Ж у р н а л   о   к о м п ь ю т е р н ы х   с е т я х   и   т е л е к о м м у н и к а ц и о н н ы х   т е х н о л о г и я х
СЕТИ И СИСТЕМЫ СВЯЗИ on-line
  ПОИСК: ПОДПИСКА НА НОВОСТИ: НОМЕР:
    ДОМОЙ • Архив: Новостей | Конференций | НомеровПодписка
 
   
 
   
    
РЕДАКЦИЯ
 
Все о журнале
Подписка
Как проехать
Где купить
Отдел рекламы
График выхода журнала
Адреса в Интернет

РУБРИКАТОР
   
• Инфраструктура
• Информационные
   системы

• Сети связи
• Защита данных
• Кабельные системы
• Бизнес
• Колонка редактора
• Электронная
   коммерция

• Только на сервере
• Системы
   учрежденческой
   связи

• Новые продукты


Rambler's Top100

  

Говоря на языке SAML

Лори Маквитти

Ваша стратегия корпоративной безопасности больше не будет зависеть от системы управления идентификацией. Язык SAML (Security Assertion Markup Language) сможет обеспечить стандартный способ обмена аутентификационными и авторизационными данными между приложениями разных производителей. Поэтому, не переписывая приложения, вы можете теперь выбирать различные механизмы аутентификации, например LDAP или RADIUS.

Все это упрощает процесс обеспечения безопасности. Стандарт SAML, происходящий из области розничной электронной торговли, приобретает все большую популярность в области корпоративной безопасности, освобождая вас от необходимости применять систему или метод аутентификации одного производителя. Вместо использования каждым приложением своего собственного метода аутентификации все они будут поддерживать стандарт SAML.

Стандарт SAML версии 1.1 — это XML-структура, разработанная организацией OASIS (Organization for the Advancement of Structured Information Standards). В версии 1.1 спецификации Liberty Alliance этот стандарт используется для поддержки единой Web-регистрации, а также служб аутентификации в соответствии со спецификацией Web Services Security. Web-службы открывают перспективу для стандарта SAML, и в ближайшем будущем такие продукты, как Nsure компании Novell и eTrust Admin компании Computer Associates, будут поддерживать SAML. Между тем ведущие производители ПО, включая компании CrossLogix, Tivoli Systems (в составе IBM), Netegrity, Novell, Oblix, RSA Security и Sun Microsystems, уже предлагают поддержку SAML в своих решениях безопасности, как и новая платформа .Net Server компании Microsoft.

Утверждения

Стандарт SAML не зависит от платформы и состоит из утверждений, протоколов, привязок и профилей. Утверждения — это высказывания службы идентификации (identity authority) о конечном пользователе — человеке или компьютере. Подобно Active Directory, служба идентификации является доверительным источником заключений об аутентификации и авторизации. Во многих организациях Active Directory используется как служба идентификации, содержащая параметры безопасности многочисленных приложений. Утверждение — это ответ на запрос типа “Может ли Джон Смит получить доступ к серверу отдела кадров?”

Существуют три вида утверждений: авторизации, аутентификации и атрибута. Каждое из них содержит набор общих элементов: предмет, условие и аутентификационное высказывание (“Таблица элементов”).

В каждом утверждении содержится еще и информация о типе сделанного запроса. Например, если запрашивается авторизация доступа к приложению отдела кадров, то утверждение SAML сообщает, разрешен или нет пользователю вход в систему и показывает набор его прав доступа. Если запрашивается аутентификация для сетевого ресурса или приложения, утверждение SAML указывает метод аутентификации, а также ее дату и время. Таким образом приложение может определить, приемлем ли метод аутентификации, пройденный пользователем. Таким приложениям, как электронная почта или служба электронной коммерции, для аутентификации достаточно пароля, в то время как доступ к СУБД учреждений здравоохранения требует предъявления жетона. Приложение может принять либо отклонить утверждение аутентификации. Стандарт SAML поддерживает пароли, мандаты Kerberos, защищенные удаленные пароли, жетоны, открытые ключи (сертификаты X.509, SPKI, XKMS, SSL/TLS) и цифровые подписи XML.

