SAML nasıl çalışır
SAML iki rol tanımlar: kullanıcıları doğrulayan kimlik sağlayıcı (IdP) ve kullanıcının erişmek istediği uygulama olan servis sağlayıcı (SP). Kullanıcı uygulamayı açtığında SP, tarayıcıyı bir kimlik doğrulama isteğiyle IdP'ye yönlendirir. IdP kullanıcıyı doğrular, ardından kullanıcının kim olduğunu ve ne zaman doğrulandığını belirten bir XML belgesi olan SAML onayını geri gönderir.
Onay, IdP sertifikasıyla dijital olarak imzalanır ve SP bu imzayı kurulum sırasında paylaşılan meta veriler üzerinden doğrular. Onaylar ayrıca e-posta, gruplar ve roller gibi öznitelikler taşıyabilir; uygulama bunları yetkilendirme için kullanır. Tüm alışveriş tarayıcı yönlendirmeleriyle gerçekleşir; bu nedenle SP ile IdP arasında doğrudan bir ağ bağlantısı gerekmez.
SAML neden önemli
2005'te son halini alan SAML 2.0, kurumsal tek oturum açmanın omurgası haline geldi ve iş yazılımlarında derin biçimde yerleşmiş durumda. Binlerce SaaS ürünü, kamu sistemi ve kurum içi uygulama, SAML'ı birincil veya tek federasyon seçeneği olarak sunar; bu nedenle ciddi her kimlik platformunun SAML'ı eksiksiz desteklemesi gerekir.
Güvenlik ekipleri için SAML, uygulamalara özgü parolaları ortadan kaldırır ve doğrulama politikasını IdP'de merkezileştirir. Yazılım üreticileri içinse SAML desteği çoğu zaman kurumsal satışların ön koşuludur; satın alma listelerinde düzenli olarak yer alır. Yeni uygulamalar giderek OpenID Connect'i tercih etse de SAML, birlikte çalışabilirlik için uzun yıllar vazgeçilmez kalacaktır.
Uygulamada SAML
Bir SAML entegrasyonu kurmak, IdP ile SP arasında meta veri alışverişi yapmak demektir: varlık kimlikleri, uç nokta adresleri ve imza sertifikaları. Çoğu kimlik platformu, popüler uygulamalar için bunu birkaç alana indiren hazır bağlayıcılar sunar. Uygulamalar ad, e-posta ve grup bilgilerinin geliş biçimi konusunda farklılık gösterdiğinden öznitelik eşleme özen ister.
Operasyonel olarak en sık karşılaşılan sorunlar süresi dolan imza sertifikaları, sistemler arası saat kayması ve uyuşmayan kimlik biçimleridir; bu nedenle sertifika yenileme ve izleme, işletim planında yer almalıdır. Monosign, SAML 2.0'ı iki rolde de uygular: uygulamalara karşı IdP, harici kimlik kaynaklarıyla federasyonda ise SP olarak çalışır.