Security Assertion Markup Language (SAML)

Olá, querido (a) aluno(a)!

Neste artigo entenderemos conceitos importantes sobre Security Assertion Markup Language (SAML) e como são cobrados em questões de concursos.

Entendendo o SAML: Uma Visão Abrangente

O OASIS Security Assertion Markup Language (SAML) é um padrão essencial que define uma estrutura baseada em XML para descrever e trocar informações de segurança entre parceiros de negócios online. As informações de segurança são expressas na forma de asserções SAML portáteis que aplicações que operam em diferentes domínios de segurança podem confiar. O padrão OASIS SAML define sintaxes e regras precisas para solicitar, criar, comunicar e utilizar essas asserções SAML.

A responsabilidade pelo desenvolvimento e manutenção do padrão SAML cabe ao Comitê Técnico de Serviços de Segurança da OASIS (SSTC). Este comitê produziu um panorama técnico para auxiliar aqueles que desejam saber mais sobre o SAML, explicando os casos de uso empresarial que ele aborda, os componentes técnicos de alto nível que compõem uma implantação de SAML, detalhes das trocas de mensagens para casos de uso comuns e onde encontrar informações adicionais.

Por que o SAML é Necessário?

Há diversos fatores que impulsionam a adoção do padrão SAML. Um dos principais é o Single Sign-On (SSO). Durante anos, diversos produtos alegaram fornecer suporte para SSO baseado na web, geralmente utilizando cookies de navegador para manter informações de estado de autenticação do usuário. No entanto, como os cookies do navegador nunca são transmitidos entre domínios DNS, as informações de autenticação em um cookie de um domínio nunca estão disponíveis para outro domínio. O SAML resolve esse problema de SSO multidomínio (MDSSO) ao fornecer uma gramática e protocolo independentes de fornecedor para transferir informações sobre um usuário de um servidor web para outro, independentemente dos domínios DNS dos servidores.

Outro fator importante é a identidade federada. Quando serviços online desejam estabelecer um ambiente de aplicação colaborativa para seus usuários mútuos, é essencial que os sistemas compreendam o protocolo e os dados de identidade envolvidos na troca. Usuários frequentemente têm identidades locais individuais dentro dos domínios de segurança de cada parceiro. A federação de identidade proporciona um meio para esses serviços parceiros acordarem um identificador de nome compartilhado comum para referir-se ao usuário e compartilhar informações sobre ele através das fronteiras organizacionais.

Web Services e Outros Padrões Industriais

O SAML permite que seu formato de asserção de segurança seja utilizado fora de um contexto de protocolo SAML “nativo”. Essa modularidade tem se mostrado útil para outros esforços industriais que abordam serviços de autorização, frameworks de identidade e serviços web. O Comitê Técnico OASIS WS-Security definiu um perfil para utilizar as construções ricas de asserção do SAML dentro de um token de segurança WS-Security, que pode ser usado, por exemplo, para proteger trocas de mensagens SOAP de serviços web. A vantagem oferecida pelo uso de uma asserção SAML é que ela fornece uma abordagem baseada em padrões para a troca de informações, incluindo atributos, que não são facilmente transmitidos usando outros formatos de token WS-Security.

Estrutura da Documentação

O Comitê Técnico de Serviços de Segurança da OASIS produziu inúmeros documentos relacionados ao SAML V2.0, incluindo os documentos que compõem o padrão oficial da OASIS, material de divulgação para ajudar o público a entender melhor o SAML V2.0 e várias extensões para facilitar seu uso em ambientes específicos ou integrá-lo com outras tecnologias. Entre os documentos, destacam-se:

• Conformance Requirements: Define os requisitos técnicos para conformidade com o SAML.
• Assertions and Protocol: Define a sintaxe e semântica para criar asserções XML para descrever informações de autenticação, atributo e autorização.
• Bindings: Define como asserções e mensagens de protocolo de solicitação-resposta SAML podem ser trocadas entre sistemas.
• Profiles: Define conjuntos específicos de regras para usar e restringir a sintaxe do SAML para resolver problemas empresariais específicos.
• Metadata: Define como uma entidade SAML pode descrever seus dados de configuração em um formato padrão para consumo por entidades parceiras.
• Authentication Context: Define uma sintaxe para descrever declarações de contexto de autenticação.

Casos de Uso de Alto Nível do SAML

Antes de examinar os detalhes do padrão SAML, é útil descrever alguns dos casos de uso de alto nível que ele aborda. Um dos casos de uso mais importantes é o Single Sign-On (SSO) na web. Neste caso, um usuário tem uma sessão de login em um site e acessa recursos nesse site. Em algum momento, ele é direcionado para o site de um parceiro, onde sua identidade federada é utilizada para fornecer acesso sem a necessidade de nova autenticação.

Participantes do SAML

Em uma interação SAML, os participantes são, no mínimo, uma parte que afirma (asserting party) e uma parte que confia (relying party). A parte que afirma é uma entidade que faz asserções SAML, enquanto a parte que confia usa as asserções recebidas. A disposição de uma parte confiar nas informações de outra depende da existência de uma relação de confiança entre elas.

Uso da Identidade Federada

A identidade de um usuário é federada quando há um acordo entre os provedores sobre um conjunto de identificadores e/ou atributos de identidade pelos quais os sites referirão ao usuário. O SAML V2.0 introduziu novas funcionalidades para melhorar suas capacidades de identidade federada, incluindo novos construtos e mensagens para suportar o estabelecimento e gestão dinâmica de identificadores de nome federado.

O SAML é um padrão robusto e flexível para a troca segura de informações de autenticação, autorização e atributos entre sistemas. Sua adoção é impulsionada por necessidades como SSO multidomínio, identidade federada e integração com serviços web e outros padrões industriais. O contínuo desenvolvimento e manutenção do padrão pela OASIS garantem que ele permaneça relevante e adaptável às necessidades de segurança da informação em um mundo cada vez mais interconectado.

Vamos ver como esse conteúdo já foi cobrada em concursos públicos?

1) Ano: 2022 Banca: FGV Órgão: Senado Federal Prova: FGV – 2022 – Senado Federal – Analista Legislativo – Análise de Sistemas

O padrão SAML V2 define 3 tipos de declarações que podem ser transmitidas em uma afirmação.

As declarações de autenticação

A) definem algo que o sujeito é autorizado a fazer.

B) descrevem, no mínimo, o método usado para autenticar e quando a autenticação ocorreu.

C) precisam ser codificadas utilizando o algoritmo XTEA antes do envio.

D) são criadas pelo cliente que solicitou a autenticação.

E) precisam ser transmitidas no formato JSON.

Gabarito: B

Comentário: As declarações de autenticação no padrão SAML V2 são utilizadas para transmitir informações sobre a autenticidade de um sujeito, detalhando especificamente como e quando a autenticação foi realizada. Esta informação é essencial para que a parte que recebe a asserção possa confiar que a autenticação foi feita de maneira reconhecida e em um momento específico, garantindo a integridade e a confiabilidade da comunicação entre os sistemas envolvidos.

Então é isso! 

Bons estudos e até o nosso próximo artigo.

Prof. Jósis Alves

Coordenador TI – Gran Concursos

Analista de TI no Supremo Tribunal Federal