El idioma que no sabes que estás hablando


Security Assertion Markup Language, un protocolo que la mayoría de la gente united states a diario para iniciar sesión en aplicaciones, facilita la autenticación tanto para administradores como para usuarios.

Lenguaje de marcado de aserción de seguridad (SAML): es posible que haya oído hablar de él. Es possible que lo haya utilizado al menos una vez hoy para iniciar sesión en un portal de sitio website o una aplicación empresarial. Pero, ¿qué es SAML? ¿Como funciona? ¿Y por qué necesitas saberlo?

¿Qué es SAML?
SAML es un estándar basado en XML que se utiliza para autenticarse en aplicaciones web como Box, Microsoft 365, Salesforce y Gmail for Company. El protocolo maneja la federación, la administración de identidades y el inicio de sesión único (SSO). La federación de identidades permite que las identidades de los usuarios se almacenen en aplicaciones y empresas con SAML, estas aplicaciones y empresas pueden confiar en los usuarios de los demás.

¿Qué problema soluciona?
La mayoría de las aplicaciones tienen una foundation de datos o un protocolo ligero de acceso a directorios (LDAP) para almacenar los datos y las credenciales del perfil de los usuarios, junto con los datos adicionales necesarios para verificar a un usuario. Cuando alguien inicia sesión, este almacén de datos valida las credenciales y las registra. Sin embargo, cuando una persona tiene que iniciar sesión en varias aplicaciones y cada una requiere diferentes credenciales, se convierte en un problema: para los usuarios que deben recordar todas sus credenciales y para los administradores que los mantienen y revocan. Ingrese SAML.

SAML agiliza el proceso de autenticación para iniciar sesión en sitios world wide web y aplicaciones compatibles con SAML, y es el protocolo subyacente más common para SSO basado en world wide web. Una organización o proveedor de servicios (SP) tiene una página de inicio de sesión y puede configurar cualquier aplicación net appropriate con SAML para que sus usuarios solo tengan que autenticarse una vez para iniciar sesión en todas sus aplicaciones world-wide-web (más sobre este proceso más adelante).

El protocolo ha aparecido recientemente en los titulares debido al vector de ataque «Golden SAML», que se aprovechó en el incidente de seguridad de SolarWinds. Esta técnica permite al atacante acceder a cualquier servicio o activo que utilice el estándar de autenticación SAML. Su uso en la naturaleza subraya la importancia de seguir las mejores prácticas para la gestión de acceso privilegiado.

La necesidad de un estándar como SAML surgió a fines de la década de 1990 con la proliferación de sitios net de comerciantes, dice Thomas Hardjono, CTO de Ciencias e Ingeniería de Conexión en el Instituto de Tecnología de Massachusetts y presidente de OASIS Stability Services, donde se desarrolló el protocolo SAML. Cada comerciante quería poseer la autenticación de cada cliente, lo que llevó al problema de que las personas mantuvieran nombres de usuario y contraseñas para docenas de cuentas.

«Todo el problema de las contraseñas es un problema de hace 30 años», dice Hardjono. «La idea de SAML era, ¿podríamos crear una entidad especial, llamada proveedor de identidad, que sería esencialmente la entidad de autenticación?»

¿Quiénes son estos proveedores de identidad?
Un proveedor de identidad (IdP) tiene la tarea de verificar las identidades de los usuarios y comunicarse con el SP para iniciar sesión y que puedan acceder a más recursos con menos inicios de sesión. Hay varios IdP en el mercado precise: Okta, OneLogin, Microsoft Energetic Listing Federation Providers, Duo Access Gateway y Ping Identity son algunos de los más populares. Se necesitaba SAML para expresar que el IdP autenticaba a un usuario.

Hardjono llama a la interacción entre SP, IdP y usuario «un flujo o relación triangular». Siga leyendo para obtener más detalles sobre cómo funciona esta relación.

¿Cómo funciona SAML?
SAML funciona al permitir que los SP, o las aplicaciones, deleguen su autenticación en un servicio dedicado o IdP separado.

Los SP están configurados para confiar en IdP específicos en el proceso de federación. No le importa al AP cómo el IdP verifica la identidad de un usuario solo le importa que el usuario esté verificado. El usuario solo necesita un nombre de usuario y una contraseña, que administra el proveedor de identidad.

