Cryptography Reference
In-Depth Information
Das SAML-Netzwerkprotokoll ist ein Zwei-Wege-Protokoll - ähnlich wie HTTP,
FTP und OCSP. Es sieht vor, dass eine Partei (Requester) eine Security Assertion
bei einer anderen Partei (Responder) anfordert und dass der Responder mit einer
Security Assertion antwortet. Der folgende Ablauf ist typisch:
1.
Alice meldet sich an einem Anwendungsserver an. Dieser leitet die Anmel-
dung an einen Authentifizierungsserver weiter.
2.
Der Authentifizierungsserver authentifiziert Alice auf eine festgelegte Weise
(Smartcard, Passwort, ...).
3.
Der Authentifizierungsserver schickt eine verschlüsselte und signierte Secu-
rity Assertion an den Anwendungsserver. Darin teilt er mit, dass Alice kor-
rekt authentifiziert ist.
4.
Der Anwendungsserver überprüft die Security Assertion und gewährt Alice
im positiven Fall Zugang.
Will sich Alice an einem weiteren Anwendungsserver anmelden, dann erfolgt dies
erneut über den Authentifizierungsserver. Dieser sorgt beim beschriebenen
Ablauf für eine Credential-Synchronisation, da Alice für jeden Anwendungsser-
ver dieselbe Karte oder dasselbe Passwort nutzen kann. Der Authentifizierungs-
server sorgt außerdem für ein Single Sign-On, sofern das Verschicken und die
Verarbeitung einer Security Assertion für Alice transparent verlaufen.
22.5.2
SAML in der Praxis
SAML wurde ursprünglich vor allem für Webservices (also für Webdienste, die
nicht von Menschen, sondern von Computern genutzt werden) entwickelt. Es
wird inzwischen jedoch auch für den Zugang zu menschenlesbaren Webseiten
genutzt. Besonders populär ist SAML als Lösung für eine Kombination aus Web-
SSO und Ticket-SSO. In diesen Bereich fallen auch die beiden derzeit wichtigsten
Projekte, die SAML nutzen:
■
Shibboleth
: Shibboleth ist eine Open-Source-Software für das Single Sign-On,
die SAML verwendet [Shibbo].
■
Kantara-Initiative
: Hierbei handelt es sich um eine Initiative, an der sich zahl-
reiche Unternehmen, Organisationen und Privatpersonen beteiligen. Sie hat
das Ziel, Rahmenbedingungen und Standards für das Identity Management
zu schaffen. SAML spielt dabei eine zentrale Rolle.
Mit Microsoft account hat die Firma Microsoft eine Konkurrenzlösung geschaf-
fen, die nicht auf SAML basiert.
