Le SAML (Security Assertion Markup Language) est une norme d’authentification ouverte qui permet la connexion unique (SSO) aux applications web. L'authentification unique (SSO) permet aux utilisateurs de se connecter à plusieurs applications et services web en utilisant un seul ensemble d'identifiants. Conçu pour simplifier les expériences de connexion des utilisateurs, le SAML est le plus largement utilisé dans les organisations d'entreprise et permet aux utilisateurs d'accéder aux applications et services qu'ils paient.
Plus important encore, les expériences de connexion SAML sont sécurisées car les identifiants utilisateur ne sont jamais transmis. Au lieu de cela, ils sont gérés par des fournisseurs d’identité (IdP) et des fournisseurs de services (SP):
L’IdP stocke tous les identifiants de l’utilisateur et les données nécessaires à l’autorisation, et les fournit au prestataire de services (SP) sur demande. C’est le rôle des IdP de dire : « Je connais cette personne, et elle peut accéder à ces ressources. »
Le SP héberge les applications et les services auxquels les utilisateurs souhaitent accéder. Ces applications ou services peuvent inclure des plateformes de messagerie électronique, telles que Google ou Microsoft Office, ou des applications de communication, telles que Slack ou Skype. C'est le rôle des fournisseurs de services de déclarer : « Vous pouvez accéder à ces applications ou services pendant une période déterminée sans avoir à vous reconnecter. »
Lorsque les utilisateurs tentent d'accéder à ces applications ou services, le fournisseur de services demande à l'IdP de vérifier leur identité. L'IdP émet des assertions SAML, ou jetons, qui contiennent les informations nécessaires pour confirmer l'identité des utilisateurs, y compris l'heure à laquelle les assertions ont été émises et les conditions qui rendent les assertions valides. Une fois reçus, le SP permet aux utilisateurs d'accéder aux ressources qu'ils ont demandées.
Vous pouvez comparer l'expérience de connexion SAML à celle de l'emprunt d'un livre de bibliothèque :
Vous trouvez un livre que vous souhaitez lire et l'apportez au comptoir.
Le bibliothécaire vous demande si vous avez votre carte de bibliothèque. Vous dites : « Non, je viens de déménager. » Le bibliothécaire répond : « Eh bien, je ne peux pas vous laisser emprunter le livre tant que vous n'avez pas une carte de bibliothèque. » Rendez-vous au guichet et demandez à l'assistante bibliothécaire de vous délivrer une carte afin que nous ayons un enregistrement de votre identité. »
Vous vous présentez au guichet et donnez votre permis de conduire à l'assistante bibliothécaire. Elle saisit votre nom et votre adresse dans le système de la bibliothèque, crée la carte et vous la remet. Vous rapportez la carte au bibliothécaire, qui la scanne et enregistre le livre pour vous. Vous pouvez désormais emporter le livre chez vous pour une période spécifiée.
Dans ce scénario, vous vous authentifiez auprès de l’assistante bibliothécaire (IdP) en lui montrant votre pièce d'identité. Ensuite, l'assistante (IdP) crée la carte en utilisant vos informations. Lorsque vous présentez la carte de bibliothèque au bibliothécaire (SP), celui-ci utilise la carte pour enregistrer le prêt du livre pour vous.
Cette courte vidéo fournit des exemples supplémentaires de la manière dont un SAML est utilisé pour connecter rapidement et en toute sécurité les employés, les partenaires et les clients aux ressources numériques d'une organisation.
Le SAML est un cadre basé sur XML, ce qui signifie qu'il est extrêmement flexible, peut être utilisé sur n'importe quelle plateforme et peut être transmis par divers protocoles, y compris HTTP et SMTP. Les partenaires de la fédération peuvent choisir de partager les informations qu'ils souhaitent dans une assertion SAML, pour autant que ces informations puissent être représentées en XML.
Un processus d'authentification SAML typique fonctionne de la manière suivante :
Les expériences de connexion SAML sont sécurisées car les identifiants des utilisateurs ne sont jamais transmis. Les assertions SAML, ou jetons, sont utilisées à la place.
Les assertions SAML sont des documents XML envoyés par un fournisseur d'identité (IdP) à un fournisseur de services (SP) qui identifient les utilisateurs, contiennent des informations pertinentes à leur sujet et spécifient leurs privilèges dans l'application ou le service cible. Ces messages fournissent également des assurances que les informations sont valides et précisent combien de temps les utilisateurs peuvent accéder à ces ressources sans avoir à se reconnecter.
Les assertions SAML sont principalement utilisées à des fins d'authentification, mais elles peuvent également inclure des informations d'autorisation :
Le SAML est largement utilisé dans les organisations d'entreprise pour partager des informations d'identité entre les systèmes IAM existants et les applications web. La manière dont ces processus sont mis en œuvre dépend de la manière dont les processus de connexion sont initiés, que ce soit par le biais de l'IdP ou du SP.
La SSO initiée par l'IdP est souvent utilisée dans les solutions de gestion des identités et des accès pour le personnel. Les étapes impliquées dans ce type de processus sont présentées dans le diagramme suivant.
La SSO initiée par le fournisseur de services commence lorsqu'un utilisateur tente d'accéder directement à une application ou à un service, au lieu de s'authentifier d'abord via l'IdP. Les étapes impliquées dans ce type de processus sont présentées dans le diagramme suivant.
Étant donné qu'il s'agit d'un cadre XML, SAML est extrêmement polyvalent. Une seule mise en œuvre permet de prendre en charge de nombreuses connexions SSO différentes avec divers partenaires de fédération d'identité, ce qui explique pourquoi elle est souvent utilisée dans les organisations commerciales et d'entreprise.
Cependant, le SAML ne prend en charge que l’authentification unique SSO pour les applications et services basés sur navigateur. Il ne prend pas en charge la SSO pour les applications mobiles ou les applications qui accèdent aux ressources via l'API.
Ressources associées
Lancez-vous dès Aujourd'hui
Contactez-Nous
Découvrez comment Ping peut vous aider à offrir des expériences sécurisées aux employés, partenaires et clients dans un monde numérique en constante évolution.
Démonstration Gratuite