SAML é um método de login único muito utilizado por empresas e organizações governamentais que dispensa a necessidade do usuário criar várias senhas para acessar diferentes aplicações e sistemas. O uso desse protocolo facilita e otimiza o fluxo do trabalho no dia a dia, sem comprometer a segurança e a privacidade das operações. 

Neste post, vamos explicar o que é SAML, como funciona, quais são as suas vantagens e quais são as diferenças entre ele e outras tecnologias de autenticação populares, como o OAuth.

O que é SAML? 

SAML é a sigla de Security Assertion Markup Language (Linguagem de Marcação de Declaração de Segurança, em português). Trata-se de um protocolo cuja função é possibilitar que um provedor de identidade (IdP) envie as credenciais do usuário para um provedor de serviços (SP).

Esse método foi desenvolvido para que os usuários pudessem fazer um logon único (SSO), e por meio dele conseguir acessar diferentes sistemas. 

Portanto, quando a pessoa liga a máquina e faz o login em um dos sistemas que estão inseridos nesse protocolo, suas credenciais de acesso são enviadas automaticamente pelo provedor de identidade para o provedor de serviços, possibilitando, dessa forma, o acesso do indivíduo. 

Sempre que esse usuário quiser ou precisar acessar outra aplicação ou sistema que seja compatível com esse método de login, ele conseguirá acessá-lo sem precisar informar novamente o seu nome de usuário e senha.

Definição de Security Assertion Markup Language 

A Linguagem de Marcação de Declaração de Segurança é um protocolo de segurança que usa XML (Linguagem de Marcação Extensível, em português), para possibilitar um meio de comunicação padronizada entre o provedor de identidade e o provedor de serviços.

Evolução e versões (SAML 1.1 vs SAML 2.0) 

A primeira versão do Security Assertion Markup Language, conhecida como SAML 1.1,lançada em 2002 e se popularizou rapidamente por possibilitar um login único em diferentes softwares e sistemas.

No entanto, a versão original apresentava algumas falhas de segurança, oferecia opções de autenticação limitadas e era pouco flexível. Para resolver essas questões, foi lançado em 2005 foi lançado o SAML 2.0 trazendo as seguintes melhorias:

• Aumento da segurança
• Envio de mensagens totalmente criptografadas
• Compatibilidade com novas formas de conexão, como HTTP Redirect
• Melhoria na padronização
• Suporte a várias formas de autenticação
• Mais flexibilidade

Principais componentes do SAML 

O SAML é composto basicamente por um provedor de identidade e um provedor de serviços, que agem de maneira conjunta para possibilitar o login único do usuário. Confira a seguir como cada um desses componentes funciona.

Provedor de Identidade (IdP) 

O provedor de identidade é um sistema responsável por criar, armazenar e gerenciar identidades digitais, como as credenciais de login.

Provedor de Serviço (SP) 

O SP é um site, sistema ou aplicação protegida por senha. Quando o usuário tenta acessá-lo, é necessário que haja a autenticação do IdP. 

Asserção SAML: tipos (autenticação, atributo, autorização) 

A asserção SAML é um arquivo no formato XML que o provedor de identidade envia ao provedor de serviço contendo a autorização de acesso do usuário. Existem três tipos de asserções, veja abaixo quais são eles:

• Autenticação: comprovam a identidade do usuário, informam o tempo de login e indicam o método de autenticação;
• Atributos: são elementos SAML que contêm as credenciais específicas do usuário;
• Autorização: documento destinado a informar se aquele usuário está autorizado ou não a acessar o sistema. 

Como SAML funciona no fluxo de autenticação federada

A autenticação federada é um processo que possibilita o login em diferentes sites, aplicações e sistemas utilizando as mesmas credenciais de login. Saiba agora como o Security Assertion Markup Language possibilita esse mecanismo.

 Autenticação inicial do usuário 

O início do processo ocorre quando o usuário tenta acessar um sistema compatível com a autenticação federada, informando suas credenciais para conseguir ter acesso à aplicação que deseja.

Troca de assertivas e permissões via XML 

Após o usuário inserir as informações de login, o provedor de serviços solicita que o IdP envie as credenciais autorizando o acesso.  O provedor de identidade vai então autenticar os dados do usuário e enviar um documento XML para o SP com a autorização de acesso.

