САМЛ вс. ОАУТХ

САМЛ и ОАУТХ су технички стандарди за овлашћивање корисника. Ове стандарде користе програмери веб апликација, професионалци за безбедност и администратори система који желе да побољшају своју услугу управљања идентитетом и побољшају методе којима клијенти могу да приступе ресурсима са комплетом акредитива. У случајевима када је потребан приступ апликацији са портала, потребан је централизовани извор идентитета или Ентерприсе Сингле Сигн Он. У таквим случајевима је пожељнији САМЛ. У случајевима када је потребан привремени приступ ресурсима као што су рачуни или датотеке, ОАУТХ се сматра бољим избором. У случајевима мобилне употребе углавном се користи ОАУТХ. И САМЛ (безбедносна тврдња и језик за означавање) и ОАУТХ (отворена ауторизација) користе се за веб јединствену пријаву, пружајући могућност јединствене пријаве за више веб апликација.

САМЛ

САМЛ користи се за омогућавање добављача услуга јединственог пријављивања за веб апликације за пренос и премештање акредитива између добављача идентитета (ИДП) који држи поверљиве податке и добављача услуга (СП) који је ресурс којем су потребни ти акредитиви. САМЛ је стандардни језик протокола за ауторизацију и потврду идентитета који се углавном користи за обављање федерације и управљања идентитетом, заједно са управљањем једним пријављивањем. У САМЛ, Документи КСМЛ метаподатака користе се као знак за подношење идентитета клијента. Процес аутентификације и ауторизације САМЛ је као што следи:

1. Корисник захтева да се пријави на услугу путем прегледача.
2. Услуга обавештава прегледач да врши аутентификацију одређеном добављачу идентитета (ИдП) регистрованом код услуге.
3. Прегледник прослеђује захтев за потврду идентитета регистрованим добављачима идентитета ради пријаве и потврде идентитета.
4. Након успешне провере акредитива / аутентификације, ИдП генерише КСМЛ-заснован документ потврде који потврђује идентитет корисника и прослеђује га прегледачу.
5. Прегледник преноси тврдњу добављачу услуга.
6. Добављач услуга (СП) прихвата тврдњу за унос и омогућава кориснику приступ услузи тако што ће их пријавити.

Погледајмо сада пример из стварног живота. Претпоставимо да корисник кликне на Пријавите се опција на услузи за размену слика на веб локацији абц.цом. Да би аутентификовао корисника, абц подноси шифровани САМЛ захтев за потврду идентитета.цом. Захтев ће се са веб локације послати директно на ауторизациони сервер (ИдП). Овде ће добављач услуга преусмерити корисника на ИдП ради ауторизације. ИдП ће верификовати примљени САМЛ захтев за потврду идентитета, а ако се испостави да је захтев ваљан, приказаће кориснику образац за пријаву за унос акредитива. Након што корисник унесе акредитиве, ИдП ће генерисати САМЛ тврдњу или САМЛ токен који садржи корисничке податке и идентитет и послаће их добављачу услуга. Добављач услуга (СП) проверава САМЛ тврдњу и издваја податке и идентитет корисника, додељује тачне дозволе кориснику и пријављује корисника у услугу.

Програмери веб апликација могу да користе САМЛ додатке како би осигурали да апликација и ресурс прате потребне праксе јединствене пријаве. Ово ће омогућити боље корисничко корисничко искуство и ефикасније сигурносне праксе које користе заједничку стратегију идентитета. Са инсталираним САМЛ-ом, само корисници са исправним идентитетом и токеном тврдње могу приступити ресурсу.

ОАУТХ

ОАУТХ користи се када постоји потреба за прослеђивањем ауторизације са једне услуге на другу услугу без дељења стварних акредитива, попут лозинке и корисничког имена. Користећи ОАУТХ, корисници могу да се пријаве на једну услугу, приступе ресурсима других услуга и изврше радње на услузи. ОАУТХ је најбољи метод који се користи за прослеђивање ауторизације са платформе Сингле Сигн Он на другу услугу или платформу или између било које две веб апликације. Тхе ОАУТХ ток посла је следећи:

1. Корисник кликће на дугме Пријава услуге дељења ресурса.
2. Сервер ресурса приказује кориснику одобрење за одобрење и преусмерава га на сервер за ауторизацију.
3. Корисник захтева приступни токен од сервера за ауторизацију помоћу кода за одобрење ауторизације.
4. Ако је код важећи након пријаве на сервер за ауторизацију, корисник ће добити приступни токен који се може користити за преузимање или приступ заштићеном ресурсу са сервера ресурса.
5. По пријему захтева за заштићени ресурс са токеном за одобрење приступа, ресурсни сервер проверава ваљаност приступног токена уз помоћ сервера за ауторизацију.
6. Ако је токен важећи и прође све провере, заштићени ресурс додељује сервер ресурса.

Једна од уобичајених употреба ОАУТХ је омогућавање веб апликацијама да приступе платформи друштвених медија или другом мрежном налогу. Гоогле кориснички налози могу се користити са многим потрошачким апликацијама из неколико различитих разлога, као што су блоговање, играње на мрежи, пријављивање помоћу налога на друштвеним мрежама и читање чланака на веб локацијама са вестима. У тим случајевима ОАУТХ ради у позадини, тако да се ови спољни ентитети могу повезати и приступити потребним подацима.

ОАУТХ је неопходност, јер мора постојати начин за слање података о ауторизацији између различитих апликација без дељења или излагања корисничких података. ОАУТХ се такође користи у предузећима. На пример, претпоставимо да корисник треба да приступи компанијском систему јединствене пријаве са својим корисничким именом и лозинком. ССО му омогућава приступ свим потребним ресурсима прослеђивањем ОАУТХ токена овлашћења овим апликацијама или ресурсима.

Закључак

ОАУТХ и САМЛ су веома важни са становишта програмера веб апликација или системског администратора, док су обојица веома различити алати са различитим функцијама. ОАУТХ је протокол за ауторизацију приступа, док је САМЛ секундарна локација која анализира улаз и пружа ауторизацију кориснику.