SAML vs. OUTAS

SAML ir OUTAS yra techniniai naudotojų įgaliojimų standartai. Šiuos standartus naudoja žiniatinklio programų kūrėjai, saugos specialistai ir sistemos administratoriai, kurie nori patobulinti savo tapatybės valdymo paslaugą ir patobulinti metodus, kuriuos klientai gali pasiekti išteklius naudodamiesi įgaliojimų rinkiniu. Tais atvejais, kai reikalinga prieiga prie programos iš portalo, reikia centralizuoto tapatybės šaltinio arba „Enterprise Single Sign On“. Tokiais atvejais pirmenybė teikiama SAML. Tais atvejais, kai reikalinga laikina prieiga prie tokių išteklių kaip paskyros ar failai, OAUTH laikomas geresniu pasirinkimu. Mobilaus naudojimo atvejais dažniausiai naudojama OAUTH. Tiek SAML (saugumo tvirtinimas, tiek žymėjimo kalba), tiek OAUTH (atviras autorizavimas) yra naudojami vienkartiniam žiniatinklio prisijungimui, suteikiant galimybę prisijungti prie kelių žiniatinklio programų.

SAML

SAML yra naudojamas leisti žiniatinklio programų SSO teikėjams perduoti ir perkelti kredencialus tarp tapatybės teikėjo (IDP), turinčio kredencialus, ir paslaugų teikėjo (SP), kuris yra šaltinis, kuriam reikalingi šie kredencialai. SAML yra standartinė autorizacijos ir autentifikavimo protokolo kalba, dažniausiai naudojama federacijai ir tapatybės valdymui, kartu su „Single Sign On“ valdymu. Į SAML, XML metaduomenų dokumentai naudojami kaip žetonas kliento tapatybei pateikti. Autentifikavimo ir autorizacijos procesas SAML yra toks:

1. Vartotojas prašo prisijungti prie paslaugos per naršyklę.
2. Paslauga praneša naršyklei, kad ji tapatina konkretų paslaugoje registruotą tapatybės teikėją (IDP).
3. Naršyklė perduoda autentifikavimo užklausą registruotiems tapatybės teikėjams prisijungti ir autentifikuoti.
4. Sėkmingai patikrinus prisijungimo duomenis / autentifikavimą, IDP sugeneruoja XML pagrįstą tvirtinimo dokumentą, patvirtinantį vartotojo tapatybę, ir perduoda tai naršyklei.
5. Naršyklė perduoda tvirtinimą Paslaugų teikėjui.
6. Paslaugų teikėjas (SP) priima tvirtinimą dėl įvedimo ir leidžia vartotojui prisijungti prie paslaugos prisijungdamas.

Pažvelkime į realaus gyvenimo pavyzdį. Tarkime, kad vartotojas spustelės Prisijungti parinktį vaizdo dalijimosi tarnyboje abc svetainėje.com. Norėdami autentifikuoti vartotoją, abc pateikia užšifruotą SAML autentifikavimo užklausą.com. Užklausa bus išsiųsta iš svetainės tiesiai į autorizacijos serverį (IdP). Čia paslaugų teikėjas nukreipia vartotoją į ID, kad gautų prieigos teisę. IDP patikrins gautą SAML autentifikavimo užklausą ir, jei užklausa pasirodys tinkama, ji pateiks vartotojui prisijungimo formą, kad galėtų įvesti kredencialus. Vartotojui įvedus kredencialus, IDP sugeneruos SAML tvirtinimą arba SAML prieigos raktą, kuriame yra vartotojo duomenys ir tapatybė, ir išsiųs jį paslaugų teikėjui. Paslaugų teikėjas (SP) patikrina SAML tvirtinimą ir išskiria duomenis bei vartotojo tapatybę, priskiria vartotojui teisingus leidimus ir prisijungia vartotoją prie paslaugos.

Žiniatinklio programų kūrėjai gali naudoti SAML papildinius, kad užtikrintų, jog ir programa, ir šaltiniai laikosi reikiamos „Single Sign On“ praktikos. Tai suteiks geresnę vartotojo prisijungimo patirtį ir efektyvesnę saugumo praktiką, kuri pasitelkia bendrą tapatybės strategiją. Kai yra SAML, prieigą prie šaltinio gali pasiekti tik tie vartotojai, kurie turi teisingą tapatybę ir tvirtinimo žetoną.

OUTAS

OUTAS yra naudojamas, kai reikia perduoti vienos tarnybos įgaliojimą kitai tarnybai, nesidalijant tikraisiais įgaliojimais, pvz., slaptažodžiu ir vartotojo vardu. Naudojant OUTAS, vartotojai gali prisijungti prie vienos paslaugos, pasiekti kitų paslaugų išteklius ir atlikti su paslauga susijusius veiksmus. „OAUTH“ yra geriausias būdas naudoti leidimą iš „Single Sign On“ platformos į kitą paslaugą ar platformą arba tarp bet kurių dviejų žiniatinklio programų. The OUTAS darbo eiga yra tokia:

1. Vartotojas paspaudžia išteklių naudojimo paslaugos prisijungimo mygtuką.
2. Išteklių serveris parodo vartotojui įgaliojimo suteikimą ir nukreipia vartotoją į autorizacijos serverį.
3. Vartotojas prašo prieigos prieigos rakto iš autorizacijos serverio naudodamas autorizacijos suteikimo kodą.
4. Jei kodas galioja prisijungus prie autorizacijos serverio, vartotojas gaus prieigos prieigos raktą, kurį galima naudoti norint gauti arba pasiekti saugomą šaltinį iš išteklių serverio.
5. Gavus užklausą dėl saugomo šaltinio su prieigos suteikimo žetonu, prieigos prieigos rakto galiojimą tikrina išteklių serveris, naudodamasis įgaliojimo serveriu.
6. Jei prieigos raktas galioja ir jis patikrina visus patikrinimus, apsaugotą šaltinį suteikia išteklių serveris.

Vienas iš įprastų OAUTH naudojimo būdų yra leisti interneto programai pasiekti socialinės žiniasklaidos platformą ar kitą internetinę paskyrą. „Google“ vartotojų abonementai gali būti naudojami su daugeliu vartotojų programų dėl kelių skirtingų priežasčių, pavyzdžiui, tinklaraščių rašymas, internetiniai žaidimai, prisijungimas prie socialinės žiniasklaidos paskyrų ir straipsnių skaitymas naujienų svetainėse. Tokiais atvejais OAUTH veikia fone, kad šiuos išorinius subjektus būtų galima susieti ir pasiekti reikiamus duomenis.

OAUTH yra būtinybė, nes turi būti būdas išsiųsti autorizacijos informaciją tarp skirtingų programų, nesidalijant ar neatskleidžiant vartotojo kredencialų. OAUTH taip pat naudojamas versle. Pavyzdžiui, tarkime, kad vartotojas turi prisijungti prie įmonės „Single Sign On“ sistemos naudodamas savo vartotojo vardą ir slaptažodį. SSO suteikia prieigą prie visų reikalingų išteklių, šioms programoms ar ištekliams perduodamas OAUTH įgaliojimo žetonus.

Išvada

OAUTH ir SAML yra labai svarbūs žiniatinklio programų kūrėjų ar sistemos administratorių požiūriu, o abu jie yra labai skirtingi įrankiai, turintys skirtingas funkcijas. OAUTH yra prieigos autorizavimo protokolas, o SAML yra antrinė vieta, analizuojanti įvestį ir suteikianti vartotojui prieigą.