В качестве технологического протокола Удостоверяющие федерации традиционно используют Web SSO SAML единый вход по протоколу SAML при доступе через Интернет.

Протокол SAML:
  • SAML, Security Assertion Markup Language язык разметки декларации безопасности
  • основан на языке разметки XML
  • разработан OASIS (Organization for the Advancement of Structured Information Standards)в 2001 году
  • обеспечивает сквозную аутентификацию пользователей по технологии единого входа (SSO) при работе через веб-браузер
  • является де-факто стандартом информационного обмена в сфере науки
    и образования во всем мире
Компонент SAML – IdP, Identity provider (провайдер идентификации):
  • производит аутентификацию пользователей и обеспечивает передачу информации о пользователях в виде атрибутов (например, e-mail)
  • обеспечивает связь с имеющимися системами аутентификации и системами хранения учетных данных пользователей
  • обеспечивает передачу информации о способе аутентификации пользователя (по логин-паролю, по электронному ключу и т.д.)
Компонент SAML – SP, Service provider (сервис-провайдер):
  • обеспечивает взаимодействие по протоколу SAML и защиту веб-ресурса
  • инициирует запрос на аутентификацию и на получение атрибутов пользователя
  • обрабатывает входящие сообщения об аутентификации и атрибутах
  • передает информацию о пользователе веб-ресурсу (например, для личных кабинетов пользователей)
Взаимодействие узлов Удостоверяющей федерации:
  • для взаимодействия по SAML SP и IdP должны предварительно предоставить Оператору федерации сертификаты, а также всю необходимую дополнительную информацию для включения как участника в федерацию (сертификаты необходимы для подтверждения подлинности SAML-сообщений)
  • в целях централизации управления организации (SP и IdP) объединяются в Удостоверяющую федерацию, публикуя в общем реестре метаданные, требующиеся для SAML-обмена (отсутствует необходимость предварительного обмена между узлами по принципу «каждый с каждым»)
  • Удостоверяющие федерации формируются, как правило, по национальному принципу
  • у каждой Удостоверяющей федерации должен быть Оператор федерации – организация, ответственная за прием/исключение участников и поддержку инфраструктуры AAI
  • для предоставления доступа к широкому спектру мировых научно-образовательных ресурсов национальные удостоверяющие федерации объединяются в интерфедерацию
Общая схема обмена по протоколу SAML:

0. При вступлении в Удостоверяющую федерацию участник передает Оператору федерации свои метаданные, которые Оператор вносит в центральный реестр; службы центрального реестра Оператора добавляют участника в сервис “WAYF” (Where Are You From, “Вы откуда?”)

1. Пользователь заходит на ресурс-участник федерации/интерфедерации и активирует  средства аутентификации (данный ресурс является сервис-провайдером, SP)

2. Сервис-провайдер вызывает службу WAYF

3. Пользователь выбирает в интерфейсе службы WAYF свою домашнюю организацию

4. WAYF перенаправляет запрос к выбранной пользователем домашней организации (IdP)

5. IdP запрашивает у пользователя данные для аутентификации и сличает их с записью в хранилище учетных записей пользователей

6. В случае успешной аутентификации IdP обменивается с SP SAML-утверждениями об аутентификации, факте аутентификации (успешно или нет) и атрибутах пользователя в случае успешной аутентификации