Javascript is actually
a good thing!
Make sure it's turned on
so that pingidentity.com can work properly.
SAML | Ping Identity
Principes fondamentaux de l’identité
Orchestration des Identités
Gestion des Identités et des Accès
Fournisseurs d’identité et fournisseurs de service
Gestion Centralisée et Décentralisée des Identités
Sécurité Zero Trust
Authentification
Authentification à facteur simple, à double facteur et multifacteur
L’authentification passwordless
FIDO (Fast Identity Online)
Authentification basée sur le niveau de risque
Authentification basée sur un certificat
Authentification basée sur des jetons
Single Sign-On (SSO)
Gestion des identités fédérées
Authentification CHAP
Qu’est-ce que l’authentification continue ?
Autorisation
Méthodes d’autorisation
Provisioning des utilisateurs et des comptes
Comment le single sign-on fonctionne avec un annuaire
l’Autorisation Dynamique
Standards d’authentification et d’autorisation
SAML
OAuth
OpenID Connect (OIDC)
Protocoles d’authentification et d’autorisation
LDAP
SCIM
WebAuthn
Kerberos
WS-Trust
Qu'est-ce que la gestion des identités et des accès interentreprises (IAM B2B) ?
IA agentique
Gestion centralisée des identités
Expand All | Collapse All

SAML


Le SAML (Security Assertion Markup Language) est une norme d’authentification ouverte qui permet la connexion unique (SSO) aux applications web. L'authentification unique (SSO) permet aux utilisateurs de se connecter à plusieurs applications et services web en utilisant un seul ensemble d'identifiants. Conçu pour simplifier les expériences de connexion des utilisateurs, le SAML est le plus largement utilisé dans les organisations d'entreprise et permet aux utilisateurs d'accéder aux applications et services qu'ils paient. 


Plus important encore, les expériences de connexion SAML sont sécurisées car les identifiants utilisateur ne sont jamais transmis. Au lieu de cela, ils sont gérés par des fournisseurs d’identité (IdP) et des fournisseurs de services (SP):
 

  • L’IdP stocke tous les identifiants de l’utilisateur et les données nécessaires à l’autorisation, et les fournit au prestataire de services (SP) sur demande. C’est le rôle des IdP de dire : « Je connais cette personne, et elle peut accéder à ces ressources. » 
     

  • Le SP héberge les applications et les services auxquels les utilisateurs souhaitent accéder. Ces applications ou services peuvent inclure des plateformes de messagerie électronique, telles que Google ou Microsoft Office, ou des applications de communication, telles que Slack ou Skype. C'est le rôle des fournisseurs de services de déclarer : « Vous pouvez accéder à ces applications ou services pendant une période déterminée sans avoir à vous reconnecter. »

Lorsque les utilisateurs tentent d'accéder à ces applications ou services, le fournisseur de services demande à l'IdP de vérifier leur identité. L'IdP émet des assertions SAML, ou jetons, qui contiennent les informations nécessaires pour confirmer l'identité des utilisateurs, y compris l'heure à laquelle les assertions ont été émises et les conditions qui rendent les assertions valides. Une fois reçus, le SP permet aux utilisateurs d'accéder aux ressources qu'ils ont demandées.


Vous pouvez comparer l'expérience de connexion SAML à celle de l'emprunt d'un livre de bibliothèque :
 

  • Vous trouvez un livre que vous souhaitez lire et l'apportez au comptoir.
     

  • Le bibliothécaire vous demande si vous avez votre carte de bibliothèque. Vous dites : « Non, je viens de déménager. » Le bibliothécaire répond : « Eh bien, je ne peux pas vous laisser emprunter le livre tant que vous n'avez pas une carte de bibliothèque. » Rendez-vous au guichet et demandez à l'assistante bibliothécaire de vous délivrer une carte afin que nous ayons un enregistrement de votre identité. »
     

  • Vous vous présentez au guichet et donnez votre permis de conduire à l'assistante bibliothécaire. Elle saisit votre nom et votre adresse dans le système de la bibliothèque, crée la carte et vous la remet. Vous rapportez la carte au bibliothécaire, qui la scanne et enregistre le livre pour vous. Vous pouvez désormais emporter le livre chez vous pour une période spécifiée.

