Varonis | Segurança de dentro para fora

O que é o SAML e como ele funciona?

Escrito por Michael Buckbee | Mar 29, 2020 4:00:00 AM

O SAML (Security Assertion Markup Language) é um padrão aberto que permite que provedores de identidade (IdP) passem credenciais de autorização para provedores de serviços (SP). Isso significa que você pode usar um conjunto de credenciais para entrar em diferentes sites. É muito mais simples gerenciar um login por usuário do que gerenciar logins separados para e-mail, software de gerenciamento de relacionamento com o cliente (CRM), Active Directory, etc.

As transações SAML usam XML (Extensible Markup Language) para comunicações padronizadas entre o provedor de identidade e os provedores de serviços. O SAML é o vínculo entre a autenticação da identidade de um usuário e a autorização para usar um serviço.

Receba gratuitamente o e-book Pentesting
Active Directory Environments

O Consórcio OASIS aprovou o SAML 2.0 em 2005. O padrão evoluiu tanto desde a versão 1.1 que as versões são incompatíveis. A adoção do SAML permite que os departamentos de TI usem soluções de software como serviço (SaaS) enquanto mantêm um sistema seguro de gerenciamento de identidades federadas.

O SAML permite logon único (SSO), o que significa que os usuários podem fazer login uma vez e reutilizar essas mesmas credenciais para fazer login em outros provedores de serviços.

Para que serve o SAML?

O SAML simplifica os processos federados de autenticação e autorização para usuários, provedores de identidade e provedores de serviços. O SAML oferece uma solução para permitir que seu provedor de identidade e provedores de serviços existam independentemente um do outro, o que centraliza o gerenciamento de usuários e permite acesso a soluções SaaS.

O SAML implementa um método seguro de transferência de autenticações e autorizações de usuário entre o provedor de identidade e os provedores de serviços. Quando um usuário faz login em um aplicativo que usa SAML, o provedor de serviços solicita autorização do provedor de identidade apropriado. O provedor de identidade autentica as credenciais do usuário e, em seguida, retorna a autorização do usuário para o provedor de serviços. O usuário pode, então, usar o aplicativo.

A autenticação SAML é o processo de verificação da identidade e das credenciais do usuário (senha, autenticação de dois fatores, etc.). A autorização SAML informa ao provedor de serviços qual acesso conceder ao usuário autenticado.

O que é um provedor SAML?


Um provedor SAML é um sistema que ajuda o usuário a acessar o serviço de que ele precisa. Existem dois tipos principais de provedores SAML: provedor de serviços e provedor de identidade.

Um provedor de serviços precisa da autenticação do provedor de identidade para conceder autorização ao usuário.

Um provedor de identidade executa a autenticação para verificar se o usuário final é quem ele afirma ser e envia esses dados ao provedor de serviços junto com os direitos de acesso do usuário a esse serviço.

Microsoft Active Directory ou Azure são provedores de identidade conhecidos. O Salesforce e outras soluções de CRM geralmente são provedores de serviços, pois dependem de um provedor de identidade para autenticação do usuário.

O que é uma asserção SAML?

Uma asserção SAML é o documento XML que contém a autorização do usuário e que o provedor de identidade envia ao provedor de serviços. Existem três tipos diferentes de asserções SAML: autenticação, atributo e decisão de autorização.

  • As asserções de autenticação comprovam a identificação do usuário e indicam o tempo de login e o método de autenticação usado (Kerberos, dois fatores, etc.).
  • A asserção de atribuição passa os atributos SAML para o provedor de serviços. Os atributos SAML são elementos de dados específicos que fornecem informações sobre o usuário.
  • A asserção de decisão de autorização indica se o usuário está autorizado a usar o serviço ou se o provedor de identidade negou sua solicitação devido a falha de senha ou falta de direitos ao serviço.

Como o SAML funciona?

O SAML funciona passando informações sobre usuários, logins e atributos entre o provedor de identidade e provedores de serviços. Cada usuário faz login uma vez por meio do SSO com o provedor de identidade que passa os atributos SAML para o provedor de serviços quando o usuário tenta acessar esses serviços. O provedor de serviços solicita que o provedor de identidade forneça autorização e autenticação. Como esses dois sistemas falam a mesma linguagem (SAML), o usuário só precisa fazer login uma vez.

Cada provedor de identidade e provedor de serviços deve aceitar a configuração para SAML. Para que a autenticação SAML funcione, ambos precisam ter a configuração exata.

Exemplo de SAML

  1. Frodo (o usuário) faz login no SSO pela manhã.
  2. Ele então tenta abrir a página da web em seu software de CRM.
  3. O CRM (o provedor de serviços) verifica as credenciais do Frodo com o provedor de identidade.
  4. O provedor de identidade envia mensagens de autorização e autenticação de volta ao provedor de serviços, que autoriza o Frodo a fazer login no CRM.
  5. O Frodo pode usar o software CRM e fazer seu trabalho.
    “Preciso de 8 voluntários para um projeto difícil…”

SAML x OAuth

O OAuth é um padrão um pouco mais recente que foi desenvolvido em conjunto pelo Google e pelo Twitter para simplificar logins na internet. O OAuth usa uma metodologia semelhante ao SAML para compartilhar informações de login. O SAML fornece mais controle às empresas para proteger melhor seus logins SSO, enquanto o OAuth, que usa JSON, tem melhor desempenho em dispositivos móveis.

O Facebook e o Google são dois provedores OAuth que você pode usar para fazer login em outros sites da internet.

Tutoriais sobre o SAML

Aqui estão alguns recursos para entender melhor como implementar o SAML:

O SAML e o SSO desempenham um papel importante em qualquer estratégia de cibersegurança empresarial. As práticas recomendadas de gerenciamento de identidade exigem que as contas de usuário tenham acesso apenas aos recursos de que o usuário precisa para realizar seu trabalho e que sejam controladas e gerenciadas de maneira central. Ao usar uma solução de SSO, você pode desativar contas de um sistema e remover o acesso a todos os recursos disponíveis de uma só vez, protegendo assim seus dados de roubo.

A Varonis protege seus principais serviços do Active Directory, o que ajuda a proteger seus sistemas SSO e SAML. A Varonis detecta ataques direcionados ao seu sistema AD muito antes que os invasores possam acessar os recursos de SSO. Faça uma demonstração individual para ver como a Varonis protege o Active Directory e seus repositórios de dados mais importantes contra ataques cibernéticos e ameaças internas.