Ngôn ngữ đánh dấu xác nhận bảo mật – Security Assertion Markup Language (SAML) là một tiêu chuẩn để đăng nhập người dùng vào các ứng dụng dựa trên phiên của họ trong ngữ cảnh khác. Tiêu chuẩn đăng nhập đăng nhập một lần Single Sign-On (SSO) này có những lợi thế đáng kể so với đăng nhập bằng tên người dùng / mật khẩu:
- Không cần nhập thông tin đăng nhập
- Không cần nhớ và gia hạn mật khẩu
- Không có mật khẩu yếu
Hầu hết các tổ chức đã biết danh tính của người dùng vì họ đã đăng nhập vào miền Active Directory hoặc mạng nội bộ của họ. Sẽ rất hợp lý khi sử dụng thông tin này để đăng nhập người dùng vào các ứng dụng khác, chẳng hạn như các ứng dụng dựa trên web và một trong những cách thuận tiện hơn để thực hiện việc này là sử dụng SAML.
SAML SSO hoạt động bằng cách chuyển danh tính của người dùng từ nơi này (nhà cung cấp danh tính – Identity Provider) sang nơi khác (nhà cung cấp dịch vụ – service provider). Điều này được thực hiện thông qua việc trao đổi các tài liệu XML được ký điện tử.
Hãy xem xét tình huống sau: Người dùng đã đăng nhập vào hệ thống hoạt động như một nhà cung cấp danh tính. Người dùng muốn đăng nhập vào ứng dụng từ xa, chẳng hạn như ứng dụng hỗ trợ hoặc ứng dụng kế toán (nhà cung cấp dịch vụ).
Điều sau xảy ra:
- Người dùng truy cập ứng dụng từ xa bằng liên kết trên mạng nội bộ, dấu trang hoặc tương tự và ứng dụng sẽ tải.
- Ứng dụng xác định nguồn gốc của người dùng (theo tên miền phụ của ứng dụng, địa chỉ IP của người dùng hoặc tương tự) và chuyển hướng người dùng trở lại nhà cung cấp danh tính, yêu cầu xác thực. Đây là yêu cầu xác thực.
- Người dùng có một phiên trình duyệt đang hoạt động hiện có với nhà cung cấp danh tính hoặc thiết lập một phiên bằng cách đăng nhập vào nhà cung cấp danh tính.
- Nhà cung cấp danh tính xây dựng phản hồi xác thực dưới dạng tài liệu XML chứa tên người dùng hoặc địa chỉ email của người dùng, ký tên người dùng đó bằng chứng chỉ X.509 và đăng thông tin này lên nhà cung cấp dịch vụ.
- Nhà cung cấp dịch vụ, đã biết nhà cung cấp danh tính và có vân tay chứng chỉ, sẽ truy xuất phản hồi xác thực và xác thực nó bằng vân tay chứng chỉ.
- Danh tính của người dùng được thiết lập và người dùng được cung cấp quyền truy cập ứng dụng.
Sơ đồ bên dưới minh họa quy trình đăng nhập một lần cho SSO do nhà cung cấp dịch vụ khởi tạo, tức là khi một ứng dụng kích hoạt SSO.
Vina Aspire là Công ty tư vấn, cung cấp các giải pháp, dịch vụ CNTT, An ninh mạng, bảo mật & an toàn thông tin tại Việt Nam. Đội ngũ của Vina Aspire gồm những chuyên gia, cộng tác viên giỏi, có trình độ, kinh nghiệm và uy tín cùng các nhà đầu tư, đối tác lớn trong và ngoài nước chung tay xây dựng.
Các Doanh nghiệp, tổ chức có nhu cầu liên hệ Công ty Vina Aspire theo thông tin sau:
Email: info@vina-aspire.com | Website: www.vina-aspire.com
Tel: +84 944 004 666 | Fax: +84 28 3535 0668
Vina Aspire – Vững bảo mật, trọn niềm tin