Varonis debuts trailblazing features for securing Salesforce. Learn More

Apresentamos a automação de privilégios mínimos para Microsoft 365, Google Drive e Box

Saiba Mais
Blog Segurança de Dados

O que é o SAML e como ele funciona?

O SAML (Security Assertion Markup Language) é um padrão aberto que permite que provedores de identidade (IdP) passem credenciais de autorização para provedores de serviços (SP). Neste artigo, explicaremos o que é o SAML, para que serve e como funciona.
Michael Buckbee
4 minuto de leitura
Ultima atualização 4 de Março de 2022

Conteúdo

    O SAML (Security Assertion Markup Language) é um padrão aberto que permite que provedores de identidade (IdP) passem credenciais de autorização para provedores de serviços (SP). Isso significa que você pode usar um conjunto de credenciais para entrar em diferentes sites. É muito mais simples gerenciar um login por usuário do que gerenciar logins separados para e-mail, software de gerenciamento de relacionamento com o cliente (CRM), Active Directory, etc.

    As transações SAML usam XML (Extensible Markup Language) para comunicações padronizadas entre o provedor de identidade e os provedores de serviços. O SAML é o vínculo entre a autenticação da identidade de um usuário e a autorização para usar um serviço.

    Receba gratuitamente o e-book Pentesting
    Active Directory Environments

    O Consórcio OASIS aprovou o SAML 2.0 em 2005. O padrão evoluiu tanto desde a versão 1.1 que as versões são incompatíveis. A adoção do SAML permite que os departamentos de TI usem soluções de software como serviço (SaaS) enquanto mantêm um sistema seguro de gerenciamento de identidades federadas.

    O SAML permite logon único (SSO), o que significa que os usuários podem fazer login uma vez e reutilizar essas mesmas credenciais para fazer login em outros provedores de serviços.

    Para que serve o SAML?

    O SAML simplifica os processos federados de autenticação e autorização para usuários, provedores de identidade e provedores de serviços. O SAML oferece uma solução para permitir que seu provedor de identidade e provedores de serviços existam independentemente um do outro, o que centraliza o gerenciamento de usuários e permite acesso a soluções SaaS.

    O SAML implementa um método seguro de transferência de autenticações e autorizações de usuário entre o provedor de identidade e os provedores de serviços. Quando um usuário faz login em um aplicativo que usa SAML, o provedor de serviços solicita autorização do provedor de identidade apropriado. O provedor de identidade autentica as credenciais do usuário e, em seguida, retorna a autorização do usuário para o provedor de serviços. O usuário pode, então, usar o aplicativo.

    A autenticação SAML é o processo de verificação da identidade e das credenciais do usuário (senha, autenticação de dois fatores, etc.). A autorização SAML informa ao provedor de serviços qual acesso conceder ao usuário autenticado.

    O que é um provedor SAML?

    Dois tipos de provedores SAML
    Um provedor SAML é um sistema que ajuda o usuário a acessar o serviço de que ele precisa. Existem dois tipos principais de provedores SAML: provedor de serviços e provedor de identidade.

    Um provedor de serviços precisa da autenticação do provedor de identidade para conceder autorização ao usuário.

    Um provedor de identidade executa a autenticação para verificar se o usuário final é quem ele afirma ser e envia esses dados ao provedor de serviços junto com os direitos de acesso do usuário a esse serviço.

    Microsoft Active Directory ou Azure são provedores de identidade conhecidos. O Salesforce e outras soluções de CRM geralmente são provedores de serviços, pois dependem de um provedor de identidade para autenticação do usuário.

    O que é uma asserção SAML?

    Uma asserção SAML é o documento XML que contém a autorização do usuário e que o provedor de identidade envia ao provedor de serviços. Existem três tipos diferentes de asserções SAML: autenticação, atributo e decisão de autorização.

    • As asserções de autenticação comprovam a identificação do usuário e indicam o tempo de login e o método de autenticação usado (Kerberos, dois fatores, etc.).
    • A asserção de atribuição passa os atributos SAML para o provedor de serviços. Os atributos SAML são elementos de dados específicos que fornecem informações sobre o usuário.
    • A asserção de decisão de autorização indica se o usuário está autorizado a usar o serviço ou se o provedor de identidade negou sua solicitação devido a falha de senha ou falta de direitos ao serviço.

    Como o SAML funciona?

    O SAML funciona passando informações sobre usuários, logins e atributos entre o provedor de identidade e provedores de serviços. Cada usuário faz login uma vez por meio do SSO com o provedor de identidade que passa os atributos SAML para o provedor de serviços quando o usuário tenta acessar esses serviços. O provedor de serviços solicita que o provedor de identidade forneça autorização e autenticação. Como esses dois sistemas falam a mesma linguagem (SAML), o usuário só precisa fazer login uma vez.