Single Sign-On (SSO) usando SAML 

Como o usuário já teve suas credenciais de acesso autorizadas usando o protocolo SAML, assim que ele tentar acessar outro sistema compatível com a autenticação federada, ele conseguirá entrar sem precisar fazer o login novamente. 

Vantagens de usar SAML 

O SAML apresenta várias vantagens para as organizações que o implementam e também para os usuários que utilizam esse protocolo no dia a dia. Descubra agora quais são os principais benefícios. 

Centralização de credenciais / gerenciamento de identidade 

A centralização e gerenciamento de credenciais não têm como intuito somente conceder acesso a alguns sistemas, esses mecanismos também são fundamentais para executar um controle de acesso preciso e aumentar a cibersegurança.

Com o SAML esses processos são simplificados e ficam unificados em um só lugar, facilitando, dessa forma, o gerenciamento das credenciais e ainda oferecendo uma proteção extra às identidades, garantindo um controle de acesso mais efetivo. 

Experiência do usuário 

Criar e memorizar senhas para diferentes sites e aplicações é muito difícil. Por isso, poder usar uma única credencial para vários sistemas facilita muito o trabalho de quem precisa acessar diferentes aplicações em um mesmo dia.

Além disso, esse sistema ainda pode contribuir para aumentar a produtividade do usuário, visto que ele não vai precisar parar o trabalho para lembrar de uma senha e solicitar o acesso a um determinado sistema. 

Maior conformidade 

Um dos grandes benefícios de manter as credenciais de autenticação centralizadas é que isso facilita o processo de auditorias de LGPD, HIPAA e ISO 27001.

Mais segurança

Com a implementação da autenticação federada, o usuário não precisa elaborar senhas diferentes para cada tipo de aplicação, o que evita a criação e proliferação de uma infinidade de senhas fracas e ainda reduz o risco de phishing.

Além disso, como o SAML utiliza criptografia, todos os dados dos usuários são enviados de forma segura e não correm o risco de serem interceptados por invasores.

Interoperabilidade 

A interoperabilidade é uma capacidade que possibilita que diferentes sistemas, incluindo aplicações de organizações distintas, operem em conjunto. Com o SAML é possível conectar esses sistemas sem depender de configurações complexas, e ainda permitir que os usuários acessem todas essas aplicações com apenas uma credencial.

SAML vs outras tecnologias de autenticação

Além do Security Assertion Markup Language existem outras tecnologias de autenticação no mercado. Conheça agora algumas das principais e saiba o que as diferencia do SAML. 

SAML vs OAuth 

O SAML e o OAuth possuem o mesmo objetivo de facilitar o acesso a sites e aplicações. No entanto, eles utilizam protocolos e mecanismos diferentes. Enquanto o primeiro transmite informações em XML, o segundo utiliza JWT ou JavaScript Object Notation.

Outra diferença é que o OAuth possibilita que as pessoas façam login usando suas contas em plataformas de terceiros, como Google, Facebook e GitHub, sem que as suas credenciais de acesso precisem ser compartilhadas com novas aplicações. 

OpenID Connect 

O OpenID Connect (OIDC) é outra opção de protocolo de autenticação projetado para ser fácil de implementar e de usar. Ele utiliza dados no formato JWT e fluxos HTTPS. Esse sistema envia um token de autenticação sempre que um novo login é solicitado, podendo ser criptografado ou não. 

Quando usar SAML vs quando optar por outras opções 

Se você precisa deixar as credenciais e os registros de acesso em um local centralizado, o SAML pode ser a melhor alternativa. Contudo, quem busca uma tecnologia mais eficiente para autenticar identidades, especialmente em aplicativos móveis ou de aplicações web de página única, pode se beneficiar bastante do OIDC.

Já o OAuth pode ser uma boa escolha para quem precisa fornecer tanto autorizações quanto autenticações para garantir o acesso em aplicações instaladas em dispositivos móveis. Contudo, esse protocolo não oferece uma centralização de dados tão eficiente como o SAML.

