"use strict"; const {Fragment: _Fragment, jsx: _jsx, jsxs: _jsxs} = arguments[0]; const {useMDXComponents: _provideComponents} = arguments[0]; const headings = [{ "data": { "id": "wprowadzenie", "hProperties": { "id": "wprowadzenie" } }, "depth": 2, "value": "Wprowadzenie" }, { "data": { "id": "standardowy-przepływ-uwierzytelniania-saml", "hProperties": { "id": "standardowy-przepływ-uwierzytelniania-saml" } }, "depth": 2, "value": "Standardowy przepływ uwierzytelniania SAML" }, { "data": { "id": "czynniki-bezpieczeństwa-w-saml", "hProperties": { "id": "czynniki-bezpieczeństwa-w-saml" } }, "depth": 2, "value": "Czynniki bezpieczeństwa w SAML" }, { "data": { "id": "sp-entity-id", "hProperties": { "id": "sp-entity-id" } }, "depth": 3, "value": "SP entity ID" }, { "data": { "id": "idp-entity-id", "hProperties": { "id": "idp-entity-id" } }, "depth": 3, "value": "IdP entity ID" }, { "data": { "id": "stan-przekierowania", "hProperties": { "id": "stan-przekierowania" } }, "depth": 3, "value": "Stan przekierowania" }, { "data": { "id": "podpis-oświadczenia", "hProperties": { "id": "podpis-oświadczenia" } }, "depth": 3, "value": "Podpis oświadczenia" }, { "data": { "id": "szyfrowanie-oświadczeń", "hProperties": { "id": "szyfrowanie-oświadczeń" } }, "depth": 3, "value": "Szyfrowanie oświadczeń" }, { "data": { "id": "metody-wiązania", "hProperties": { "id": "metody-wiązania" } }, "depth": 3, "value": "Metody wiązania" }, { "data": { "id": "elementy-i-rozważania-dotyczące-bezpieczeństwa-w-oświadczeniach-saml", "hProperties": { "id": "elementy-i-rozważania-dotyczące-bezpieczeństwa-w-oświadczeniach-saml" } }, "depth": 2, "value": "Elementy i rozważania dotyczące bezpieczeństwa w oświadczeniach SAML" }, { "data": { "id": "wystawca", "hProperties": { "id": "wystawca" } }, "depth": 3, "value": "Wystawca" }, { "data": { "id": "podpis", "hProperties": { "id": "podpis" } }, "depth": 3, "value": "Podpis" }, { "data": { "id": "warunki", "hProperties": { "id": "warunki" } }, "depth": 3, "value": "Warunki" }, { "data": { "id": "oświadczenie-o-uwierzytelnieniu", "hProperties": { "id": "oświadczenie-o-uwierzytelnieniu" } }, "depth": 3, "value": "Oświadczenie o uwierzytelnieniu" }, { "data": { "id": "najlepsze-praktyki-dotyczące-bezpieczeństwa-saml", "hProperties": { "id": "najlepsze-praktyki-dotyczące-bezpieczeństwa-saml" } }, "depth": 2, "value": "Najlepsze praktyki dotyczące bezpieczeństwa SAML" }, { "data": { "id": "alternatywy-dla-saml", "hProperties": { "id": "alternatywy-dla-saml" } }, "depth": 2, "value": "Alternatywy dla SAML" }]; const readingTime = { "minutes": 7, "words": 2216, "text": "7 min read" }; const frontmatter = undefined; function _createMdxContent(props) { const _components = { a: "a", code: "code", h2: "h2", h3: "h3", li: "li", ol: "ol", p: "p", pre: "pre", span: "span", strong: "strong", ul: "ul", ..._provideComponents(), ...props.components }, {LogtoCloudButton} = _components; if (!LogtoCloudButton) _missingMdxReference("LogtoCloudButton", true); return _jsxs(_Fragment, { children: [_jsxs(_components.h2, { id: "wprowadzenie", children: ["Wprowadzenie", _jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#wprowadzenie", children: _jsx(_components.span, { children: "#" }) })] }), "\n", _jsx(_components.p, { children: "Security Assertion Markup Language (SAML) to otwarty standard wymiany danych uwierzytelniania i autoryzacji między stronami, w szczególności między dostawcą tożsamości a dostawcą usług. SAML to język