"use strict"; const {Fragment: _Fragment, jsx: _jsx, jsxs: _jsxs} = arguments[0]; const {useMDXComponents: _provideComponents} = arguments[0]; const headings = [{ "data": { "id": "johdanto", "hProperties": { "id": "johdanto" } }, "depth": 2, "value": "Johdanto" }, { "data": { "id": "vakiomuotoinen-saml-todennusvirta", "hProperties": { "id": "vakiomuotoinen-saml-todennusvirta" } }, "depth": 2, "value": "Vakiomuotoinen SAML-todennusvirta" }, { "data": { "id": "saml-tietoturvatekijät", "hProperties": { "id": "saml-tietoturvatekijät" } }, "depth": 2, "value": "SAML-tietoturvatekijät" }, { "data": { "id": "sp-entiteetin-tunnus", "hProperties": { "id": "sp-entiteetin-tunnus" } }, "depth": 3, "value": "SP-entiteetin tunnus" }, { "data": { "id": "idpn-entiteetin-tunnus", "hProperties": { "id": "idpn-entiteetin-tunnus" } }, "depth": 3, "value": "IdP:n entiteetin tunnus" }, { "data": { "id": "kulkutila", "hProperties": { "id": "kulkutila" } }, "depth": 3, "value": "Kulkutila" }, { "data": { "id": "väittämän-allekirjoitus", "hProperties": { "id": "väittämän-allekirjoitus" } }, "depth": 3, "value": "Väittämän allekirjoitus" }, { "data": { "id": "väittämän-salaus", "hProperties": { "id": "väittämän-salaus" } }, "depth": 3, "value": "Väittämän salaus" }, { "data": { "id": "sidontamenetelmät", "hProperties": { "id": "sidontamenetelmät" } }, "depth": 3, "value": "Sidontamenetelmät" }, { "data": { "id": "tietoturvaelementit-ja--näkökohdat-saml-väittämissä", "hProperties": { "id": "tietoturvaelementit-ja--näkökohdat-saml-väittämissä" } }, "depth": 2, "value": "Tietoturvaelementit ja -näkökohdat SAML-väittämissä" }, { "data": { "id": "antaja", "hProperties": { "id": "antaja" } }, "depth": 3, "value": "Antaja" }, { "data": { "id": "allekirjoitus", "hProperties": { "id": "allekirjoitus" } }, "depth": 3, "value": "Allekirjoitus" }, { "data": { "id": "ehdot", "hProperties": { "id": "ehdot" } }, "depth": 3, "value": "Ehdot" }, { "data": { "id": "todennusväittämä", "hProperties": { "id": "todennusväittämä" } }, "depth": 3, "value": "Todennusväittämä" }, { "data": { "id": "parhaat-käytännöt-saml-tietoturvalle", "hProperties": { "id": "parhaat-käytännöt-saml-tietoturvalle" } }, "depth": 2, "value": "Parhaat käytännöt SAML-tietoturvalle" }, { "data": { "id": "vaihtoehtoja-samllle", "hProperties": { "id": "vaihtoehtoja-samllle" } }, "depth": 2, "value": "Vaihtoehtoja SAML:lle" }]; const readingTime = { "minutes": 6, "words": 1905, "text": "6 min read" }; const frontmatter = undefined; function _createMdxContent(props) { const _components = { a: "a", code: "code", h2: "h2", h3: "h3", li: "li", ol: "ol", p: "p", pre: "pre", span: "span", strong: "strong", ul: "ul", ..._provideComponents(), ...props.components }, {LogtoCloudButton} = _components; if (!LogtoCloudButton) _missingMdxReference("LogtoCloudButton", true); return _jsxs(_Fragment, { children: [_jsxs(_components.h2, { id: "johdanto", children: ["Johdanto", _jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#johdanto", children: _jsx(_components.span, { children: "#" }) })] }), "\n", _jsx(_components.p, { children: "Security Assertion Markup Language (SAML) on avoin standardi todennus- ja valtuutustietojen vaihtoon osapuolten välillä, erityisesti identiteetintarjoajan ja palveluntarjoajan välillä. SAML on XML-pohjainen merkkauskieli turvaväittämille, jota käytetään kertakirjautumiseen (SSO) ja identiteetin federaatioon. Sitä käytetään yleisesti yritysympäristöissä todennus- ja valtuutustarkoituksiin." }), "\n", _jsxs(_components.h2, { id: "vakiomuotoinen-saml-todennusvirta", children: ["Vakiomuotoinen