Security Assertion Markup Language (SAML) est un standard ouvert qui permet aux fournisseurs d’identité (IdP) de transmettre des données d’identification aux fournisseurs de service. Cela signifie que vous pouvez utiliser un ensemble de données d’identification pour vous connecter à de nombreux sites Web différents. Il est plus simple de gérer une seule connexion par utilisateur que de gérer des informations de connexion séparées pour la messagerie, le logiciel de gestion de la relation client (CRM) et Active Directory, etc.
Les transactions SAML utilisent le XML (Extensible Markup Language) pour les communications normalisées entre le fournisseur d’identité et les fournisseurs de service. SAML est le lien entre l’authentification de l’identité d’un utilisateur et l’autorisation à utiliser un service.
Le Consortium OASIS a approuvé SAML 2.0 en 2005. La norme a tellement évolué depuis la version 1.1 que les versions ne sont pas compatibles. L’adoption de SAML permet aux services informatiques d’utiliser des solutions de « software as a service » (SaaS) tout en maintenant un système de gestion des identités à la fois fédéré et sûr.
SAML autorisant l’authentification unique (SSO), les utilisateurs peuvent se connecter une seule fois et réutiliser ces mêmes identifiants pour se connecter à d’autres fournisseurs de service.
À quoi sert SAML ?
SAML simplifie les processus fédérés d’authentification et d’autorisation pour les utilisateurs, les fournisseurs d’identité et les fournisseurs de service. SAML propose une solution permettant à votre fournisseur d’identité et aux fournisseurs de service d’exister indépendamment les uns des autres, ce qui a pour effet de centraliser la gestion des utilisateurs et de permettre l’accès à des solutions SaaS.
SAML met en œuvre une méthode sécurisée de transfert des autorisations et authentifications entre le fournisseur d’identité et les fournisseurs de service. Lorsqu’un utilisateur se connecte à une application compatible SAML, le fournisseur de service demande une autorisation auprès du fournisseur d’identité concerné. Le fournisseur d’identité authentifie les données d’identification de l’utilisateur puis retourne l’autorisation de l’utilisateur au fournisseur de service. L’utilisateur est alors en mesure d’utiliser l’application.
L’authentification SAML est la procédure consistant à vérifier l’identité et les données d’identification de l’utilisateur (mot de passe, authentification à deux facteurs, etc.). L’autorisation SAML indique au fournisseur de service quel accès accorder à l’utilisateur authentifié.
Qu’est-ce qu’un fournisseur SAML ?
Un fournisseur SAML est un système qui aide un utilisateur à accéder au service dont il a besoin. Il existe deux principaux types de fournisseurs SAML : le fournisseur de service et le fournisseur d’identité.
- Un fournisseur de service a besoin que le fournisseur d’identité procède à l’authentification pour pouvoir accorder l’autorisation à l’utilisateur.
- Un fournisseur d’identité procède à l’authentification pour vérifier que l’utilisateur final est bien qui il prétend être, et envoie ces données au fournisseur de service en y joignant les droits d’accès de l’utilisateur pour ce service.
Parmi les fournisseurs d’identité connus, on trouve Microsoft Active Directory ou Azure. Salesforce et les autres solutions de CRM sont généralement des fournisseurs de service dans le sens où elles dépendent d’un fournisseur d’identité pour l’authentification des utilisateurs.
Qu’est-ce qu’une assertion SAML ?
Une assertion SAML est le document XML contenant l’autorisation utilisateur que le fournisseur d’identité envoie au fournisseur de service. Il existe trois types d’assertions SAML : l’authentification, l’attribution et la décision d’autorisation.
- Les assertions d’authentification prouvent l’identification de l’utilisateur et indiquent l’heure de connexion et la méthode d’authentification utilisée (Kerberos, deux facteurs, etc.)
- L’assertion d’attribution transmet les attributs SAML au fournisseur de service. Les attributs SAML sont des éléments de données spécifiques qui apportent des informations sur l’utilisateur.
- L’assertion de décision d’autorisation indique si l’utilisateur est autorisé à utiliser le service, ou si le fournisseur d’identité a refusé sa demande en raison d’un échec de mot de passe ou de l’absence de droits pour le service.
Comment SAML fonctionne-t-il ?
SAML fonctionne en transmettant des informations sur les utilisateurs, les connexions et les attributs entre le fournisseur d’identité et les fournisseurs de service. Chaque utilisateur se connecte une fois par Authentification unique (SSO) auprès du fournisseur d’identité qui transmet les attributs SAML au fournisseur de service lorsque l’utilisateur tente d’accéder à ces services. Le fournisseur de service demande au fournisseur d’identité de lui fournir l’autorisation et l’authentification. Étant donné que ces deux systèmes parlent le même langage (SAML), l’utilisateur n’a besoin de se connecter qu’une seule fois.
