SAML 2.0

Ausführliche Informationen können über die OASIS Website bezogen werden. Die folgenden Ausführungen sollen dazu dienen den Kontext zwischen SAML und Web SSO herzustellen.

Teilen sich verschiedene Websites sicherheitsrelevante Informationen über einen Nutzer, so muss vereinbart werden, wie die beiden Parteien ein und denselben Nutzer referenzieren und es muss klar sein wie diese Informationen ausgetauscht werden bzw. was sie bedeuten. Das Kommunikationsprotokoll beschreibt hierbei die Art des (Netzwerk-) Transfers (z.B. SOAP über HTTP), wie das Request- und Response Schema aussieht (z.B. ein Authentisieungsanfrage für Nutzer A) und wie diese Nachrichten im Detail formatiert sein müssen.

Ein Ansatz zur standardisierten Lösung dieser Anforderungen ist die OASIS SAML 2.0 Spezifikation. SAML 2.0 ist eine Erweiterung, die auf SAML 1.1 aufbaut und Ideen des Liberty Alliance Identity Frameworks aufnimmt.
SAML beschreibt Netzwerk Protokoll Bindings, Assertions und Request/Response Protokolle.

Netzwerk Protokoll Bindings:

SAML definiert als Transporthülle der Nachrichten SOAP über HTTP(S).

Assertions:

Assertions werden in XML beschrieben und bestehen hauptsächlich aus der Nutzerinformation (subject) und einer Aussage (statement) über den Nutzer. Ein solches Statement beinhaltet Authentisierungs- und Autorisierungsinformationen sowie unter Umständen zusätzliche Attribute des Nuterzerprofils.

Request/Response Protokoll:

Das Protokoll legt Anfragen nach definierten Assertions fest. Beispielsweise wird eine Authentisierungsanfrage (AuthNRequest) definiert, die mit einer Authentifizerungs-Assertion beantwortet wird.

Profile:

Ergänzend zu den Netzwerk- und SOAP-Bindings und der Definition von Request-/Response- Nachrichten ist eine Spezifikation erforderlich, die beschreibt wie die Nachrichten ausgetauscht werden. Zu diesem Zwecke beschreibt SAML “Profile”. Beispielsweise beschreibt das Browser POST-Profil, daß Request und Responses innerhalb des Body eines HTTP-POST Request übermittelt werden.
Das Browser Artifakt Profil beschreibt einen Kennzeichner, der Artifakt genannt wird. Dieser Kennzeichner kann zwischen Websites benutzt werden, um Informationen über einen User über einen unabhängigen Kanal abzufragen.

Artifact Resolve:
Artifact Response:

Weitere Profile beschreiben wie ein Single Logout vermittelt wird oder wie der bervorzugte Identity Provider eines Nutzers erkannt werden kann.
LogoutRequest:
LogoutResponse:

Rollen:

Gängige Rollen werden wie folgt definiert:

  • Subject: Im WebSSO ist das einfach der Nutzer.
  • Asserting party: Der “Identity provider (IDP)” – in unserem Falle: idp.ssocircle.com
  • Relying party: Der “Service Provider (SP)” – eine beliebige WebSite, die in den SSOCircle of Trust integriert ist.

    • Metadaten:

    Metadaten finden ihre Verwendung zum Austausch von Konfigurationdaten des IDP/SP in einem definierten Format. Ein Beispiel ist die URL für einen bestimmten Service oder aber auch die Zertifikate, die zur Validierung einer Signatur oder zur Verschlüsselung notwendig sind.

    Desweiteren finden Sie bei OASIS eine Reihe von weiterführenden Spezifikationen, die unterschiedliche Anwendungsfälle beschreiben.

    *deu*