SAML-todennusvirta", _jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#vakiomuotoinen-saml-todennusvirta", children: _jsx(_components.span, { children: "#" }) })] }), "\n", _jsx(_components.pre, { children: _jsx(_components.code, { className: "language-mermaid", children: " sequenceDiagram\n actor User\n participant SP as Service Provider\n participant IdP as Identity Provider\n\n User->>SP: 1.Käyttöpyyntö\n SP->>IdP: 2.Uudelleenohjaa IdP:hen SAML-todennuspyynnöllä\n IdP->>User: 3.Kehota antamaan tunnukset\n User->>IdP: 4.Syötä tunnukset\n IdP->>SP: 5.Lähetä SAML-vastausväittämä ja uudelleenohjaa SP:hen\n SP->>User: 6.Pääsy myönnetty\n" }) }), "\n", _jsxs(_components.ol, { children: ["\n", _jsx(_components.li, { children: "Käyttäjä pyytää pääsyä asiakassovellukseen, joka toimii palveluntarjoajana (SP)." }), "\n", _jsx(_components.li, { children: "SP lähettää SAML SSO -todennuspyynnön identiteetintarjoajalle (IdP) ja uudelleenohjaa käyttäjän IdP:hen." }), "\n", _jsx(_components.li, { children: "IdP kehottamaan käyttäjää antamaan tunnukset, jos käyttäjä ei ole jo todennettu." }), "\n", _jsx(_components.li, { children: "Käyttäjä syöttää tunnukset, ja IdP todentaa käyttäjän." }), "\n", _jsx(_components.li, { children: "IdP lähettää SAML-vastausväittämän SP:lle, joka sisältää käyttäjän todennustilan ja attribuutit. IdP uudelleenohjaa sitten käyttäjän takaisin SP:lle." }), "\n", _jsx(_components.li, { children: "SP vastaanottaa SAML-vastausväittämän, validoi sen ja myöntää pääsyn käyttäjälle." }), "\n"] }), "\n", _jsxs(_components.h2, { id: "saml-tietoturvatekijät", children: ["SAML-tietoturvatekijät", _jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#saml-tietoturvatekijät", children: _jsx(_components.span, { children: "#" }) })] }), "\n", _jsxs(_components.h3, { id: "sp-entiteetin-tunnus", children: ["SP-entiteetin tunnus", _jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#sp-entiteetin-tunnus", children: _jsx(_components.span, { children: "#" }) })] }), "\n", _jsx(_components.p, { children: "Ajattele SP:n entiteetin tunnusta uniikkina merkintänä SP:lle SAML-todennuskontekstissa. Se on kuin sormenjälki, joka auttaa IdP:tä tunnistamaan SP:n niiden vuorovaikutuksen aikana. Tämä tunnus on osa SP:n metatietoja, ja se jaetaan IdP:n kanssa luottamuksen rakentamiseksi ja turvallisen viestinnän varmistamiseksi." }), "\n", _jsx(_components.p, { children: "SP:n entiteetin tunnuksen käyttö:" }), "\n", _jsxs(_components.ol, { children: ["\n", _jsxs(_components.li, { children: [_jsx(_components.strong, { children: "Metatietojen rekisteröinti" }), ": ", _jsx(_components.code, { children: "EntityID" }), "-attribuutti on osa SP:n metatietoja, ja se jaetaan IdP:n kanssa luottamussuhteen luomiseksi. Se toimii uniikkina tunnisteena SP:n metatietojen löytämiseksi ja tarvittavien konfigurointitietojen saamiseksi SAML-vuorovaikutukseen."] }), "\n", _jsxs(_components.li, { children: [_jsx(_components.strong, { children: "Todennuspyyntö" }), ": SP:n entiteetin tunnus sisällytetään SAML-todennuspyyntöön, joka lähetetään IdP:lle, selkeästi tunnistamaan pyytävän SP:n. IdP käyttää tätä tietoa pyynnön validointiin ja määrittää sopivan todennuskontekstin."] }), "\n", _jsxs(_components.li, { children: [_jsx(_components.strong, { children: "Väittämäkohde" }), ": Onnistuneen käyttäjän todennuksen jälkeen SP:n entiteetin tunnus sisällytetään SAML-väittämään kohderajoituksena. Tämä toimenpide varmistaa, että väittämä on tarkoitettu yksinomaan nimetylle SP:lle eikä sitä voida väärinkäyttää muiden SP:n toimesta."] }), "\n"] }), "\n", _jsx(_components.pre, { children: _jsx(_components.code, { className: "language-mermaid", children: " sequenceDiagram\n participant SP as Service Provider\n participant IdP as Identity Provider\n\n SP-->>IdP: Metatietojen rekisteröinti\n SP->>IdP: Todennuspyyntö SP:n entiteetin tunnuksella\n SP-->>SP: Tunnista SP:n entiteetti\n IdP->>SP: SAML-vastausväittämä SP:n entiteetin tunnuksella kohteena\n IdP-->>IdP: Väittämäkohteen validointi\n\n" }) }), "\n", _jsxs(_components.h3, { id: "idpn-entiteetin-tunnus", children: ["IdP:n entiteetin tunnus", _jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#idpn-entiteetin-tunnus", children: _jsx(_components.span, { children: "#" }) })] }), "\n", _jsx(_components.p, { children: "Toisaalta, IdP:n entiteetin tunnus on erityinen nimike IdP:lle. Se auttaa tunnistamaan IdP:n SAML-ekosysteemissä, tehden SP:lle helpon sen löytymisen. Tämä tunnus sisällytetään IdP:n metatietoihin ja jaetaan SP:n kanssa, edistäen luottamuksellista suhdetta ja turvallisia yhteyksiä." }), "\n", _jsx(_components.p, { children: "IdP:n entiteetin tunnuksen käyttö:" }), "\n", _jsxs(_components.ol, { children: ["\n", _jsxs(_components.li, { children: [_jsx(_components.strong, { children: "Metatietojen rekisteröinti" }), ": ", _jsx(_components.code, { children: "EntityID" }), "-attribuutti sisältyy myös IdP:n metatietoihin, ja se jaetaan SP:n kanssa luottamussuhteen luomiseksi. Se toimii uniikkina tunnisteena IdP:n metatietojen löytämiseksi ja tarvittavien konfigurointitietojen saamiseksi SP:n SAML-vastausten validointiin."] }), "\n", _jsxs(_components.li, { children: [_jsx(_components.strong, { children: "Väittämän antaja" }), ": Kun IdP generoi SAML-väittämän, se sisällyttää entiteetin tunnuksensa antajana. Tämä attribuutti osoittaa entiteetin, joka on antanut väittämän, ja auttaa SP:tä tarkistamaan väittämän aitouden ja eheyden."] }), "\n"] }), "\n", _jsx(_components.pre, { children: _jsx(_components.code, { className: "language-mermaid", children: " sequenceDiagram\n participant SP as Service Provider\n participant IdP as Identity Provider\n\n IdP-->>SP: Metatietojen rekisteröinti\n IdP->>SP: SAML-vastausväittämä IdP:n entiteetin tunnuksella antajana\n SP-->>SP: Väittämän antajan validointi\n\n" }) }), "\n", _jsxs(_components.h3, { id: "kulkutila", children: ["Kulkutila", _jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#kulkutila", children: _jsx(_components.span, { children: "#" }) })] }), "\n", _jsx(_components.p, { children: "Kulkutila on SAML-todennuksessa käytettävä parametri, joka helpottaa tilatiedon siirtoa SP:n ja IdP:n välillä. Se toimii sillana SP-aloitteisen ja IdP-aloitteisen SSO-virran välillä, säilyttäen käyttäjän kontekstin ja istuntotilan todennusprosessin aikana." }), "\n", _jsx(_components.p, { children: "Kulkutilan käyttö:" }), "\n", _jsxs(_components.ol, { children: ["\n", _jsxs(_components.li, { children: [_jsx(_components.strong, { children: "Käyttäjäkontekstin ylläpito" }), ": Kulkutila mahdollistaa SP:n välittää lisätietoa IdP:lle todennusprosessin aikana. Tieto voi sisältää käyttäjän istuntotilan, sovelluskontekstin tai minkä tahansa muun relevantin tiedon, joka on säilytettävä SAML-virran aikana. Kuten sovelluksen URL-osoite tai istunnon tunniste, jota käyttäjä oli käyttämässä ennen todennusta."] }), "\n", _jsxs(_components.li, { children: [_jsx(_components.strong, { children: "CSRF-hyökkäysten estäminen" }), ": Kulkutila on ratkaiseva CSRF-hyökkäysten estämiseksi SAML-todennuksen aikana. Sisällyttämällä uniikki ja ennakoimaton kulkutila-arvo todennuspyyntöön, SP voi varmista SAML-vastauksen eheyden ja varmistaa, että