Le (Security Assertion Markup Language) est un standard ouvert d’authentification qui rend possible l’accès en single sign-on (SSO) à des applications web. Le SSO permet aux utilisateurs de se connecter à de multiples applications et services basés sur le web avec une seule paire d’identifiants. Conçu pour simplifier les expériences de connexion des utilisateurs, le SAML est plus largement utilisé dans les entreprises, et permet aux utilisateurs d’accéder aux applications et aux services pour lesquelles ils payent.
Surtout, les expériences de connexion SAML sont sécurisées car les identifiants des utilisateurs ne sont jamais transmis. Au lieu de cela, ils sont gérés par des fournisseurs d’identité (IdP) et des fournisseurs de service (SP) :
L’IdP stocke tous les identifiants et les informations des utilisateurs nécessaires à l’autorisation et il les fournit au SP lorsqu’on le lui demande. C’est la mission de l’IdP de dire « Je connais cette personne et elle doit pouvoir accéder à ces ressources ».
Le SP héberge les applications et les services auxquels les utilisateurs veulent accéder. Ces applications ou services peuvent inclure des plateformes de messagerie électronique, comme Google ou Microsoft Office, ou des applis de communication, comme Slack ou Skype. C’est le travail de SP de dire, « Vous pouvez accéder à ces applications ou services pour une durée précisée sans devoir vous reconnecter ».
Lorsqu’un utilisateur tente d’accéder à ces applications ou services, le SP demande à l’IdP de vérifier son identité. L’IdP délivre des assertions SAML, ou des jetons, qui contiennent les informations nécessaires pour confirmer l’identité de l’utilisateur, notamment le moment où les assertions ont été délivrées et les conditions qui rendent ces assertions valides. Après leur réception, le SP donne aux utilisateurs accès aux ressources demandées.
Vous pouvez comparer une expérience de connexion SAML avec l’emprunt d’un livre dans une bibliothèque :
Vous trouvez un livre que vous voulez lire et vous l’emmenez au guichet.
Le bibliothécaire vous demande si vous avez votre carte de bibliothèque. Vous répondez, « Non, je viens d’arriver en ville ». Le bibliothécaire déclare, « Alors, je ne peux pas vous laisser emprunter le livre tant que vous n’avez pas de carte de bibliothèque. Vous devez aller au bureau et demander à l’assistant de vous faire une carte pour que vous puissions créer votre dossier et savoir qui vous êtes ».
Vous allez au bureau et donnez votre permis de conduire à l’assistant. L’assistant enregistre votre nom et votre adresse dans le système de la bibliothèque, crée la carte et vous la donne. Vous ramenez la carte au bibliothécaire, qui la scanne, et vous permet d’emprunt le livre. Vous pouvez alors emmener le livre chez vous pour une durée donnée.
Dans ce scénario, vous vous authentifiez auprès de l’assistant (IdP) en lui présentant votre pièce d’identité. Puis l’assistant (IdP) crée une carte en utilisant les informations qui y figurent. Lorsque vous présentez votre carte au bibliothécaire (SP), il l’utilise pour valider l’emprunt du livre à votre nom.
Cette brève vidéo présente des exemples supplémentaires de la manière dont le SAML est utilisé pour connecter rapidement et en toute sécurité des employés, des partenaires et des clients avec les ressources numériques d’une entreprise.
Le SAML est un modèle basé sur XML, ce qui signifie qu’il est extrêmement flexible, qu’il peut être utilisé sur n’importe quelle plateforme, et peut être transmis par une variété de protocoles dont HTTP et SMTP. Les partenaires de la fédération peuvent choisir de partager les informations de leur choix dans une assertion SAML tant que ces informations peuvent être représentées en XML.
Un processus d’authentification SAML typique fonctionne de la manière suivante :
Les expériences de connexion SAML sont sécurisées car les identifiants des utilisateurs ne sont jamais transmis. Au lieu de cela, des assertions ou des jetons SAML sont utilisés.
Les assertions SAML sont des documents XML envoyés depuis un IdP vers un SP qui identifie les utilisateurs, contient des informations pertinentes à leur sujet et précise leurs privilèges dans l’application ou le service cible. Ces messages fournissent aussi des assurances sur le fait que ces informations soient valident et précisent la durée pendant laquelle les utilisateurs peuvent accéder à ces ressources sans devoir se reconnecter.
Les assertions SAML sont principalement utilisées à des fins d’authentification, mais elles peuvent également inclure des informations sur les autorisations :
Le SAML est largement utilisé dans les organisations commerciales pour partager les informations sur l’identité entre les systèmes d’IAM existants et les applications web. La manière dont ces processus sont mis en place dépend de la manière dont les processus de connexion sont initiés, soit par l’IdP, soit par le SP.
Le SSO initié par l’IdP se trouve souvent dans les solutions pour les collaborateurs. Les étapes incluses dans ce type de processus figurent sur le diagramme ci-dessous.
Le SSO initié par le SP commence lorsqu’un utilisateur essaye d’accéder directement à une application ou à un service, au lieu de s’authentifier d’abord par l’IdP. Les étapes incluses dans ce type de processus figurent sur le diagramme ci-dessous.
Étant donné qu’il s’agit d’un cadre XML, le SAML est extrêmement polyvalent. Plusieurs connexions SSO différentes avec plusieurs partenaires d’identité différents peuvent être pris en charge avec une seule mise en œuvre, c’est pourquoi on l’utilise souvent dans les entreprises et les organisations commerciales.
Toutefois, le SAML n’est compatible qu’avec le SSO pour les applications et les services basés sur un navigateur. Il ne prend pas en charge le SSO pour les applications mobiles et les applications qui accèdent aux ressources à travers l’API.
Lancez-vous dès Aujourd'hui
Contactez-Nous
Découvrez comment Ping peut vous aider à protéger vos employés et améliorer l'expérience de vos clients dans un monde digital en constante évolution.
Démonstration Gratuite