SAML do integracji z dostawcami tożsamości
Security Assertion Markup Language (SAML) to otwarty standard oparty na języku XML służący do uwierzytelniania i autoryzacji. Jedną z głównych zalet SAML jest to, że umożliwia jednokrotne logowanie, a tym samym minimalizuje liczbę logowań użytkownika do aplikacji w chmurze i witryn internetowych.
W procesie uwierzytelniania biorą udział trzy podmioty:
-
Użytkownik inicjuje dostęp do aplikacji lub usługi.
-
Dostawca tożsamości (IdP) to zaufany system uwierzytelniania użytkowników, na przykład Microsoft Entra ID lub Okta.
-
Dostawca usług (SP) to aplikacja lub usługa, do której użytkownik chce się zalogować, np. Qlik Cloud.
Dostawca tożsamości uwierzytelnia użytkownika i potwierdza tożsamość użytkownika przed dostawcą usług. Odbywa się to przez wymianę podpisanych cyfrowo dokumentów XML zwanych asercjami SAML. Asercje te zawierają informacje o użytkowniku, jego statusie uwierzytelnienia i ewentualnie dodatkowych atrybutach. Usługodawca może następnie udzielić użytkownikowi dostępu do swoich usług. Po włączeniu jednokrotnego logowania u dostawcy tożsamości użytkownik może uzyskać dostęp do witryn i aplikacji kilku dostawców usług bez konieczności logowania się w każdej z nich.
Logowanie jednokrotne inicjowane przez dostawcę usług i przez dostawcę tożsamości
SAML obsługuje procesy logowania inicjowane przez dostawcę usług (SP) lub dostawcę tożsamości (IdP).
W przypadku jednokrotnego logowania inicjowanego przez SP użytkownik rozpoczyna od witryny dostawcy usług, ale zamiast logowania w witrynie jest inicjowane uwierzytelnianie jednokrotnego logowania u dostawcy tożsamości. Na przykład, kiedy użytkownik loguje się do Qlik Cloud (dostawcy usług), logowanie jest przekazywane do dostawcy tożsamości, który zajmuje się faktycznym uwierzytelnieniem jednokrotnego logowania.
W przypadku jednokrotnego inicjowanego przez dostawcę tożsamości użytkownik loguje się bezpośrednio do dostawcy tożsamości i wybiera aplikację, która inicjuje uwierzytelnianie jednokrotnego logowania u dostawcy usług.
Asercje
Asercje to instrukcje oparte na języku XML zawierające informacje dotyczące uwierzytelniania i autoryzacji w ustandaryzowanym formacie. Są one generowane przez dostawcę tożsamości i weryfikowane przez dostawcę usług.
W przypadku integracji z dostawcami tożsamości może być wymagane skonfigurowanie aplikacji w celu bezpiecznej wymiany asercji SAML. Obejmuje to konfigurację relacji zaufania, adresów URL punktów końcowych i wymiany certyfikatów.
Oświadczenia
Oświadczenia to informacje o użytkowniku, które są potwierdzane przez dostawcę tożsamości i wysyłane do dostawcy usług podczas uwierzytelniania. SAML definiuje zestaw standardowych oświadczeń, w tym atrybuty użytkownika, takie jak name i email. Mapowanie oświadczeń można modyfikować w zależności od wymagań aplikacji.
Metadane
Wymiana metadanych pomiędzy dostawcą tożsamości (IdP) a dostawcą usług (SP) jest niezbędna do ustanowienia relacji zaufania i zapewnienia prawidłowego funkcjonowania protokołu SAML.
Metadane dostawcy tożsamości
Konfiguracja dostawcy usług wymaga metadanych dotyczących dostawcy tożsamości. W Qlik Cloud można przesłać te informacje w postaci plików metadanych dostawcy tożsamości za pośrednictwem centrum aktywności Administrowanie.
Metadane dostawcy tożsamości obejmują następujące informacje:
-
Identyfikator podmiotu dostawcy tożsamości.
-
Adres URL logowania jednokrotnego. Jest to punkt końcowy, gdzie wysyłane są żądania uwierzytelnienia SAML przez dostawcę usług do dostawcy tożsamości. Jest to adres URL, do którego użytkownik jest przekierowywany w celu uwierzytelnienia się.
-
Certyfikat podpisywania używany przez dostawcę tożsamości do podpisywania asercji SAML wysyłanych do usługodawcy.
Metadane usługodawcy
Aby skonfigurować konfigurację po stronie dostawcy tożsamości, potrzebne są metadane dostawcy usług. Informacje te można uzyskać z centrum aktywności Administrowanie w Qlik Cloud.
Metadane dostawcy usług obejmują następujące szczegóły:
-
Identyfikator podmiotu dostawcy usług.
-
Adres URL Assertion Consumer Service (ACS). Tutaj dostawca tożsamości przesyła asercje SAML po uwierzytelnieniu.
-
Certyfikat podpisywania używany przez usługodawcę do podpisywania żądań uwierzytelnienia wysyłanych do dostawcy tożsamości.