znaczników oparty na XML dla oświadczeń o bezpieczeństwie, który jest używany do jednokrotnego logowania (SSO) i federacji tożsamości. Jest powszechnie stosowany w środowiskach korporacyjnych do celów uwierzytelniania i autoryzacji." }), "\n", _jsxs(_components.h2, { id: "standardowy-przepływ-uwierzytelniania-saml", children: ["Standardowy przepływ uwierzytelniania SAML", _jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#standardowy-przepływ-uwierzytelniania-saml", children: _jsx(_components.span, { children: "#" }) })] }), "\n", _jsx(_components.pre, { children: _jsx(_components.code, { className: "language-mermaid", children: " sequenceDiagram\n actor User\n participant SP as Service Provider\n participant IdP as Identity Provider\n\n User->>SP: 1.Żądanie dostępu\n SP->>IdP: 2.Przekierowanie do IdP z żądaniem uwierzytelnienia SAML\n IdP->>User: 3.Prośba o dane uwierzytelniające\n User->>IdP: 4.Wprowadź dane uwierzytelniające\n IdP->>SP: 5.Wyślij oświadczenie odpowiedzi SAML i przekieruj do SP\n SP->>User: 6.Udzielono dostępu\n" }) }), "\n", _jsxs(_components.ol, { children: ["\n", _jsx(_components.li, { children: "Użytkownik żąda dostępu do aplikacji klienta, która działa jako dostawca usług (SP)." }), "\n", _jsx(_components.li, { children: "SP wysyła żądanie uwierzytelnienia SSO SAML do dostawcy tożsamości (IdP) i przekierowuje użytkownika do IdP." }), "\n", _jsx(_components.li, { children: "IdP prosi użytkownika o dane uwierzytelniające, jeśli użytkownik nie jest już uwierzytelniony." }), "\n", _jsx(_components.li, { children: "Użytkownik wprowadza dane uwierzytelniające, a IdP dokonuje uwierzytelnienia użytkownika." }), "\n", _jsx(_components.li, { children: "IdP wysyła oświadczenie odpowiedzi SAML do SP, które zawiera status uwierzytelnienia użytkownika i atrybuty. Następnie IdP przekierowuje użytkownika z powrotem do SP." }), "\n", _jsx(_components.li, { children: "SP otrzymuje oświadczenie odpowiedzi SAML, weryfikuje je i udziela dostępu użytkownikowi." }), "\n"] }), "\n", _jsxs(_components.h2, { id: "czynniki-bezpieczeństwa-w-saml", children: ["Czynniki bezpieczeństwa w SAML", _jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#czynniki-bezpieczeństwa-w-saml", children: _jsx(_components.span, { children: "#" }) })] }), "\n", _jsxs(_components.h3, { id: "sp-entity-id", children: ["SP entity ID", _jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#sp-entity-id", children: _jsx(_components.span, { children: "#" }) })] }), "\n", _jsx(_components.p, { children: "Wyobraź sobie, że SP entity ID to unikalna legitymacja dla SP w kontekście uwierzytelnienia SAML. To jak odcisk palca, który pomaga IdP rozpoznać SP podczas ich interakcji. Ten identyfikator jest kluczową częścią metadanych SP, udostępnianych IdP w celu budowania zaufania i zapewnienia bezpiecznej komunikacji." }), "\n", _jsx(_components.p, { children: "Wykorzystanie SP entity ID:" }), "\n", _jsxs(_components.ol, { children: ["\n", _jsxs(_components.li, { children: [_jsx(_components.strong, { children: "Rejestracja metadanych" }), ": Atrybut ", _jsx(_components.code, { children: "EntityID" }), " jest częścią metadanych SP, udostępnianych IdP w celu nawiązania zaufania. Służy jako unikalny identyfikator do zlokalizowania metadanych SP i uzyskania wymaganych szczegółów konfiguracyjnych dla interakcji SAML."] }), "\n", _jsxs(_components.li, { children: [_jsx(_components.strong, { children: "Żądanie uwierzytelnienia" }), ": SP entity ID jest zawarty w