SAML

SAML 2.0 (Security Assertion Markup Language) — интернетте аутентификация және авторизация деректерін бөлісуге мүмкіндік беретін қауіпсіздік стандарты. Оның көмегімен пайдаланушылар кірген сайын логин мен құпия сөзді енгізбестен бірыңғай есептік жазба арқылы бірнеше қолданбаны пайдалану рұқсатын ала алады. Бұл SSO (Single Sign-On) — бірыңғай кіру жүйесі деп аталады.

SAML SSO пайдалану рұқсатын басқару жүйелерін (Active Directory, Azure Active Directory, Keycloak, Avanpost FAM) веб-қолданбалармен және сервистермен біріктіру үшін пайдаланылады.

SAML 2.0 негізіндегі SSO қалай жұмыс істейді

• Пайдаланушылардың логиндері мен құпия сөздері туралы барлық ақпарат сенімді куәлік жеткізушісінде сақталады (Identity Provider, IdP). IdP кез келген ол жеткізу рұқсатын басқару жүйесі бола алады, мысалы, Active Directory, Azure Active Directory, Keycloak, Avanpost FAM.

• Процестегі екінші тарап — қызметтер жеткізушісі (Service Provider, SP), мысалы, Бизнеске арналған Яндекс 360. Авторизация кезінде Service Provider пайдаланушыны куәліктер жеткізушісінің серверінде аутентификациядан өтуге жібереді.

• SP IdP жеткізушісімен тікелей әрекеттеспейді, бұл пайдаланушының браузері арқылы іске асады.

Мұндай әдіс куәліктер федерациясы деп аталады.

Пайдалану рұқсатын басқару жүйесі мен қызмет жеткізушісі арасында пайдаланушы ақпаратын (логиндер, аутентификация күйі, идентификаторлар және басқа деректер) бөлісу келесідей орындалады:

1. Пайдаланушы браузерді ашып, қызметтер жеткізушісінің (Service Provider) қолданбасына кіреді.

2. Қолданба браузер пайдалану рұқсатын басқару жүйесіне (IdP) бағыттайтын SAML сұрауымен жауап береді.

3. IdP сервері SAML сұрауын өңдейді және пайдаланушыны логин мен құпия сөзді енгізу сияқты аутентификациядан өтуге шақырады. Егер пайдаланушы аутентификацияланған болса, осы және келесі қадамдар өткізіп жіберіледі.

4. Пайдаланушы IdP серверінде аутентификация үшін қажетті деректерді енгізеді.

5. Аутентификация сәтті болған жағдайда, пайдалану рұқсатын басқару жүйесі SAML жауабын жасайды және оны пайдаланушы браузері арқылы қызметтер провайдерінің қолданбасына тексеруге жібереді.

6. Егер тексеру сәтті орындалса, веб-қолданба пайдаланушыға пайдалану рұқсатын береді.