John Maguire, ingeniero de software package senior de Duo Safety, pone esto en el contexto de iniciar sesión en una llamada de conferencia. Un empleado hace clic en el enlace para iniciar sesión en una reunión de Webex. Cuando lleguen a la página de Webex, buscarán qué IdP se united states of america para autenticar, algo que la empresa ha preconfigurado, agrega.

Luego, Webex redirige al usuario a su IdP, junto con un mensaje que le solicita que lo autentique. El IdP tiene varios métodos para hacer esto: podría verificar las credenciales de un usuario y el estado de la cuenta, el dispositivo utilizado para acceder a la aplicación o la crimson en la que se encuentra el usuario. Podría invocar la autenticación multifactor. El empleador del usuario configura los pasos a seguir para verificar su identidad.

«Todos ellos entran en la determinación de qué nivel de autenticación debe usar: solo el primer issue, el primer component y el segundo component, (y) si debe permitirle autenticarse», agrega Maguire. Si un IdP nota que la ubicación está desactivada, por ejemplo, puede denegar la autenticación de un usuario.

El IdP verifica estos datos y crea un mensaje, o afirmación SAML, que valida la identidad y los atributos de un usuario, y utiliza la firma criptográfica para demostrar su autenticidad. Luego, el IdP envía estos datos a través de redirecciones del navegador a Webex, que valida la firma y verifica los datos de identificación del usuario antes de autenticarlos en la aplicación.

«Toda esta comunicación se transmite de un lado a otro utilizando el navegador del usuario», añade Jamie Pringle, también ingeniero de software program senior de Duo Safety. «Las dos partes nunca se hablan directamente entre sí».

A menudo, habrá varios SP configurados para un IdP. En estos casos, un usuario autenticado puede ver un panel con otros proveedores de servicios a los que pueden acceder durante las siguientes seis horas, o el tiempo que la sesión esté configurada para durar.

Hay dos tipos de flujos de trabajo para la autenticación basada en SAML. En un proceso iniciado por SP, un usuario intenta iniciar sesión en el portal net de un proveedor de servicios. En lugar de solicitar credenciales, el sitio redirigirá a su IdP con una solicitud de autenticación SAML. En un proceso iniciado por IdP, el usuario inicia sesión en IdP y se autentica y luego se envía al SP con una afirmación SAML. Algunos SP no admiten un proceso iniciado por SP. En este caso, un flujo de trabajo iniciado por IdP es la única opción.

¿Cómo se benefician las empresas y los administradores de SAML?
Desde que se desarrolló por primera vez, SAML se ha convertido en el estándar para el inicio de sesión único basado en internet. Rápidamente se popularizó entre las empresas, que internamente comenzaron a utilizar el protocolo para los empleados.

«A medida que la administración de acceso comenzó a ganar más relevancia, debido a que cada vez más empresas accedían a aplicaciones fuera de su red … SAML se volvió muy importante para la corporación y para las personas que necesitan proporcionar SSO», dice Michael Kelley, director senior de investigación de Protected Enterprise de Gartner Grupo de habilitación.

Los beneficios son claros tanto para los usuarios como para los administradores. Las personas no tienen que ingresar credenciales en la aplicación en sí y someterse a un proceso de inicio de sesión más seguro en normal, explica Aaron Parecki, estratega de seguridad senior de Okta. Una vez que están autenticados, pueden transferirse de una aplicación a otra sin el obstáculo de iniciar sesión varias veces.

«Esta es una excelente manera de tener una experiencia más segura como usuario porque solo ingresa sus credenciales en el servidor que tiene sus credenciales, el lugar donde reside la cuenta», dice. «Si desea iniciar sesión en una aplicación, no tiene que confiar en que la aplicación manejará sus credenciales correctamente».

(Continúa en la página 2 de 2)

Kelly Sheridan es la editora de particular de Dark Studying, donde se enfoca en noticias y análisis de ciberseguridad. Ella es una periodista de tecnología empresarial que anteriormente reportó para InformationWeek, donde cubrió Microsoft, y Seguros y Tecnología, donde cubrió finanzas … Ver biografía completa

Anterior

1 de 2

próximo

Lectura recomendada:

Más información





Enlace a la noticia unique