Security Assertion Markup Language
El Lenguaje de Marcado para Confirmaciones de Seguridad, conocido como SAML, es un estándar abierto que define un esquema XML para el intercambio de datos de autenticación y autorización. Usualmente las partes que intervienen en el intercambio son un proveedor de identidad (entidad que dispone de la infraestructura necesaria para la autenticación de los usuarios) y un proveedor de servicio (entidad que concede a un usuario el acceso o no a un recurso). SAML es un producto del comité OASIS (Security Services Technical Committee).
SAML inició su especificación en el año 2001, siendo su versión estable liberada en el año 2005, y es utilizado como elemento clave en sistemas centralizados de autenticación y autorización(Single Sign-On).[cita requerida]
La especificación SAML define tres roles:
- Principal
- Proveedor de identidad
- Proveedor de servicio.
En un escenario típico, el rol principal solicita un servicio al proveedor de servicios, quien a su vez solicita y obtiene en caso de éxito, una confirmación de identidad desde el proveedor de identidad. Teniendo como base la confirmación recibida, el proveedor de servicio puede tomar decisiones acerca del acceso autorizado a un usuario.
Historia de SAML
editarEl Comité OASIS Seguridad de Servicios Técnicos (SSTC), que se reunió por primera vez en enero de 2001, fue encargado de "definir un marco de XML para el intercambio de información de autenticación y autorización".[1] Con este fin, la siguiente propiedad intelectual fue aportada a la SSTC durante los dos primeros meses de ese año:
- Servicios de seguridad Markup Language (S2ML) de Netegrity
- AuthXML de Securant
- XML Confianza aserciones Especificación (X-TASS) de VeriSign
- Lenguaje de marcado de Tecnología de la Información (ITML) desde Jamcracker
Sobre la base de este trabajo, en noviembre de 2002, OASIS anunció la especificación Aserción de seguridad Markup Language (SAML) V1.0 como un estándar OASIS.[2]
Mientras tanto, el Liberty Alliance, un gran consorcio de empresas y organizaciones sin fines de lucro y gubernamentales, propuso una extensión del estándar SAML llamado el Liberty Identity Federación Framework (ID-FF). Al igual que su predecesor, SAML, Liberty ID-FF propuso un marco de trabajo estandarizado, para muchos dominios, con marco de inicio de sesión único, basada en la web. Además, Liberty describe un círculo de confianza, donde cada dominio participante se confía en documentar con precisión los procesos utilizados para identificar a un usuario, el tipo de sistema de autenticación utilizado, y cualquier política asociada con las credenciales de autenticación resultantes. Otros miembros del círculo de confianza pueden examinar estas políticas para determinar si se debe confiar en dicha información.
Mientras Liberty estaba desarrollando ID-FF, el SSTC comenzó a trabajar en una actualización menor al estándar SAML. La especificación V1.1 SAML resultante fue ratificada por el SSTC en septiembre de 2003. Luego, en el mismo mes, Liberty aportó el ID-FF a OASIS, sembrando así la semilla para la siguiente versión principal de SAML. En marzo de 2005, SAML v2.0 fue anunciado como un estándar OASIS. SAML V2.0 representa la convergencia de Liberty ID-FF y otras extensiones propietarias, así como las primeras versiones del mismo SAML. La mayoría de las implementaciones de SAML soportan v2.0 mientras que muchos siguen soportando V1.1 para la compatibilidad con versiones anteriores. A partir de enero de 2008, las implementaciones de SAML v2.0 se hicieron comunes en instituciones de gobierno, educación superior y empresas comerciales de todo el mundo.[3]
Seguridad en SAML
editarLas especificaciones SAML recomiendan, y en algunos casos requieren una variedad de mecanismos de seguridad:
- SSL 3.0 o TLS 1.0 para la seguridad de nivel de transporte
- Firma XML y Encriptación XML para la seguridad a nivel de mensaje
Los requisitos son a menudo formulados en términos de autenticación (mutua), integridad y confidencialidad, dejando la elección de mecanismo de seguridad para ejecutores e implementadores.
Véase también
editarReferencias
editar- ↑ Maler, Eve, «Minutes of 9 January 2001 Security Services TC telecon», lista de correo security-services at oasis-open, http://lists.oasis-open.org/archives/security-services/200101/msg00014.html, consultado el 7 de abril de 2011.
- ↑ «History of SAML». SAMLXML.org. 5 de diciembre de 2007. Consultado el 22 de mayo de 2014.
- ↑ «Google, NTT and the US GSA Deploy SAML 2.0 for Digital Identity Management». Oracle Journal. 29 de enero de 2008. Archivado desde el original el 22 de mayo de 2014. Consultado el 22 de mayo de 2014.
Enlaces externos
editar- Comunidad dedicada al estándar SAML
- OASIS Security Services Technical Committee
- Cover Pages: Security Assertion Markup Language (SAML)
- Video tutorial: Ten Things You Need To Know About SAML
- Como estudiar y aprender SAML
- Desmitificando SAML
- Federated Identity: Single Sign-On Among Enterprises (SUN)
- Federated ID gains momentum
- SAML 101