se vastaa alkuperäistä pyyntöä."] }), "\n"] }), "\n", _jsx(_components.pre, { children: _jsx(_components.code, { className: "language-mermaid", children: " sequenceDiagram\n participant SP as Service Provider\n participant IdP as Identity Provider\n\n SP-->>SP: Generoi ja säilytä kulkutila\n SP->>IdP: Todennuspyyntö kulkutilan kanssa\n IdP->>SP: SAML-vastausväittämä kulkutilan kanssa\n SP-->>SP: Vahvista kulkutila ja palauta käyttäjäkonteksti\n\n" }) }), "\n", _jsxs(_components.h3, { id: "väittämän-allekirjoitus", children: ["Väittämän allekirjoitus", _jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#väittämän-allekirjoitus", children: _jsx(_components.span, { children: "#" }) })] }), "\n", _jsx(_components.p, { children: "Väittämän allekirjoitus on kriittinen turvallisuusominaisuus SAML:ssä, joka varmistaa SAML-väittämien eheyden, aitouden ja kiistämättömyyden. Siihen liittyy SAML-väittämän digitaalinen allekirjoittaminen IdP:n yksityisavaimella, mikä mahdollistaa SP:n tarkistaa väittämän alkuperän ja havaita mahdolliset peukalointiyritykset." }), "\n", _jsx(_components.p, { children: "Miten väittämän allekirjoitus toimii:" }), "\n", _jsxs(_components.ol, { children: ["\n", _jsxs(_components.li, { children: [_jsx(_components.strong, { children: "Avaimien generointi" }), ": IdP generoi julkinen-yksityinen avainparin, jossa yksityisavainta käytetään SAML-väittämän allekirjoittamiseen ja julkinen avain jaetaan SP:n kanssa vahvistuksia varten. Tämä epäsymmetrinen salausjärjestelmä varmistaa, että vain IdP voi allekirjoittaa väittämän, kun taas SP voi vahvistaa sen."] }), "\n", _jsxs(_components.li, { children: [_jsx(_components.strong, { children: "Jaettu sertifikaatti" }), ": IdP tarjoaa SP:lle julkisen avainsertifikaattinsa, joka sisältää julkisen avaimen, joka käytetään väittämän allekirjoituksen vahvistamiseen. Normaalisti tämä sertifikaatti on osa IdP:n metatietoja, tai SP voi saada sen turvallisen latausprosessin kautta."] }), "\n", _jsxs(_components.li, { children: [_jsx(_components.strong, { children: "Väittämän allekirjoittaminen" }), ": Käyttäjän todennuksen jälkeen IdP allekirjoittaa digitaalisen SAML-väittämän yksityisavaimellaan. Tämä allekirjoitus sisältyy väittämään yhdessä julkisen avainsertifikaatin kanssa, mikä mahdollistaa SP:n varmistaa väittämän aitouden."] }), "\n", _jsxs(_components.li, { children: [_jsx(_components.strong, { children: "Väittämän vahvistus" }), ": Kun SP vastaanottaa SAML-väittämän, se käyttää IdP:n julkista avainta väittämän allekirjoituksen vahvistamiseen. Jos allekirjoitus on validi, SP voi luottaa väittämään ja myöntää pääsyn käyttäjälle."] }), "\n"] }), "\n", _jsx(_components.pre, { children: _jsx(_components.code, { className: "language-mermaid", children: " sequenceDiagram\n participant SP as Service Provider\n participant IdP as Identity Provider\n\n IdP-->>IdP: Generoi julkinen-yksityinen avainpari\n IdP-->>SP: Jaa julkinen avainsertifikaatti\n SP->>IdP: Todennuspyyntö\n IdP->>SP: Allekirjoita SAML-väittämä yksityisavaimella\n SP-->>SP: Vahvista väittämän allekirjoitus julkisella avaimella\n" }) }), "\n", _jsxs(_components.h3, { id: "väittämän-salaus", children: ["Väittämän salaus", _jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#väittämän-salaus", children: _jsx(_components.span, { children: "#" }) })] }), "\n", _jsx(_components.p, { children: "Allekirjoittamisen lisäksi SAML tukee myös väittämän salausta suojatakseen herkkiä käyttäjäattribuutteja ja tietoja, joita siirretään IdP:n ja SP:n välillä. Salaamalla väittämän IdP varmistaa, että vain tarkoitetulla vastaanottajalla (SP) on mahdollisuus purkaa salaus ja päästä väittämän ydintietoihin, mikä takaa käyttäjän yksityisyyden ja luottamuksellisuuden. Väittämän salaus on valinnainen tietoturvaominaisuus SAML:ssä, jota voidaan käyttää vahvistamaan tietosuojaa." }), "\n", _jsx(_components.p, { children: "Väittämän salauksen käyttö:" }), "\n", _jsxs(_components.ol, { children: ["\n", _jsxs(_components.li, { children: [_jsx(_components.strong, { children: "Herkkien attribuuttien suojaus" }), ": Väittämän salaus on erityisen hyödyllistä turvaamaan herkkiä käyttäjäattribuutteja, kuten henkilökohtaisia tunnistetietoja (PII), rahoitustietoja tai terveystietoja. Salaamalla nämä attribuutit väittämässä IdP estää luvattoman pääsyn ja varmistaa tietojen luottamuksellisuuden."] }), "\n"] }), "\n", _jsx(_components.p, { children: "Miten väittämän salaus toimii:" }), "\n", _jsxs(_components.ol, { children: ["\n", _jsxs(_components.li, { children: [_jsx(_components.strong, { children: "Avainten vaihto" }), ": IdP ja SP perustavat turvallisen avaintenvaihtomekanismin salaamiseen tarkoitettujen avainten jakamiseen SAML-väittämän suojaamiseksi. Tämä voi sisältää joko symmetristen salaustekniikoiden tai julkisen avaimen salausjärjestelmien käyttämisen, riippuen salausalgoritmista ja avainten hallintastrategiasta."] }), "\n", _jsxs(_components.li, { children: [_jsx(_components.strong, { children: "Attribuuttien salaus" }), ": SAML-väittämän luomisen jälkeen IdP salaa herkät käyttäjäattribuutit jaetulla salausavaimella. Salatut attribuutit upotetaan väittämään, mikä takaa, että vain SP voi purkaa ja päästä käsiksi tietoihin."] }), "\n", _jsxs(_components.li, { children: [_jsx(_components.strong, { children: "Väittämän purkaus" }), ": Kun SP vastaanottaa salatun väittämän, se purkaa suojatut attribuutit jaetulla salausavaimella. Tämä prosessi mahdollistaa SP:n päästä turvallisesti käsiksi käyttäjän herkkiin tietoihin ja käsitellä ne tarpeen mukaan."] }), "\n"] }), "\n", _jsx(_components.pre, { children: _jsx(_components.code, { className: "language-mermaid", children: " sequenceDiagram\n participant SP as Service Provider\n participant IdP as Identity Provider\n\n IdP-->>IdP: Generoi salausavain\n IdP-->>SP: Jaa salausavain\n IdP->>SP: Salaa herkät attribuutit SAML-väittämässä\n SP-->>SP: Poista salaus salatuista attribuuteista\n" }) }), "\n", _jsxs(_components.h3, { id: "sidontamenetelmät", children: ["Sidontamenetelmät", _jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#sidontamenetelmät", children: _jsx(_components.span, { children: "#" }) })] }), "\n", _jsx(_components.p, { children: "SAML:n sidontamenetelmät määrittävät, kuinka SAML-viestit lähetetään SP:n ja IdP:n välillä eri viestintäprotokollien kautta. Ne määrittelevät käytettävät koodaus-, välitys- ja tietoturvamekanismit SAML-väittämien ja -pyyntöjen vaihtamiseksi, mikä varmistaa turvallisen ja luotettavan viestinnän osapuolten välillä." }), "\n", _jsx(_components.p, { children: "Sekä SP että IdP ilmoittavat, mitkä sidontamenetelmät ne tukevat metatiedoissaan, jolloin ne voivat neuvotella sopivasta menetelmästä SAML-vuorovaikutukseen. Sidontamenetelmän valinta riippuu tekijöistä, kuten viestin koosta, tietoturvavaatimuksista ja viestintäkanavan ominaisuuksista." }), "\n", _jsx(_components.p, { children: "SAML-sidontamenetelmät:" }), "\n", _jsxs(_components.ol, { children: ["\n", _jsxs(_components.li, { children: [_jsx(_components.strong, { children: "HTTP-Uudelleenohjaus" }), ": SAML-viestit koodataan URL-parametreiksi ja välitetään HTTP-uudelleenohjauksen kautta. Tämä sidonta sopii tilanteisiin, joissa