SAML (Security Assertion Markup Language)

A Security Assertion Markup Language (SAML) é uma framework de padrão aberto que desempenha um papel crítico na gestão de identidades e no controlo de acesso. A framework SAML garante a interoperabilidade e funcionalidade consistente entre diferentes sistemas. O uso principal do SAML é permitir que as organizações implementem soluções de autenticação única (SSO).

Como uma estrutura de padrão aberto, SAML é um conjunto de diretrizes, protocolos e especificações que estão publicamente disponíveis e são desenvolvidos através de um processo colaborativo. Faz parte de muitas bibliotecas de desenvolvimento, facilitando a integração do SAML por parte dos programadores nas suas aplicações. Por exemplo, OpenSAML, Python-SAML e SimpleSAMLphp são bibliotecas de desenvolvimento que implementam suporte para SAML em Java, Python e PHP.

Embora estreitamente relacionados, SAML e SSO não são a mesma coisa. Single sign-on é um processo de autenticação que permite a um utilizador iniciar sessão uma vez e obter acesso a várias aplicações ou serviços sem necessidade de iniciar sessão novamente para cada um. SAML é a infraestrutura subjacente que suporta a troca de dados de autenticação e autorização entre um fornecedor de identidade (IdP) e um fornecedor de serviços (SP).

Em suma, o SSO é um conceito amplo que simplifica e assegura o acesso dos utilizadores a múltiplas aplicações, enquanto o SAML é uma estrutura padrão universal utilizada pelos desenvolvedores para garantir a compatibilidade entre o SSO e outras implementações de casos de uso.

O SAML inclui vários componentes que trabalham juntos para suportar vários casos de uso.

Principal (Utilizador): O utilizador que necessita de aceder a um serviço ou recurso. O utilizador interage com o fornecedor de serviços e o fornecedor de identidade para autenticar e obter acesso ao recurso desejado. Incluímos o utilizador nesta lista de componentes porque ajuda a ilustrar como funcionam os outros componentes SAML.

Fornecedor de Identidade (IdP): Autentica o utilizador e fornece informações de identidade ao fornecedor de serviço. O IdP lida com a autenticação e a geração de declarações.

Fornecedor de serviços (SP): Fornece serviços ou recursos ao utilizador. O SP depende do fornecedor de identidade para autenticar o utilizador e é responsável por solicitar autenticação e consumir asserções.

Afirmações SAML: Documentos XML emitidos pelo IdP que contêm declarações sobre o utilizador. Existem diferentes afirmações SAML, incluindo declarações de autenticação, declarações de atributos e declarações de decisão de autorização.

Protocolos SAML: Protocolos que definem como as solicitações e respostas SAML são comunicadas entre entidades. Os principais protocolos SAML são o protocolo de solicitação de autenticação, protocolo de resolução de artefato, e protocolo de logout único.

Associações SAML: Define como as mensagens do protocolo SAML são transportadas entre entidades. As associações comuns incluem Associação de Redirecionamento HTTP e Associação de Post HTTP.

Perfis SAML: Perfis definem casos de uso SAML, e como as afirmações, protocolos e vinculações SAML suportam esses casos de uso. Perfis comuns incluem SSO de Navegador Web, logout único (SLO) e consulta de atributos.

Metadados SAML: Um documento XML que descreve a configuração e capacidades do IdP e SP SAML. Inclui IDs de entidade, endpoints, certificados e informações sobre protocolos e ligações suportados.

O SAML permite o SSO ao permitir que os dados de autenticação e autorização sejam trocados entre um fornecedor de identidade e um fornecedor de serviços. Aqui está uma explicação passo a passo de como o SAML permite o SSO:

O utilizador solicita acesso: O utilizador tenta aceder a um serviço ou recurso fornecido pelo SP.

SP inicia pedido de autenticação: O SP identifica que o utilizador precisa de ser autenticado e responde gerando um pedido de autenticação SAML. Isto é normalmente um URL codificado com dados de pedido SAML.

O utilizador foi redirecionado para IdP: O sistema redireciona o utilizador para o IdP, enviando o pedido SAML do passo anterior. Isto pode acontecer através de redirecionamentos HTTP, HTTP POST ou artefactos.

O utilizador autentica-se com o IdP: O IdP apresenta uma interface de autenticação para que o utilizador insira as credenciais. O IdP utiliza estas credenciais, geralmente um nome de utilizador e palavra-passe, para verificar a identidade do utilizador.

IdP gera resposta SAML: Após a autenticação bem-sucedida, o IdP gera uma resposta SAML, que contém uma asserção SAML. Para garantir a integridade e autenticidade, o IdP assina a asserção e inclui a identidade e o estado de autenticação do utilizador.

Utilizador redirecionado de volta para o SP: O utilizador é redirecionado de volta para o SP via HTTP POST ou outros mecanismos. Esta redireção entrega a resposta SAML ao SP.

O SP valida a resposta SAML: O SP recebe e verifica a resposta SAML e extrai a informação de identidade do utilizador da asserção SAML.

SP concede acesso: Com base nas informações de identidade do utilizador e na asserção SAML, o SP concede acesso ao serviço ou recurso solicitado. Nesta etapa, o sistema autentica o utilizador e concede acesso aos serviços autorizados.

A necessidade de um mecanismo como o SAML foi conceptualizada no final dos anos 1990, à medida que o uso da internet se expandia e os proprietários de grandes redes queriam autenticar através de diferentes domínios e organizações. Governos, universidades e redes empresariais foram construídos com ou conectados por múltiplos domínios de segurança, e os utilizadores num domínio muitas vezes precisavam de aceder a recursos noutro. Existiam várias soluções proprietárias concebidas para resolver este problema, mas os peritos da indústria reconheceram uma necessidade crescente de um padrão universal que funcionasse para todos os sistemas.