Dans ce scénario, vous vous authentifiez auprès de l’assistante bibliothécaire (IdP) en lui montrant votre pièce d'identité. Ensuite, l'assistante (IdP) crée la carte en utilisant vos informations. Lorsque vous présentez la carte de bibliothèque au bibliothécaire (SP), celui-ci utilise la carte pour enregistrer le prêt du livre pour vous.


Cette courte vidéo fournit des exemples supplémentaires de la manière dont un SAML est utilisé pour connecter rapidement et en toute sécurité les employés, les partenaires et les clients aux ressources numériques d'une organisation.
 

 

Comment fonctionne le SAML ?


Le SAML est un cadre basé sur XML, ce qui signifie qu'il est extrêmement flexible, peut être utilisé sur n'importe quelle plateforme et peut être transmis par divers protocoles, y compris HTTP et SMTP. Les partenaires de la fédération peuvent choisir de partager les informations qu'ils souhaitent dans une assertion SAML, pour autant que ces informations puissent être représentées en XML. 


Un processus d'authentification SAML typique fonctionne de la manière suivante :

 

 

  1. L'utilisateur se connecte et demande l'accès à l'application ou au service web cible du fournisseur de services.

  2. Le SP demande des informations d'authentification de l'utilisateur à l'IdP.

  3. L'IdP génère une réponse au format SAML, signée numériquement, qui authentifie l'utilisateur. Cette réponse peut prendre la forme d'une assertion SAML ou d'un jeton SAML. La réponse peut également inclure des informations sur les privilèges des utilisateurs.

  4. L'IdP signe l'assertion et l'envoie au SP.

  5. Le SP récupère l'assertion, s'assure qu'elle est valide et authentifie l'utilisateur.

  6. L'utilisateur accède à l'application ou au service du fournisseur de services.

 

Les expériences de connexion SAML sont sécurisées car les identifiants des utilisateurs ne sont jamais transmis. Les assertions SAML, ou jetons, sont utilisées à la place.
 

Que sont les assertions SAML ?


Les assertions SAML sont des documents XML envoyés par un fournisseur d'identité (IdP) à un fournisseur de services (SP) qui identifient les utilisateurs, contiennent des informations pertinentes à leur sujet et spécifient leurs privilèges dans l'application ou le service cible. Ces messages fournissent également des assurances que les informations sont valides et précisent combien de temps les utilisateurs peuvent accéder à ces ressources sans avoir à se reconnecter.


Les assertions SAML sont principalement utilisées à des fins d'authentification, mais elles peuvent également inclure des informations d'autorisation :
 

  • Assertions d'authentification : identifient les utilisateurs et fournissent les informations de connexion, y compris l'heure à laquelle la connexion s'est produite et la méthode utilisée pour s'authentifier.

  • Assertions d’attributs : contiennent des informations sur les attributs des utilisateurs qui existent à la fois dans les répertoires IdP et SP et qui sont mises en correspondance lors du processus d’authentification.

  • Assertions d'autorisation : indiquent si l'utilisateur est autorisé à accéder à l'application ou au service. 

Le SAML est largement utilisé dans les organisations d'entreprise pour partager des informations d'identité entre les systèmes IAM existants et les applications web. La manière dont ces processus sont mis en œuvre dépend de la manière dont les processus de connexion sont initiés, que ce soit par le biais de l'IdP ou du SP.

 

SSO initié par l'IdP


La SSO initiée par l'IdP est souvent utilisée dans les solutions de gestion des identités et des accès pour le personnel. Les étapes impliquées dans ce type de processus sont présentées dans le diagramme suivant.
 

 

  1. Un utilisateur se connecte à son système avec un nom d'utilisateur et un mot de passe et se voit présenter un catalogue d'applications qui affiche des icônes représentant les applications et services web auxquels il peut accéder. 