Boas práticas e desafios na implementação de SAML 

O Security Assertion Markup Language é uma tecnologia eficaz e que facilita muito o dia a dia dos usuários. No entanto, para que ela funcione da maneira correta e para que não haja falhas de segurança, é preciso conhecer os principais desafios de implementação e também as boas práticas de uso da ferramenta.

Segurança da assertiva e certificados 

É imprescindível que os certificados estejam sempre atualizados. Caso contrário, podem ocorrer falhas no processo de autenticação.

Sincronização de tempo entre IdP e SP 

Para que o SAML funcione da maneira esperada, é necessário configurar um relógio de sistema preciso para atender tanto o protocolo de identificação quanto o de serviço. Isso porque o SP verifica o timestamp da asserção recebida, para verificar se ela já expirou.

Portanto, quando esses relógios estão dessincronizados, o protocolo de serviço pode receber uma asserção com o horário defasado, por erro do sistema, e negar o acesso. 

Configuração de fallback em caso de falha de autenticação 

Apesar de o SAML ser eficiente na maioria dos casos, pode ocorrer alguma falha no processo de autenticação. Por isso, é essencial que as organizações que usam essa tecnologia tenham uma configuração de fallback, que nada mais é do que um plano de contingência para garantir o acesso ao sistema quando o método principal de autenticação não funciona. 

Casos de uso práticos de SAML 

Agora que você já sabe o que é SAML e como funciona, conheça a seguir alguns casos práticos de uso desse protocolo. Dessa forma, você terá mais embasamento para decidir se essa é a melhor opção para centralizar as credenciais de acesso e facilitar o login aos sistemas da sua empresa. 

Veja abaixo alguns exemplos de sistemas que podem ser acessados dessa maneira:

• Todos os aplicativos SaaS utilizados pela corporação com apenas um login (como CRM, ERP, Salesforce e Microsoft Office)
• Sistemas de infraestrutura de TI
• Sistemas educacionais
• Sistemas governamentais
• Serviços baseados na nuvem

Exemplos em provedores populares 

Para conseguir implementar o SAML na sua empresa, será necessário escolher um provedor de autenticação. Alguns dos mais populares e que oferecem um serviço de qualidade são:

• OneLogin;
• Microsoft Entra ID (antigo Azure AD);
• Okta.

Como implementar SAML no seu ambiente 

O processo de implementação do SAML envolve a escolha de um provedor de identidade, como o Microsoft Entra ID, e a configuração do IdP e do SP. Saiba agora como fazer isso.

Configuração do IdP e do SP

Se você já escolheu um provedor de identidade, configurar a seguir como configurá-lo:

1. Acesse o console de administração do IdP
2. Crie um aplicativo para representar o seu sistema
3. Defina os parâmetros do SAML, como URLs de identificação e atributos do usuário
4. Baixe o certificado de autenticação

Já em relação ao SP, será preciso:

1. Acessar a seção de logon único do provedor de serviço
2. Inserir as URLs de login e logout do IdP
3. Fazer o download do certificado baixado do IdP
4. Inserir as credenciais do provedor de autenticação

Os provedores de autenticação costumam fornecer aos usuários um guia completo sobre como configurar e implementar esse protocolo em um sistema.

Validação, testes e monitoramento contínuo 

Antes de começar a usar oficialmente o logon único, é importante fazer testes para verificar se esse método de login está funcionando da maneira esperada. Dessa forma, será possível fazer ajustes, caso seja necessário, antes de liberar o protocolo para todos os colaboradores. 

Conclusão 

O logon único por meio do SAML é uma excelente maneira de centralizar e gerenciar as credenciais de acesso aos sistemas de uma empresa ou entidade pública, assim como facilitar o processo de login e reduzir o número de senhas fracas. Portanto, considere implementar esse protocolo no seu negócio para ampliar a eficiência e a cibersegurança. 

Para mais conteúdos sobre aplicações que podem facilitar o dia a dia nos ambientes corporativos, continue no blog da HostGator e confira mais artigos sobre esse assunto:

• Erro 401: aprenda como resolvê-lo
• Aprenda o que são os status dos domínios internacionais
• Registro.br: Conheça o órgão de registro de domínios nacionais
• O que é HTTPS e quais são suas vantagens?
• Autenticação de dois fatores WordPress: guia completo