Утверждения авторизации разрешают либо запрещают доступ к различным ресурсам — файлам, устройствам, Web-страницам, определенным полям БД — или действиям, например к обновлению списка телефонных номеров. Детализация уровней управления доступом к БД вплоть до отдельных полей оборачивается такими издержками, как необходимость в разработке и поддержке громоздкой базы правил политики информационной безопасности. В соответствии с недавними постановлениями, такими, как HIPAA (Health Insurance Portability and Accountability Act), подобное детальное управление безопасностью нужно в финансовой сфере, здравоохранении и страховании.

Утверждения атрибута позволяют авторизовывать пользователей для доступа к определенной информации на основании их статуса.

Протоколы

Протоколы SAML определяют формат запросов и ответов. Обмен данными SAML предполагает наличие доверительных отношений между инициатором запроса и отвечающей стороной. Обе стороны должны ссылаться на один и тот же объект, например, существует только один объект с именем “Bruce” в домене безопасности “nwcinc.com”.

В соответствии со стандартом SAML каждый запрос и каждый ответ имеют общие заголовки, определяемые в SAML-документах пространством имен samlp. Все утверждения SAML начинаются с префикса, задающего пространство имен saml, и каждый из трех видов утверждений имеет соответствующий протокол запроса.

Помимо базовых протоколов, стандарт SAML также определяет параметры (артефакты) перенаправления браузера и единой регистрации. Артефакт ссылается на утверждение SAML, позволяя приложению или Web-серверу получить его.

Привязки и профили

Привязка (binding) — это метод передачи запросов и ответов SAML. Наиболее широко распространен метод передачи по протоколу SOAP поверх протокола HTTP, тем не менее организация OASIS разрабатывает для SAML более простой метод передачи с применением только протокола HTTP.

Профили используют в тех случаях, когда утверждения SAML находятся внутри сообщений. В протоколе SOAP, например, утверждение SAML принадлежит заголовку WSSE (Web Services Security Extension), который, в свою очередь, расположен в заголовке SOAP. До настоящего времени стандарт SAML сопровождался профилями, чтобы его можно было применять с Web-браузерами и протоколом SOAP.

Существует два вида профилей для Web-браузеров: push и pull. С помощью профиля push HTML-формы, включая утверждения SAML, по команде post протокола HTTP передаются адресату. С помощью профиля pull сайты обмениваются артефактами SAML посредством URL-ссылок. Сложность при передаче утверждений SAML с использованием метода pull заключается в том, что утверждение добавляется в указатель URL.

У большинства браузеров длина URL-строки ограничена, так, у MSIE она не должна превышать 2 Кбайт. Поэтому некоторые утверждения SAML могут оказаться слишком большими, чтобы уложиться в этот размер. Артефакты SAML решают эту проблему.

В стандарте SAML хорошо то, что сервер управления идентификацией инкапсулирует, тем самым “пряча” реальные процессы авторизации и аутентификации. Благодаря этому вы можете “прозрачно” сочетать решения безопасности от разных производителей. Например, если вы меняете сервер LDAP на Active Directory, сервер приложений продолжает непрерывно обрабатывать запросы. В случае объединения двух компаний они могут сохранить свои системы безопасности, установив приложение управления идентификацией, основанное на стандарте SAML.

Таким образом, вместо окончательного выбора какой-то конкретной схемы аутентификации или авторизации вам достаточно будет установить систему управления идентификацией, основанную на стандарте SAML. Это избавит вас от проблем несовместимости и необходимости нанимать экспертов по интеграции систем безопасности..





  
2 '2004
СОДЕРЖАНИЕ

бизнес

• "Коммунальные вычисления". Вы верите в их возможность?

• Доктрины производителей

• На пути к электронному голосованию

инфраструктура

• Телефоны VoWLAN: готовность номер один

• Инженерная инфраструктура центра данных, или Решения NCPI

• Пора обзаводиться тестовым инструментарием

• iSCSI-сети хранения данных

информационные системы

• Когда применение SOAP становится неэффективным

• Программные средства технической поддержки клиентов

сети связи

• Новые IP-телефоны

• УАТС как услуга

кабельные системы

• Медиаконвертеры позволяют модернизировать сеть, не обременяя бюджет

• Соблюдайте правила установки огнезадерживающих средств

защита данных

• Вооружитесь камерами и замками

• Говоря на языке SAML


• Калейдоскоп



 Copyright © 1997-2007 ООО "Сети и Системы Связи". Тел. (495) 234-53-21. Факс (495) 974-7110. вверх