پروتکل SAML (Security Assertion Markup Language) یکی از استانداردهای اصلی در حوزه احراز هویت و مدیریت دسترسی است که امکان Single Sign-On را برای کاربران فراهم می‌کند. با استفاده از SAML، سازمان‌ها می‌توانند هویت کاربران را به‌صورت امن بین سرویس‌ها و اپلیکیشن‌های مختلف منتقل کنند، بدون اینکه نیاز باشد رمز عبور در هر سرویس جداگانه ذخیره شود. این استاندارد نقش مهمی در افزایش امنیت، کاهش ریسک افشای اطلاعات و ساده‌سازی تجربه کاربری ایفا می‌کند.

SAML چیست؟

SAML (Security Assertion Markup Language) یک استاندارد باز برای تبادل امن اطلاعات هویتی بین سیستم‌ها و سرویس‌ها است. این پروتکل به‌ویژه در سناریوهای Single Sign-On (SSO) کاربرد دارد و به کاربران اجازه می‌دهد تنها با یک بار ورود، به چندین سرویس و اپلیکیشن دسترسی پیدا کنند. SAML با استفاده از Assertions، اطلاعات هویتی کاربر و سطح دسترسی او را به سرویس‌های مختلف منتقل می‌کند، بدون اینکه رمز عبور مستقیماً در اپلیکیشن‌ها ذخیره شود.

SAML برای سازمان‌ها و کسب‌وکارها مزایای فراوانی دارد؛ از جمله افزایش امنیت، کاهش پیچیدگی مدیریت رمز عبور و تجربه کاربری بهتر برای کاربران. به علاوه این پروتکل به توسعه‌دهندگان امکان می‌دهد تا بدون نگرانی از افشای اطلاعات حساس، سرویس‌های خود را به سیستم‌های هویت مرکزی متصل کنند و کنترل دسترسی را به‌صورت دقیق اعمال نمایند.

تاریخچه SAML

استاندارد SAML در اوایل دهه 2000 توسط OASIS (Organization for the Advancement of Structured Information Standards) توسعه یافت. هدف اصلی آن ایجاد یک چارچوب استاندارد برای تبادل امن اطلاعات هویتی بین سرویس‌ها و سازمان‌های مختلف بود تا مشکل مدیریت هویت و ورود چندگانه کاربران حل شود.

اولین نسخه رسمی، SAML 1.0، در سال 2002 منتشر شد و با نسخه‌های بعدی، یعنی SAML 1.1 و SAML 2.0، بهبودهای امنیتی، انعطاف‌پذیری بیشتر و قابلیت‌های پیشرفته‌تر اضافه شد. امروز، SAML 2.0 به‌عنوان استاندارد اصلی در سازمان‌ها و محیط‌های شرکتی برای احراز هویت و Single Sign-On مورد استفاده قرار می‌گیرد و به‌طور گسترده در سرویس‌های ابری و سیستم‌های داخلی کاربرد دارد.

معماری و اجزای اصلی SAML

Identity Provider (IdP)

این جزء مسئول احراز هویت کاربر است و اطلاعات هویتی او را تولید و مدیریت می‌کند. IdP پس از تأیید هویت، Assertions مربوط به کاربر را به سرویس‌دهنده ارسال می‌کند.

Service Provider (SP)

SP اپلیکیشنی است که کاربر قصد دسترسی به آن را دارد. این سرویس با استفاده از اطلاعات هویتی ارائه‌شده توسط IdP، دسترسی کاربر را بررسی و مجاز یا غیرمجاز اعلام می‌کند.

Assertions

Assertions شامل داده‌های هویتی کاربر و اطلاعات دسترسی او هستند. این اطلاعات معمولاً در قالب XML ارسال می‌شوند و شامل سه نوع اصلی هستند: Authentication Assertion، Attribute Assertion و Authorization Decision Assertion.

Bindings و Protocols

این بخش مشخص می‌کند که چگونه اطلاعات هویتی و Assertions بین IdP و SP منتقل می‌شوند. انواع Binding شامل HTTP Redirect، HTTP POST و SOAP هستند که با توجه به نیاز امنیتی و محیط اجرایی انتخاب می‌شوند.

SAML چگونه کار می‌کند؟

1. درخواست دسترسی از سرویس‌دهنده (SP):

کاربر قصد دارد به یک سرویس یا اپلیکیشن دسترسی پیدا کند، بنابراین SP درخواست ورود به سیستم را به IdP هدایت می‌کند.

2. احراز هویت توسط Identity Provider (IdP):

هویت کاربر را بررسی می‌کند؛ این مرحله شامل ورود کاربر و تأیید اعتبار او است.

3. ایجاد و ارسال Assertions:

پس از احراز هویت موفق، IdP یک Assertion شامل اطلاعات هویتی و دسترسی کاربر ایجاد می‌کند و آن را به SP ارسال می‌کند.

4. تأیید و اعتبارسنجی Assertions: SP Assertion

دریافتی را بررسی می‌کند تا اطمینان حاصل شود که اطلاعات معتبر است و کاربر اجازه دسترسی دارد.

5. دسترسی کاربر به سرویس:

پس از تأیید Assertion، کاربر به سرویس موردنظر دسترسی پیدا می‌کند بدون اینکه نیاز باشد دوباره نام کاربری و رمز عبور خود را وارد کند.

کاربردهای اصلی SAML در سازمان‌ها

• ورود یکپارچه (Single Sign-On – SSO)
• مدیریت هویت و دسترسی کاربران
• امنیت سرویس‌های ابری و داخلی
• کاهش پیچیدگی مدیریت رمز عبور
• اتصال بین سازمان‌ها و شرکای تجاری
• کاهش ریسک افشای اطلاعات حساس

مزایا و معایب SAML