Chacun des fournisseurs d’identité et des fournisseurs de service doit accepter la configuration pour SAML. Pour que l’authentification SAML fonctionne, chaque extrémité doit disposer de la bonne configuration.
Exemple SAML
- Frodon (l’utilisateur) se connecte tôt le matin en SSO.
- Il essaie alors d’ouvrir une page Web dans son logiciel de CRM.
- Le logiciel de CRM (le fournisseur de service) contrôle les données d’identification de Frodon auprès du fournisseur d’identité.
- Le fournisseur d’identité renvoie des messages d’autorisation et d’authentification au fournisseur de service, qui autorise Frodon à se connecter au logiciel de CRM.
- Frodon peut utiliser le logiciel de CRM et faire son travail
« Besoin de 8 volontaires pour une mission difficile… »
Comparaison entre SAML et OAuth
OAuth est une norme un peu plus récente développée conjointement par Google et Twitter pour rationaliser les connexions Internet. OAuth utilise une méthodologie comparable à celle de SAML pour partager les informations de connexion. SAML apporte davantage de contrôle aux entreprises afin de mieux protéger leurs connexions SSO, tandis qu’OAuth, qui utilise JSON, est plus performant pour les appareils mobiles.
Facebook et Google sont deux fournisseurs OAuth que vous utilisez peut-être pour vous connecter à d’autres sites Internet.
Didacticiels sur SAML
Voici quelques ressources pour mieux comprendre comment mettre en œuvre SAML :
SAML et le SSO jouent un rôle important dans n’importe quelle stratégie de cybersécurité d’entreprise. Les meilleures pratiques de gestion des identités préconisent que les comptes utilisateur aient uniquement accès aux ressources dont l’utilisateur a besoin pour faire son travail, et qu’ils soient contrôlés et gérés de manière centralisée. En utilisant une solution de SSO, vous pouvez désactiver des comptes d’un système et retirer en un seul geste l’accès à toutes les ressources disponibles, pour protéger ainsi vos données du vol.
Varonis protège vos services Active Directory centraux, ce qui contribue à protéger vos systèmes SSO et SAML. Varonis détecte les attaques qui visent votre système AD bien avant que les hackers ne puissent accéder aux ressources SSO. Bénéficiez d’une démo individuelle pour voir comment Varonis protège Active Directory et vos dépôts de données les plus importants des cyberattaques et des menaces internes.
What you should do now
Below are three ways we can help you begin your journey to reducing data risk at your company:
- Schedule a demo session with us, where we can show you around, answer your questions, and help you see if Varonis is right for you.
- Download our free report and learn the risks associated with SaaS data exposure.
- Share this blog post with someone you know who'd enjoy reading it. Share it with them via email, LinkedIn, Reddit, or Facebook.
Michael Buckbee
Michael a travaillé en tant qu'administrateur système et développeur de logiciels pour des start-ups de la Silicon Valley, la marine américaine, et tout ce qui se trouve entre les deux.
Qu’est-ce que SAML et comment ça marche ?
Contenu
Security Assertion Markup Language (SAML) est un standard ouvert qui permet aux fournisseurs d’identité (IdP) de transmettre des données d’identification aux fournisseurs de service. Cela signifie que vous pouvez utiliser un ensemble de données d’identification pour vous connecter à de nombreux sites Web différents. Il est plus simple de gérer une seule connexion par utilisateur que de gérer des informations de connexion séparées pour la messagerie, le logiciel de gestion de la relation client (CRM) et Active Directory, etc.
Les transactions SAML utilisent le XML (Extensible Markup Language) pour les communications normalisées entre le fournisseur d’identité et les fournisseurs de service. SAML est le lien entre l’authentification de l’identité d’un utilisateur et l’autorisation à utiliser un service.
Le Consortium OASIS a approuvé SAML 2.0 en 2005. La norme a tellement évolué depuis la version 1.1 que les versions ne sont pas compatibles. L’adoption de SAML permet aux services informatiques d’utiliser des solutions de « software as a service » (SaaS) tout en maintenant un système de gestion des identités à la fois fédéré et sûr.
SAML autorisant l’authentification unique (SSO), les utilisateurs peuvent se connecter une seule fois et réutiliser ces mêmes identifiants pour se connecter à d’autres fournisseurs de service.
À quoi sert SAML ?
