В качестве технологического протокола Удостоверяющие федерации традиционно используют Web SSO SAML – единый вход по протоколу SAML при доступе через Интернет.
Протокол SAML:
- SAML, Security Assertion Markup Language – язык разметки декларации безопасности
- основан на языке разметки XML
- разработан OASIS (Organization for the Advancement of Structured Information Standards)в 2001 году
- обеспечивает сквозную аутентификацию пользователей по технологии единого входа (SSO) при работе через веб-браузер
- является де-факто стандартом информационного обмена в сфере науки
и образования во всем мире
Компонент SAML – IdP, Identity provider (провайдер идентификации):
- производит аутентификацию пользователей и обеспечивает передачу информации о пользователях в виде атрибутов (например, e-mail)
- обеспечивает связь с имеющимися системами аутентификации и системами хранения учетных данных пользователей
- обеспечивает передачу информации о способе аутентификации пользователя (по логин-паролю, по электронному ключу и т.д.)
Компонент SAML – SP, Service provider (сервис-провайдер):
- обеспечивает взаимодействие по протоколу SAML и защиту веб-ресурса
- инициирует запрос на аутентификацию и на получение атрибутов пользователя
- обрабатывает входящие сообщения об аутентификации и атрибутах
- передает информацию о пользователе веб-ресурсу (например, для личных кабинетов пользователей)
Взаимодействие узлов Удостоверяющей федерации:
- для взаимодействия по SAML SP и IdP должны предварительно предоставить Оператору федерации сертификаты, а также всю необходимую дополнительную информацию для включения как участника в федерацию (сертификаты необходимы для подтверждения подлинности SAML-сообщений)
- в целях централизации управления организации (SP и IdP) объединяются в Удостоверяющую федерацию, публикуя в общем реестре метаданные, требующиеся для SAML-обмена (отсутствует необходимость предварительного обмена между узлами по принципу «каждый с каждым»)
- Удостоверяющие федерации формируются, как правило, по национальному принципу
- у каждой Удостоверяющей федерации должен быть Оператор федерации – организация, ответственная за прием/исключение участников и поддержку инфраструктуры AAI
- для предоставления доступа к широкому спектру мировых научно-образовательных ресурсов национальные удостоверяющие федерации объединяются в интерфедерацию
Общая схема обмена по протоколу SAML:
0. При вступлении в Удостоверяющую федерацию участник передает Оператору федерации свои метаданные, которые Оператор вносит в центральный реестр; службы центрального реестра Оператора добавляют участника в сервис “WAYF” (Where Are You From, “Вы откуда?”)
1. Пользователь заходит на ресурс-участник федерации/интерфедерации и активирует средства аутентификации (данный ресурс является сервис-провайдером, SP)
2. Сервис-провайдер вызывает службу WAYF
3. Пользователь выбирает в интерфейсе службы WAYF свою домашнюю организацию
4. WAYF перенаправляет запрос к выбранной пользователем домашней организации (IdP)
5. IdP запрашивает у пользователя данные для аутентификации и сличает их с записью в хранилище учетных записей пользователей
6. В случае успешной аутентификации IdP обменивается с SP SAML-утверждениями об аутентификации, факте аутентификации (успешно или нет) и атрибутах пользователя в случае успешной аутентификации