SAML

SAML 2.0 (Security Assertion Markup Language) — Internetda autentifikatsiya va avtorizatsiya qilingan ma’lumotlarini almashish imkonini beruvchi xavfsizlik standarti. Uning yordamida foydalanuvchilar har safar o‘z login va parollarini kiritmasdan yagona hisob orqali bir nechta ilovalarga kirish imkoniyatiga ega bo‘ladilar. Bu SSO (Single Sign-On) — yagona kirish tizimi deb ataladi.

SAML SSO foydalanishlarni boshqarish tizimlarini (Active Directory, Azure Active Directory, Keycloak, Avanpost FAM) veb-ilovalar va xizmatlar bilan birlashtirish uchun ishlatiladi.

SAML 2.0 asosida SSO qanday ishlaydi

• Foydalanuvchilarning login va parollari haqidagi barcha ma’lumotlar ishonchli identifikatsiya provayderida (Identity Provider, IdP) saqlanadi. IdP vazifasini istalgan foydalanishni boshqarish tizimi bajarishi mumkin, masalan, Active Directory, Azure Active Directory, Keycloak, Avanpost FAM.

• Jarayonning ikkinchi tomoni — xizmat ko‘rsatuvchi provayder (Service Provider, SP), masalan, biznes uchun Yandex 360. Avtorizatsiya paytida Xizmat provayderi foydalanuvchini sertifikat provayderi serverida autentifikatsiya qilish uchun yuboradi.

• SP IdP bilan bevosita aloqa qilmaydi, bu foydalanuvchi brauzeri orqali amalga oshiriladi.

Bunday yondashuv guvohnomalar federatsiyasi deb ataladi.

Foydalanuvchi ma’lumotlarini (loginlar, autentifikatsiya holati, identifikatorlar va boshqa ma’lumotlar) foydalanishni boshqarish tizimi va xizmat provayderi o‘rtasida almashish quyidagicha amalga oshiriladi:

1. Foydalanuvchi brauzerni ochadi va xizmat ko‘rsatuvchi (Service Provider) ilovasiga kiradi.

2. Ilova SAML so‘rovi bilan javob beradi, u brauzer tomonidan IDPga yo‘naltiriladi.

3. IdP serveri SAML so‘rovini qayta ishlaydi va foydalanuvchiga autentifikatsiyadan o‘tishni, masalan, login va parolni kiritishni taklif qiladi. Agar foydalanuvchi allaqachon autentifikatsiya qilingan bo‘lsa, bu va keyingi qadamlar o‘tkazib yuboriladi.

4. Foydalanuvchi IdP serveriga autentifikatsiya uchun zarur bo‘lgan ma’lumotlarni kiritadi.

5. Muvaffaqiyatli autentifikatsiya qilinganda, ruxsatlarni boshqarish tizimi SAML javobini yaratadi va uni foydalanuvchi brauzeri orqali xizmat ko‘rsatuvchi ilovasiga tekshirish uchun yuboradi.

6. Agar tekshiruv muvaffaqiyatli o‘tgan bo‘lsa, veb-ilova foydalanuvchiga ruxsat beradi.