viestin koko on rajallinen ja viestintäkanava ei ole turvallinen."] }), "\n", _jsxs(_components.li, { children: [_jsx(_components.strong, { children: "HTTP-POST" }), ": SAML-viestit koodataan lomakeparametreiksi ja välitetään HTTP POST -pyyntöjen kautta. Tämä sidonta käytetään, kun viestin koko ylittää URL-pituusrajan tai kun tarvitaan lisäturvatoimenpiteitä."] }), "\n", _jsxs(_components.li, { children: [_jsx(_components.strong, { children: "Artefakti" }), ": SAML-viestit välitetään lyhytikäisten tunnusten, niin kutsuttujen artefaktien, avulla, joita vaihdetaan turvallisen taustakanavan kautta SP:n ja IdP:n välillä. Tämä sidonta sopii tilanteisiin, joissa viestin luottamuksellisuus ja eheys ovat kriittisiä, ja viestintäkanava on turvallinen."] }), "\n"] }), "\n", _jsx(_components.p, { children: "Yleisimpiä sidontamenetelmiä:" }), "\n", _jsxs(_components.ul, { children: ["\n", _jsxs(_components.li, { children: [_jsx(_components.strong, { children: "Todennuspyyntö" }), ": Todennuspyyntö SP:ltä IdP:lle välitetään yleensä HTTP-uudelleenohjausta käyttäen sen yksinkertaisuuden ja tehokkuuden vuoksi. SP koodaa SAML-pyynnön URL-parametreiksi ja uudelleenohjaa käyttäjän selaimen IdP:lle todennusta varten. Tämä tunnetaan nimellä SP-aloitteinen SSO-virta."] }), "\n", _jsxs(_components.li, { children: [_jsx(_components.strong, { children: "Väittämävastaus" }), ": SAML-vastausväittämä IdP:ltä SP:lle välitetään tavallisesti HTTP POST -sidontamenetelmää käyttäen. IdP koodaa SAML-väittämän lomakeparametreiksi ja lähettää sen takaisin SP:lle validointia varten. Tämä varmistaa, että väittämä välitetään turvallisesti paljastamatta herkkiä tietoja URL:ssa. Lisäksi HTTP POST -sidonta voi käsitellä suurempia viestikokoja verrattuna HTTP-uudelleenohjaukseen."] }), "\n"] }), "\n", _jsx(_components.pre, { children: _jsx(_components.code, { className: "language-mermaid", children: " sequenceDiagram\n participant SP as Service Provider\n participant IdP as Identity Provider\n\n SP->>IdP: Todennuspyyntö (HTTP-uudelleenohjaus)\n IdP->>SP: Väittämävastaus (HTTP-POST)\n" }) }), "\n", _jsxs(_components.h2, { id: "tietoturvaelementit-ja--näkökohdat-saml-väittämissä", children: ["Tietoturvaelementit ja -näkökohdat SAML-väittämissä", _jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#tietoturvaelementit-ja--näkökohdat-saml-väittämissä", children: _jsx(_components.span, { children: "#" }) })] }), "\n", _jsxs(_components.h3, { id: "antaja", children: ["Antaja", _jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#antaja", children: _jsx(_components.span, { children: "#" }) })] }), "\n", _jsx(_components.p, { children: "Kuten jo mainittiin, antaja on avainominaisuus SAML-väittämissä, joka tunnistaa väittämän antaneen entiteetin. Antaja on tyypillisesti IdP, joka on todennut käyttäjän ja generoinut väittämän. Sisällyttämällä antaja-attribuutin väittämään SP voi tarkistaa väittämän alkuperän ja varmistaa, että se tulee luotetusta lähteestä." }), "\n", _jsx(_components.pre, { children: _jsx(_components.code, { className: "language-xml", children: " http://idp.example.com/metadata.php\n" }) }), "\n", _jsxs(_components.h3, { id: "allekirjoitus", children: ["Allekirjoitus", _jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#allekirjoitus", children: _jsx(_components.span, { children: "#" }) })] }), "\n", _jsx(_components.p, { children: "Allekirjoituselementti SAML-väittämässä sisältää IdP:n luoman digitaalisen allekirjoituksen, joka takaa väittämän eheyden ja aitouden. Allekirjoitus luodaan IdP:n yksityisavaimella ja sisällytetään väittämään yhdessä julkisen avainsertifikaatin kanssa SP:n vahvistettavaksi. Varmistamalla allekirjoituksen SP voi tarkistaa, että väittämää ei ole peukaloitu ja että se tulee odotetulta IdP:ltä." }), "\n", _jsx(_components.pre, { children: _jsx(_components.code, { className: "language-xml", children: "\n \n \n \n \n \n \n \n \n \n ...