    Cada provedor de identidade e provedor de serviços deve aceitar a configuração para SAML. Para que a autenticação SAML funcione, ambos precisam ter a configuração exata.

    Etapas de exemplo de SAML

    Exemplo de SAML

    1. Frodo (o usuário) faz login no SSO pela manhã.
    2. Ele então tenta abrir a página da web em seu software de CRM.
    3. O CRM (o provedor de serviços) verifica as credenciais do Frodo com o provedor de identidade.
    4. O provedor de identidade envia mensagens de autorização e autenticação de volta ao provedor de serviços, que autoriza o Frodo a fazer login no CRM.
    5. O Frodo pode usar o software CRM e fazer seu trabalho.
      “Preciso de 8 voluntários para um projeto difícil…”

    SAML x OAuth

    O OAuth é um padrão um pouco mais recente que foi desenvolvido em conjunto pelo Google e pelo Twitter para simplificar logins na internet. O OAuth usa uma metodologia semelhante ao SAML para compartilhar informações de login. O SAML fornece mais controle às empresas para proteger melhor seus logins SSO, enquanto o OAuth, que usa JSON, tem melhor desempenho em dispositivos móveis.

    O Facebook e o Google são dois provedores OAuth que você pode usar para fazer login em outros sites da internet.

    Tutoriais sobre o SAML

    Aqui estão alguns recursos para entender melhor como implementar o SAML:

    O SAML e o SSO desempenham um papel importante em qualquer estratégia de cibersegurança empresarial. As práticas recomendadas de gerenciamento de identidade exigem que as contas de usuário tenham acesso apenas aos recursos de que o usuário precisa para realizar seu trabalho e que sejam controladas e gerenciadas de maneira central. Ao usar uma solução de SSO, você pode desativar contas de um sistema e remover o acesso a todos os recursos disponíveis de uma só vez, protegendo assim seus dados de roubo.

    A Varonis protege seus principais serviços do Active Directory, o que ajuda a proteger seus sistemas SSO e SAML. A Varonis detecta ataques direcionados ao seu sistema AD muito antes que os invasores possam acessar os recursos de SSO. Faça uma demonstração individual para ver como a Varonis protege o Active Directory e seus repositórios de dados mais importantes contra ataques cibernéticos e ameaças internas.

    What you should do now

    Below are three ways we can help you begin your journey to reducing data risk at your company:

    1. Schedule a demo session with us, where we can show you around, answer your questions, and help you see if Varonis is right for you.
    2. Download our free report and learn the risks associated with SaaS data exposure.
    3. Share this blog post with someone you know who'd enjoy reading it. Share it with them via email, LinkedIn, Reddit, or Facebook.
    Michael Buckbee
    Michael Buckbee

    Michael trabalhou como administrador de sistemas e desenvolvedor de software em startups no Vale do Silício, na Marinha dos Estados Unidos e em todos vários setores nesse meio.

    Try Varonis free.
    Get a detailed data risk report based on your company’s data.
    Deploys in minutes.
    Get started View sample
    Keep reading
    por-trás-do-rebranding-da-varonis
    Por trás do rebranding da Varonis
    por-trás-do-rebranding-da-varonis
    Courtney Bernard
    20 de Fevereiro de 2024
    Descubra a estratégia por trás do rebranding da Varonis, que envolveu uma transição completa para um arquétipo de herói e a introdução do Protector 22814.
    o-que-é-uma-avaliação-de-risco-de-dados-e-por-que-você-deve-fazer
    O que é uma avaliação de risco de dados e por que você deve fazer
    o-que-é-uma-avaliação-de-risco-de-dados-e-por-que-você-deve-fazer
    Lexi Croisdale
    12 de Janeiro de 2024
    A avaliação de risco dados é essencial para saber onde os dados estão armazenados, quem os utiliza e se estão em segurança 
    ameaças-internas:-3-maneiras-pelas-quais-a-varonis-ajuda-você
    Ameaças internas: 3 maneiras pelas quais a Varonis ajuda você
    ameaças-internas:-3-maneiras-pelas-quais-a-varonis-ajuda-você
    Shane Waterford
    19 de Dezembro de 2023
    Ameaças internas são difíceis de combater por que os insiders podem navegar em dados confidenciais sem serem detectados 
    guia-de-migração-de-dados:-sucesso-estratégico-e-práticas-recomendadas
    Guia de migração de dados: sucesso estratégico e práticas recomendadas
    guia-de-migração-de-dados:-sucesso-estratégico-e-práticas-recomendadas
    Michael Buckbee
    15 de Dezembro de 2023
    A migração de dados precisa de um projeto robusto para evitar o impacto nos negócios e com o orçamento