żądaniu uwierzytelnienia SAML wysyłanym do IdP, wyraźnie identyfikującym proszący SP. IdP używa tych informacji do zweryfikowania żądania i określenia odpowiedniego kontekstu uwierzytelnienia."] }), "\n", _jsxs(_components.li, { children: [_jsx(_components.strong, { children: "Odbiorca oświadczenia" }), ": Po pomyślnym uwierzytelnieniu użytkownika, SP entity ID jest zawarty w oświadczeniu SAML jako ograniczenie odbiorcy. Ta miara zapewnia, że oświadczenie jest przeznaczone wyłącznie dla wyznaczonego SP i nie może być wykorzystane przez inne SP."] }), "\n"] }), "\n", _jsx(_components.pre, { children: _jsx(_components.code, { className: "language-mermaid", children: " sequenceDiagram\n participant SP as Service Provider\n participant IdP as Identity Provider\n\n SP-->>IdP: Rejestracja metadanych\n SP->>IdP: Żądanie uwierzytelnienia z SP entity ID\n SP-->>SP: Identyfikacja SP entity\n IdP->>SP: Oświadczenie odpowiedzi SAML z SP entity ID jako odbiorcy\n IdP-->>IdP: Walidacja odbiorcy oświadczenia\n\n" }) }), "\n", _jsxs(_components.h3, { id: "idp-entity-id", children: ["IdP entity ID", _jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#idp-entity-id", children: _jsx(_components.span, { children: "#" }) })] }), "\n", _jsx(_components.p, { children: "Z kolei IdP entity ID to specjalna etykieta dla IdP. Pomaga zidentyfikować IdP w ekosystemie SAML, ułatwiając jego odnalezienie przez SP. Ten identyfikator jest zawarty w metadanych IdP i jest udostępniany SP, wspierając zaufaną relację i bezpieczne połączenia." }), "\n", _jsx(_components.p, { children: "Wykorzystanie IdP entity ID:" }), "\n", _jsxs(_components.ol, { children: ["\n", _jsxs(_components.li, { children: [_jsx(_components.strong, { children: "Rejestracja metadanych" }), ": Atrybut ", _jsx(_components.code, { children: "EntityID" }), " jest również zawarty w metadanych IdP, udostępnianych SP w celu nawiązania zaufania. Służy jako unikalny identyfikator do zlokalizowania metadanych IdP i uzyskania niezbędnych szczegółów konfiguracyjnych dla SP do zweryfikowania odpowiedzi SAML."] }), "\n", _jsxs(_components.li, { children: [_jsx(_components.strong, { children: "Wystawca oświadczenia" }), ": Gdy IdP generuje oświadczenie SAML, zawiera swoje entity ID jako wystawcę. Ten atrybut wskazuje jednostkę, która wystawiła oświadczenie i pomaga SP sprawdzić autentyczność i integralność oświadczenia."] }), "\n"] }), "\n", _jsx(_components.pre, { children: _jsx(_components.code, { className: "language-mermaid", children: " sequenceDiagram\n participant SP as Service Provider\n participant IdP as Identity Provider\n\n IdP-->>SP: Rejestracja metadanych\n IdP->>SP: Oświadczenie odpowiedzi SAML z IdP entity ID jako wystawcą\n SP-->>SP: Walidacja wystawcy oświadczenia\n\n" }) }), "\n", _jsxs(_components.h3, { id: "stan-przekierowania", children: ["Stan przekierowania", _jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#stan-przekierowania", children: _jsx(_components.span, { children: "#" }) })] }), "\n", _jsx(_components.p, { children: "Stan przekierowania to parametr używany w uwierzytelnianiu SAML, który ułatwia transfer informacji o stanie między SP a IdP. Działa jako most między przepływami SSO zainicjowanymi przez SP i IdP, zachowując kontekst użytkownika i stan sesji podczas procesu uwierzytelniania." }), "\n", _jsx(_components.p, { children: "Wykorzystanie stanu przekierowania:" }), "\n", _jsxs(_components.ol, { children: ["\n", _jsxs(_components.li, { children: [_jsx(_components.strong, { children: "Zachowanie kontekstu użytkownika" }), ": Stan przekierowania pozwala SP przekazywać dodatkowe informacje do IdP podczas procesu uwierzytelniania. Informacje te mogą zawierać stan sesji użytkownika, kontekst aplikacji lub inne istotne dane, które muszą być zachowane w trakcie przepływu SAML. Na przykład adres URL lub identyfikator sesji aplikacji, do której użytkownik miał dostęp przed uwierzytelnieniem."] }), "\n", _jsxs(_components.li, { children: [_jsx(_components.strong, { children: "Zapobieganie atakom CSRF" }), ": Stan przekierowania jest kluczowy dla zapobiegania atakom typu cross-site request forgery (CSRF) podczas uwierzytelniania SAML. Włączając unikalną i nieprzewidywalną wartość stanu przekierowania w żądanie uwierzytelnienia, SP może zweryfikować integralność odpowiedzi SAML i zapewnić, że odpowiada ona pierwotnemu żądaniu."] }), "\n"] }), "\n", _jsx(_components.pre, { children: _jsx(_components.code, { className: "language-mermaid", children: " sequenceDiagram\n participant SP as Service Provider\n participant IdP as Identity Provider\n\n SP-->>SP: Generowanie i utrwalenie stanu przekierowania\n SP->>IdP: Żądanie uwierzytelnienia z stanem przekierowania\n IdP->>SP: Oświadczenie odpowiedzi SAML z stanem przekierowania\n SP-->>SP: Zweryfikuj stan przekierowania i przywróć kontekst użytkownika\n\n" }) }), "\n", _jsxs(_components.h3, { id: "podpis-oświadczenia", children: ["Podpis oświadczenia", _jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#podpis-oświadczenia", children: _jsx(_components.span, { children: "#" }) })] }), "\n", _jsx(_components.p, { children: "Podpis oświadczenia to krytyczna funkcja bezpieczeństwa w SAML, która zapewnia integralność, autentyczność i niezaprzeczalność oświadczeń SAML. Dotyczy to cyfrowego podpisania oświadczenia SAML za pomocą prywatnego klucza IdP, co pozwala SP zweryfikować pochodzenie oświadczenia i wykryć wszelkie próby fałszowania." }), "\n", _jsx(_components.p, { children: "Jak działa podpis oświadczenia:" }), "\n", _jsxs(_components.ol, { children: ["\n", _jsxs(_components.li, { children: [_jsx(_components.strong, { children: "Generowanie pary kluczy" }), ": IdP generuje parę klucza publicznego-prywatnego, gdzie prywatny klucz jest używany do podpisywania oświadczenia SAML, a klucz publiczny jest udostępniany SP do weryfikacji. Ten asymetryczny schemat szyfrowania zapewnia, że tylko IdP może podpisać oświadczenie, podczas gdy SP może je zweryfikować."] }), "\n", _jsxs(_components.li, { children: [_jsx(_components.strong, { children: "Udostępniony certyfikat" }), ": IdP dostarcza SP swój certyfikat klucza publicznego, który zawiera klucz publiczny używany do weryfikacji podpisu oświadczenia. Zwykle ten certyfikat będzie częścią metadanych IdP lub SP może go uzyskać przez bezpieczny proces pobierania."] }), "\n", _jsxs(_components.li, { children: [_jsx(_components.strong, { children: "Podpisywanie oświadczeń" }), ": Po uwierzytelnieniu użytkownika, IdP cyfrowo podpisuje oświadczenie SAML za pomocą swojego prywatnego klucza. Ten podpis jest zawarty w oświadczeniu, wraz z certyfikatem klucza publicznego, co pozwala SP zweryfikować autentyczność oświadczenia."] }), "\n", _jsxs(_components.li, { children: [_jsx(_components.strong, { children: "Weryfikacja oświadczeń" }), ": Po otrzymaniu oświadczenia SAML, SP używa klucza publicznego IdP do weryfikacji podpisu oświadczenia. Jeśli podpis jest ważny, SP może ufać oświadczeniu i przyznać