\n \n \n ...\n \n \n ...\n \n \n" }) }), "\n", _jsxs(_components.h3, { id: "ehdot", children: ["Ehdot", _jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#ehdot", children: _jsx(_components.span, { children: "#" }) })] }), "\n", _jsx(_components.p, { children: "Ehdoilla SAML-väittämässä määritellään rajoitukset ja ehdot, jotka koskevat väittämän pätevyyttä ja käyttöä. Ne sisältävät ehtoja, kuten väittämän voimassaoloajan, kohderajoitukset ja muut kontekstuaaliset rajoitukset, joita SP:n on noudatettava väittämän käsittelyssä." }), "\n", _jsx(_components.pre, { children: _jsx(_components.code, { className: "language-xml", children: "\n \n https://sp.example.com\n \n\n" }) }), "\n", _jsxs(_components.h3, { id: "todennusväittämä", children: ["Todennusväittämä", _jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#todennusväittämä", children: _jsx(_components.span, { children: "#" }) })] }), "\n", _jsx(_components.p, { children: "Todennusväittämä (AuthnStatement) on SAML-väittämän keskeinen osa, joka tarjoaa tietoa käyttäjän todennustilasta ja kontekstista. Se sisältää tietoja, kuten käytetyn todennusmenetelmän, todennusajan ja asiaankuuluvan todennuskontekstitiedon, joka mahdollistaa SP:n tehdä tietoisia käyttöoikeuspäätöksiä käyttäjän todennustilan perusteella." }), "\n", _jsx(_components.p, { children: "Todennusväittämän ominaisuudet:" }), "\n", _jsxs(_components.ol, { children: ["\n", _jsxs(_components.li, { children: [_jsx(_components.strong, { children: "AuthenticationContext" }), ": Kuvaa käyttäjän todennusmenetelmän ja -kontekstin, kuten käyttäjätunnus-salasana, monitekijätodennus tai kertakirjautuminen. Tämä ominaisuus auttaa SP:tä arvioimaan todennusprosessin vahvuuden ja luotettavuuden sekä määrittämään sopivat käyttöoikeusvalvonnat."] }), "\n", _jsxs(_components.li, { children: [_jsx(_components.strong, { children: "AuthenticationInstant" }), ": Ilmaisee ajan, jolloin käyttäjä on todentanut IdP:n toimesta. Tämä aikaleima on ratkaiseva todennuksen tuoreuden varmentamiseksi ja toistohyökkäysten tai istunnon kaappauksen estämiseksi."] }), "\n", _jsxs(_components.li, { children: [_jsx(_components.strong, { children: "SessionNotOnOrAfter" }), ": Määrittää käyttäjän istunnon päättymisajan, jonka jälkeen käyttäjän on todennettava itsensä uudestaan pääsyn saamiseksi palveluun. Tämä ominaisuus auttaa enforcing session management policies ja suojaamasta valtuuttamattomalta pääsyltä."] }), "\n"] }), "\n", _jsx(_components.pre, { children: _jsx(_components.code, { className: "language-xml", children: "\n \n urn:oasis:names:tc:SAML:2.0:ac:classes:Password\n \n\n" }) }), "\n", _jsxs(_components.h2, { id: "parhaat-käytännöt-saml-tietoturvalle", children: ["Parhaat käytännöt SAML-tietoturvalle", _jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#parhaat-käytännöt-saml-tietoturvalle", children: _jsx(_components.span, { children: "#" }) })] }), "\n", _jsxs(_components.ol, { children: ["\n", _jsxs(_components.li, { children: [_jsx(_components.strong, { children: "Käytä turvallisia sidontamenetelmiä" }), ": Valitse sopivat SAML-sidontamenetelmät turvallisuusvaatimustesi ja viestintäkanavan ominaisuuksien perusteella. Käytä HTTP POST -menetelmää herkän datan siirtämiseen ja HTTP-uudelleenohjausta yksinkertaisiin