Em 2001, a Organização para o Avanço dos Padrões de Informação Estruturada (OASIS) formou um Comité Técnico que criaria uma estrutura XML para este padrão universal. Esta estrutura definiria a troca de dados de autenticação e autorização entre domínios de segurança. A OASIS adotou o SAML 1.0 em novembro de 2002, tornando-o na primeira forma padrão de trocar dados de autenticação e autorização entre diferentes domínios de segurança. Esta versão do SAML forneceu apenas suporte básico para esta troca. A OASIS adotou o SAML 1.1 em setembro de 2003, que incluiu melhorias e aperfeiçoamentos no tratamento de erros, implementação e na troca de dados entre domínios. As alterações ao SAML na versão 1.1 basearam-se principalmente no feedback da indústria.

O SAML 2.0 tornou-se o padrão em 2005. Esta versão foi uma melhoria significativa em relação às versões anteriores, adicionando ou melhorando o suporte para muitas das funcionalidades atualmente em uso. As principais adições incluem:

SSO melhorado e logout único (SLO): Mecanismos melhorados para SSO e maior flexibilidade na forma como a autenticação é gerida em vários domínios. A introdução do SLO permitiu que os utilizadores fizessem logout de todos os sites com uma única ação.

Identidade federada: Um sistema de confiança que permite que as identidades sejam vinculadas em diferentes domínios de segurança.

Suporte de metadados e gestão de atributos: Introdução de metadados para descrever os atributos dos fornecedores de identidade, fornecedores de serviços e outras entidades SAML. A gestão de atributos facilita a troca detalhada e flexível desta informação. 

Melhorias de segurança: Algoritmos criptográficos mais fortes e outras melhorias para proteger os dados que estão a ser trocados.

SAML 2.0 continua a ser a versão atual, e os desenvolvedores têm atualizado continuamente desde o seu lançamento. Estas atualizações incluem melhorias em segurança e interoperabilidade, melhorias na implementação e suporte a novos casos de uso. A OASIS revisa periodicamente o framework SAML 2.0 para garantir que ele continue relevante, seguro e eficaz para a comunidade.

O SAML apoia a produtividade e eficiência melhoradas de várias maneiras, principalmente através da segurança, experiência do utilizador e eficiência operacional. Aqui estão alguns dos principais benefícios empresariais da implementação do SAML:

Autenticação única (SSO): SSO é um benefício principal do SAML, permitindo que os utilizadores façam login uma vez e acedam a várias aplicações sem inserir repetidamente credenciais. Isto melhora a produtividade e reduz atrasos relacionados com o login.

Experiência do utilizador melhorada: São necessários menos inícios de sessão para alternar entre aplicações e outros recursos. Isto proporciona um fluxo de trabalho mais fluido e eficiente, melhorando a experiência do utilizador.

Segurança aprimorada: O SAML aprimora a segurança através do seu suporte a comunicações encriptadas e assinaturas digitais. Isto garante que os dados de autenticação sejam transmitidos de forma segura e possam ser confiáveis tanto pelo fornecedor de identidade como pelo fornecedor de serviço.

Autenticação centralizada: Ao centralizar a autenticação com um único fornecedor de identidade, as organizações podem impor políticas de segurança consistentes e gerir o acesso dos utilizadores de forma mais eficaz.

Redução da fadiga de palavras-passe: O SAML reduz o número de palavras-passe que os utilizadores precisam de memorizar, levando a melhores práticas de utilização de palavras-passe e reduzindo o risco de utilização de palavras-passe fracas em vários serviços.

Gestão de utilizadores simplificada: O aprovisionamento e a desativação de utilizadores tornam-se mais eficientes, uma vez que as alterações feitas no sistema de identidade central aplicam-se a todas as aplicações conectadas. Isto é útil para a integração e a saída de colaboradores.

Poupança de custos: Um único conjunto de credenciais e um ambiente de início de sessão único reduz o número de problemas de suporte a palavras-passe e logins. Menos suporte técnico, juntamente com o processo simplificado de gestão de utilizadores, diminui a sobrecarga administrativa de TI e reduz o custo do suporte de TI.

Conformidade regulatória: SAML ajuda as organizações a cumprir os requisitos regulamentares ao fornecer capacidades robustas de registo e auditoria. Isto assegura que todos os eventos de autenticação sejam registados e possam ser revistos para fins de conformidade.

Escalabilidade: O SAML lida com implementações em larga escala, tornando-o adequado para organizações com muitos utilizadores e aplicações. Pode facilmente escalar para atender às crescentes necessidades empresariais.

Interoperabilidade: A ampla adoção e suporte do SAML em diferentes plataformas e sistemas significa que as organizações podem integrar-se com uma variedade de aplicações e serviços de terceiros, aumentando a flexibilidade e a colaboração.

Redução da carga de TI: Ao delegar a autenticação a um fornecedor de identidade central, os departamentos de TI podem reduzir o tempo e o esforço despendidos na gestão de logins individuais em aplicações, permitindo-lhes concentrar-se em iniciativas mais estratégicas.

Colaboração aprimorada com parceiros: O SAML facilita o acesso seguro para parceiros externos, permitindo-lhes colaborar e partilhar dados sem comprometer a segurança da organização. Isto pode conduzir a relações comerciais mais fortes e melhor eficiência operacional.

O SAML oferece vários benefícios para as empresas. Aumenta a segurança, melhora a experiência do utilizador, reduz as despesas operacionais e ajuda a cumprir os requisitos regulamentares.

As empresas devem incluir a estrutura SAML num plano de cibersegurança a nível empresarial para ajudá-las a manter controlos de segurança robustos e cumprir os requisitos regulamentares.