlinespel, logga in med sociala mediekonton och läsa artiklar på nyhetswebbplatser. I dessa fall fungerar OAUTH i bakgrunden så att dessa externa enheter kan länkas och få åtkomst till nödvändig data.

OAUTH är en nödvändighet, eftersom det måste finnas ett sätt att skicka auktoriseringsinformation mellan olika applikationer utan att dela eller avslöja användaruppgifter. OAUTH används också i företag. Anta till exempel att en användare behöver komma åt ett företags Single Sign On-system med sitt användarnamn och lösenord. SSO ger åtkomst till alla nödvändiga resurser genom att skicka OAUTH-auktoriseringstoken till dessa appar eller resurser.

Slutsats

OAUTH och SAML är båda mycket viktiga ur en webbapplikationsutvecklare eller systemadministratörs synvinkel, medan båda är väldigt olika verktyg med olika funktioner. OAUTH är protokollet för åtkomstbehörighet, medan SAML är en sekundär plats som analyserar ingången och ger behörighet till användaren.