  2. L'utilisateur clique sur une icône pour accéder à l'une de ces applications ou à l'un de ces services. 

  3. L'IdP crée et signe une assertion SAML qui inclut des informations sur l'identité de l'utilisateur, ainsi que tout autre attribut que l'IdP et le SP ont convenu de partager pour authentifier les utilisateurs.

  4. L'IdP envoie l'assertion au prestataire de services par l'intermédiaire d'un navigateur ou envoie une référence à l'assertion que le prestataire de services peut utiliser pour récupérer l'assertion en toute sécurité.

  5. Le SP valide la signature pour s'assurer que l'assertion SAML provient bien de son IdP de confiance et qu'aucune des valeurs de l'assertion n'a été modifiée. Il extrait également les informations d'identité, d'attributs et d'autorisation nécessaires pour déterminer si l'accès doit être accordé et quels privilèges l'utilisateur aura.

  6. Les utilisateurs accèdent à l'application ou au service.
     

 

SSO initiée par le SP


La SSO initiée par le fournisseur de services commence lorsqu'un utilisateur tente d'accéder directement à une application ou à un service, au lieu de s'authentifier d'abord via l'IdP. Les étapes impliquées dans ce type de processus sont présentées dans le diagramme suivant.
 

 

  1. L'utilisateur tente d'accéder à l'application ou au service.

  2. Le prestataire de services redirige l'utilisateur vers l'IdP pour qu'il soit authentifié et lui fournit une URL de ressource pour accéder à l'application ou au service après authentification.

  3. Le SP détermine quel IdP le SP doit utiliser pour authentifier l'utilisateur. Les méthodes courantes incluent :

    Le SP peut demander à l'utilisateur son adresse e-mail et utiliser le domaine de l'e-mail, par exemple bill@pingidentity.com, pour identifier l'IdP approprié.

    Le SP peut afficher une liste des IdP qu’il prend en charge et demander à l’utilisateur de sélectionner celui qui convient.

    L'URL de la ressource pourrait être spécifique à un IdP.

    Le SP pourrait avoir placé un cookie contenant des informations sur l'IdP dans le navigateur de l'utilisateur la première fois que celui-ci s'est connecté avec succès depuis l'IdP et utilisera ces informations pour un accès ultérieur.

  4. Le SP redirige l'utilisateur vers l'IdP approprié. 

  5. L'IdP authentifie l'identité de l'utilisateur.

  6. L'IdP crée et signe une assertion SAML au format XML qui inclut des informations sur l'identité de l'utilisateur, ainsi que tout autre attribut que l'IdP et le SP ont convenu de partager pour authentifier les utilisateurs.

  7. L'IdP envoie l'assertion au prestataire de services par l'intermédiaire d'un navigateur ou envoie une référence à l'assertion que le prestataire de services peut utiliser pour récupérer l'assertion en toute sécurité.

  8. Le SP valide la signature pour s'assurer que l'assertion SAML provient bien de son IdP de confiance et qu'aucune des valeurs de l'assertion n'a été modifiée. Il extrait également les informations d'identité, d'attributs et d'autorisation nécessaires pour déterminer si l'accès doit être accordé et quels privilèges l'utilisateur aura.

  9. Les utilisateurs accèdent à l'application ou au service.
     

SAML est uniquement utilisé pour les applications web


Étant donné qu'il s'agit d'un cadre XML, SAML est extrêmement polyvalent. Une seule mise en œuvre permet de prendre en charge de nombreuses connexions SSO différentes avec divers partenaires de fédération d'identité, ce qui explique pourquoi elle est souvent utilisée dans les organisations commerciales et d'entreprise.


Cependant, le SAML ne prend en charge que l’authentification unique SSO pour les applications et services basés sur navigateur. Il ne prend pas en charge la SSO pour les applications mobiles ou les applications qui accèdent aux ressources via l'API.
 


Ressources associées

Definition

Security Assertion Markup Language (SAML)

  

White Paper
SAML 101

  

Video

SAML 101

  

Lancez-vous dès Aujourd'hui

Contactez-Nous

sales@pingidentity.com

Découvrez comment Ping peut vous aider à offrir des expériences sécurisées aux employés, partenaires et clients dans un monde numérique en constante évolution.