pyyntöihin."] }), "\n", _jsxs(_components.li, { children: [_jsx(_components.strong, { children: "Vahvista väittämien allekirjoitukset" }), ": Vahvista SAML-väittämien digitaaliset allekirjoitukset niiden eheyden ja aitouden varmistamiseksi. Käytä IdP:n julkisen avainsertifikaattia allekirjoituksen validointiin ja peukaloinnin havaitsemiseen."] }), "\n", _jsxs(_components.li, { children: [_jsx(_components.strong, { children: "Pakota kohderajoitukset" }), ": Sisällytä kohderajoitukset SAML-väittämiin rajoittaaksesi niiden laajuuden tarkoitetulle SP:lle. Tämä estää väittämien toistohyökkäykset ja valtuuttamattoman pääsyn muilta palveluntarjoajilta."] }), "\n", _jsxs(_components.li, { children: [_jsx(_components.strong, { children: "Suojaa metatietojen vaihto" }), ": Suojaa SP:n ja IdP:n metatietojen vaihto metatietojen peukaloinnin ja vääristelyhyökkäysten estämiseksi. Käytä turvallisia kanavia ja mekanismeja metatietojen jakamiseen turvallisesti."] }), "\n", _jsxs(_components.li, { children: [_jsx(_components.strong, { children: "Toteuta turvallinen kulkutilan käsittely" }), ": Käytä uniikkeja ja ennakoimattomia kulkutilaarvoja CSRF-hyökkäysten estämiseksi SAML-todennuksen aikana. Vahvista kulkutilan eheys ja aitous."] }), "\n", _jsxs(_components.li, { children: [_jsx(_components.strong, { children: "Enforce session management" }), ": Määritä istunnon päättymispolitiikat ja valvo istuntojen aikakatkaisuja, jotta voidaan lieventää riskiä istunnon kaappauksesta ja valtuuttamattomasta pääsystä. Käytä istuntoon liittyviä atribuutteja SAML-väittämissä käyttäjäistuntojen hallinnoimiseen turvallisesti."] }), "\n", _jsxs(_components.li, { children: [_jsx(_components.strong, { children: "Salauserkkäät attribuutit" }), ": Tarvittaessa salattu käyttäjäattribuutit SAML-väittämissä käyttäjä yksityisyyden ja tietojen luottamuksellisuuden turvaamiseksi. Käytä turvallisia salaustekniikoita ja avainhallintakäytäntöjä herkän datan suojaamiseen."] }), "\n"] }), "\n", _jsxs(_components.h2, { id: "vaihtoehtoja-samllle", children: ["Vaihtoehtoja SAML:lle", _jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#vaihtoehtoja-samllle", children: _jsx(_components.span, { children: "#" }) })] }), "\n", _jsx(_components.p, { children: "Vaikka SAML on edelleen laajalti käytetty standardi SSO:lle ja identiteettifederaatiolle, tarjoten vankan joukon ominaisuuksia ja tietoturvamekanismeja, sen ikä saattaa muodostaa haasteita modernien sovellusten muuttuville tietoturva- ja käytettävyysvaatimuksille. Verrattuna nykyaikaisempaan OAuth 2.0 -pohjaiseen OpenID Connectiin (OIDC), SAML on usein monimutkaisempi ja puuttuu osasta parannetuista tietoturvaominaisuuksista, joita OIDC tarjoaa. Esimerkiksi OIDC:n moni turvallisuuspyyntö-autorisaatiokoodin grant-virta tarjoaa turvallisemman lähestymistavan kuin suhteellisen suoraviivainen SAML-väittämävaihto-virta. Organisaatioille, jotka haluavat omaksua modernimman ja joustavamman identiteettifederaation ratkaisun, OIDC saattaa olla elinkelpoinen vaihtoehto SAML:lle." }), "\n", _jsx(LogtoCloudButton, { children: " Kokeile Logtoa tänään " })] }); } function MDXContent(props = {}) { const {wrapper: MDXLayout} = { ..._provideComponents(), ...props.components }; return MDXLayout ? _jsx(MDXLayout, { ...props, children: _jsx(_createMdxContent, { ...props }) }) : _createMdxContent(props); } return { headings, readingTime, frontmatter, default: MDXContent }; function _missingMdxReference(id, component) { throw new Error("Expected " + (component ? "component" : "object") + " `" + id + "` to be defined: you likely forgot to import, pass, or provide it."); }