SAML simplifie les processus fédérés d’authentification et d’autorisation pour les utilisateurs, les fournisseurs d’identité et les fournisseurs de service. SAML propose une solution permettant à votre fournisseur d’identité et aux fournisseurs de service d’exister indépendamment les uns des autres, ce qui a pour effet de centraliser la gestion des utilisateurs et de permettre l’accès à des solutions SaaS.
SAML met en œuvre une méthode sécurisée de transfert des autorisations et authentifications entre le fournisseur d’identité et les fournisseurs de service. Lorsqu’un utilisateur se connecte à une application compatible SAML, le fournisseur de service demande une autorisation auprès du fournisseur d’identité concerné. Le fournisseur d’identité authentifie les données d’identification de l’utilisateur puis retourne l’autorisation de l’utilisateur au fournisseur de service. L’utilisateur est alors en mesure d’utiliser l’application.
L’authentification SAML est la procédure consistant à vérifier l’identité et les données d’identification de l’utilisateur (mot de passe, authentification à deux facteurs, etc.). L’autorisation SAML indique au fournisseur de service quel accès accorder à l’utilisateur authentifié.
Qu’est-ce qu’un fournisseur SAML ?
Un fournisseur SAML est un système qui aide un utilisateur à accéder au service dont il a besoin. Il existe deux principaux types de fournisseurs SAML : le fournisseur de service et le fournisseur d’identité.
Parmi les fournisseurs d’identité connus, on trouve Microsoft Active Directory ou Azure. Salesforce et les autres solutions de CRM sont généralement des fournisseurs de service dans le sens où elles dépendent d’un fournisseur d’identité pour l’authentification des utilisateurs.
Qu’est-ce qu’une assertion SAML ?
Une assertion SAML est le document XML contenant l’autorisation utilisateur que le fournisseur d’identité envoie au fournisseur de service. Il existe trois types d’assertions SAML : l’authentification, l’attribution et la décision d’autorisation.
Comment SAML fonctionne-t-il ?
SAML fonctionne en transmettant des informations sur les utilisateurs, les connexions et les attributs entre le fournisseur d’identité et les fournisseurs de service. Chaque utilisateur se connecte une fois par Authentification unique (SSO) auprès du fournisseur d’identité qui transmet les attributs SAML au fournisseur de service lorsque l’utilisateur tente d’accéder à ces services. Le fournisseur de service demande au fournisseur d’identité de lui fournir l’autorisation et l’authentification. Étant donné que ces deux systèmes parlent le même langage (SAML), l’utilisateur n’a besoin de se connecter qu’une seule fois.
Chacun des fournisseurs d’identité et des fournisseurs de service doit accepter la configuration pour SAML. Pour que l’authentification SAML fonctionne, chaque extrémité doit disposer de la bonne configuration.
Exemple SAML
« Besoin de 8 volontaires pour une mission difficile… »
Comparaison entre SAML et OAuth
OAuth est une norme un peu plus récente développée conjointement par Google et Twitter pour rationaliser les connexions Internet. OAuth utilise une méthodologie comparable à celle de SAML pour partager les informations de connexion. SAML apporte davantage de contrôle aux entreprises afin de mieux protéger leurs connexions SSO, tandis qu’OAuth, qui utilise JSON, est plus performant pour les appareils mobiles.
Facebook et Google sont deux fournisseurs OAuth que vous utilisez peut-être pour vous connecter à d’autres sites Internet.
Didacticiels sur SAML
Voici quelques ressources pour mieux comprendre comment mettre en œuvre SAML :
SAML et le SSO jouent un rôle important dans n’importe quelle stratégie de cybersécurité d’entreprise. Les meilleures pratiques de gestion des identités préconisent que les comptes utilisateur aient uniquement accès aux ressources dont l’utilisateur a besoin pour faire son travail, et qu’ils soient contrôlés et gérés de manière centralisée. En utilisant une solution de SSO, vous pouvez désactiver des comptes d’un système et retirer en un seul geste l’accès à toutes les ressources disponibles, pour protéger ainsi vos données du vol.
Varonis protège vos services Active Directory centraux, ce qui contribue à protéger vos systèmes SSO et SAML. Varonis détecte les attaques qui visent votre système AD bien avant que les hackers ne puissent accéder aux ressources SSO. Bénéficiez d’une démo individuelle pour voir comment Varonis protège Active Directory et vos dépôts de données les plus importants des cyberattaques et des menaces internes.
What you should do now
Below are three ways we can help you begin your journey to reducing data risk at your company:
Michael Buckbee
Michael a travaillé en tant qu'administrateur système et développeur de logiciels pour des start-ups de la Silicon Valley, la marine américaine, et tout ce qui se trouve entre les deux.