Tweet
SAML là một tiêu chuẩn mở dùng để trao đổi dữ liệu xác thực và phân quyền giữa các bên, cụ thể là giữa Nhà cung cấp danh tính (Identity Provider – IdP) như Cisco Duo SSO và Nhà cung cấp dịch vụ (Service Provider – SP) như một web server.
Được giới thiệu từ năm 2002 bởi OASIS, SAML sử dụng dữ liệu XML để mô tả thông tin xác thực và được dùng phổ biến trong các ứng dụng doanh nghiệp nhằm hỗ trợ Single Sign-On (SSO). Trong mô hình SAML có ba vai trò chính:
Quy trình cơ bản như sau: Người dùng truy cập dịch vụ → SP yêu cầu thông tin xác thực từ IdP → IdP xác thực và gửi lại SAML Assertion (khẳng định) → SP dựa vào thông tin này để cấp quyền truy cập cho người dùng.
Các loại Assertion trong SAML
Assertion là tài liệu XML chứa thông tin xác thực. Có 3 loại chính:
Luồng hoạt động SSO với SAML
Kết luận
SAML đóng vai trò quan trọng trong việc hiện thực Single Sign-On (SSO), giúp người dùng chỉ cần đăng nhập một lần nhưng có thể truy cập nhiều hệ thống khác nhau, cả trong nội bộ lẫn trên đám mây. Đây là nền tảng xác thực được sử dụng rộng rãi trong các tổ chức doanh nghiệp để đảm bảo trải nghiệm thuận tiện cho người dùng đồng thời giữ mức độ bảo mật cao.
Bài chia sẻ này phù hợp cho những bạn đang bắt đầu tìm hiểu về PKI, IAM, và SSO trên môi trường Azure, AWS hoặc hệ thống doanh nghiệp on-premises. Khi triển khai thực tế, bạn sẽ thường thấy SAML được tích hợp với các IdP như Azure AD, Okta, Cisco Duo, ADFS để liên kết với hàng chục ứng dụng SaaS như Salesforce, Office 365, hay các web portal nội bộ.
Được giới thiệu từ năm 2002 bởi OASIS, SAML sử dụng dữ liệu XML để mô tả thông tin xác thực và được dùng phổ biến trong các ứng dụng doanh nghiệp nhằm hỗ trợ Single Sign-On (SSO). Trong mô hình SAML có ba vai trò chính:
- Principal (Người dùng)
- Identity Provider (IdP)
- Service Provider (SP)
Quy trình cơ bản như sau: Người dùng truy cập dịch vụ → SP yêu cầu thông tin xác thực từ IdP → IdP xác thực và gửi lại SAML Assertion (khẳng định) → SP dựa vào thông tin này để cấp quyền truy cập cho người dùng.
Các loại Assertion trong SAML
Assertion là tài liệu XML chứa thông tin xác thực. Có 3 loại chính:
- Authentication Assertion – Xác nhận người dùng đã được IdP xác thực tại thời điểm cụ thể.
- Attribute Assertion – Gắn các thuộc tính (ví dụ: tên, email) với người dùng.
- Authorization Decision Assertion – Xác định người dùng có được phép truy cập tài nguyên hay không.
Luồng hoạt động SSO với SAML
- User Request: Người dùng truy cập tài nguyên của SP qua trình duyệt.
- Redirection to IdP: SP tạo ra thông điệp <AuthnRequest> và chuyển hướng người dùng tới IdP.
- Authentication: IdP nhận yêu cầu, giải mã và xác thực người dùng (qua username/password, hoặc MFA).
- Assertion Creation: Sau khi xác thực thành công, IdP tạo SAML Assertion dưới dạng XML, kèm thông tin người dùng, thời gian, IdP phát hành, thời hạn hiệu lực.
- Response to SP: IdP gói Assertion vào <Response> và gửi về SP thông qua trình duyệt (thường qua HTTP POST).
- Validation by SP: SP nhận Response, kiểm tra chữ ký số, nguồn phát hành, thời hạn, rồi trích xuất Assertion.
- Access Granted: Nếu hợp lệ, SP cấp phiên đăng nhập cho người dùng và cho phép truy cập dịch vụ.
Kết luận
SAML đóng vai trò quan trọng trong việc hiện thực Single Sign-On (SSO), giúp người dùng chỉ cần đăng nhập một lần nhưng có thể truy cập nhiều hệ thống khác nhau, cả trong nội bộ lẫn trên đám mây. Đây là nền tảng xác thực được sử dụng rộng rãi trong các tổ chức doanh nghiệp để đảm bảo trải nghiệm thuận tiện cho người dùng đồng thời giữ mức độ bảo mật cao.
Bài chia sẻ này phù hợp cho những bạn đang bắt đầu tìm hiểu về PKI, IAM, và SSO trên môi trường Azure, AWS hoặc hệ thống doanh nghiệp on-premises. Khi triển khai thực tế, bạn sẽ thường thấy SAML được tích hợp với các IdP như Azure AD, Okta, Cisco Duo, ADFS để liên kết với hàng chục ứng dụng SaaS như Salesforce, Office 365, hay các web portal nội bộ.
Attached Files