dostęp użytkownikowi."] }), "\n"] }), "\n", _jsx(_components.pre, { children: _jsx(_components.code, { className: "language-mermaid", children: " sequenceDiagram\n participant SP as Service Provider\n participant IdP as Identity Provider\n\n IdP-->>IdP: Generowanie pary kluczy publiczny-prywatny\n IdP-->>SP: Udostępnianie certyfikatu klucza publicznego\n SP->>IdP: Żądanie uwierzytelnienia\n IdP->>SP: Podpisywanie oświadczenia SAML za pomocą klucza prywatnego\n SP-->>SP: Weryfikacja podpisu oświadczenia za pomocą klucza publicznego\n" }) }), "\n", _jsxs(_components.h3, { id: "szyfrowanie-oświadczeń", children: ["Szyfrowanie oświadczeń", _jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#szyfrowanie-oświadczeń", children: _jsx(_components.span, { children: "#" }) })] }), "\n", _jsx(_components.p, { children: "Oprócz podpisywania, SAML obsługuje również szyfrowanie oświadczeń w celu ochrony wrażliwych atrybutów użytkownika i danych przesyłanych między IdP a SP. Poprzez szyfrowanie oświadczenia, IdP zapewnia, że tylko zamierzony odbiorca (SP) może zdezaktywować i uzyskać dostęp do zawartości oświadczenia, chroniąc prywatność i poufność użytkownika. Szyfrowanie oświadczeń jest opcjonalnym elementem bezpieczeństwa w SAML, który może być używany w celu zwiększenia ochrony danych." }), "\n", _jsx(_components.p, { children: "Wykorzystanie szyfrowania oświadczeń:" }), "\n", _jsxs(_components.ol, { children: ["\n", _jsxs(_components.li, { children: [_jsx(_components.strong, { children: "Ochrona wrażliwych atrybutów" }), ": Szyfrowanie oświadczeń jest szczególnie użyteczne do ochrony wrażliwych atrybutów użytkownika, takich jak dane osobowe (PII), finansowe lub medyczne. Poprzez szyfrowanie tych atrybutów wewnątrz oświadczenia, IdP zapobiega nieautoryzowanemu dostępowi i zapewnia poufność danych."] }), "\n"] }), "\n", _jsx(_components.p, { children: "Jak działa szyfrowanie oświadczeń:" }), "\n", _jsxs(_components.ol, { children: ["\n", _jsxs(_components.li, { children: [_jsx(_components.strong, { children: "Wymiana kluczy" }), ": IdP i SP ustanawiają bezpieczny mechanizm wymiany kluczy w celu współdzielenia kluczy szyfrowania dla ochrony oświadczenia SAML. Może to obejmować używanie kluczy szyfrowania symetrycznego lub schematów szyfrowania kluczem publicznym, w zależności od algorytmu szyfrowania i strategii zarządzania kluczami."] }), "\n", _jsxs(_components.li, { children: [_jsx(_components.strong, { children: "Szyfrowanie atrybutów" }), ": Po wygenerowaniu oświadczenia SAML, IdP szyfruje wrażliwe atrybuty użytkownika za pomocą współdzielonego klucza szyfrowania. Zaszyfrowane atrybuty są osadzone wewnątrz oświadczenia, zapewniając, że tylko SP może zdezaktywować i uzyskać dostęp do danych."] }), "\n", _jsxs(_components.li, { children: [_jsx(_components.strong, { children: "Odszyfrowanie oświadczenia" }), ": Po otrzymaniu zaszyfrowanego oświadczenia, SP dezaszyfruje chronione atrybuty za pomocą współdzielonego klucza szyfrowania. Ten proces pozwala SP na dostęp do wrażliwych danych użytkownika w sposób bezpieczny i ich odpowiednie przetworzenie."] }), "\n"] }), "\n", _jsx(_components.pre, { children: _jsx(_components.code, { className: "language-mermaid", children: " sequenceDiagram\n participant SP as Service Provider\n participant IdP as Identity Provider\n\n IdP-->>IdP: Generowanie klucza szyfrowania\n IdP-->>SP: Udostępnienie klucza szyfrowania\n IdP->>SP: Szyfrowanie wrażliwych atrybutów w oświadczeniu SAML\n SP-->>SP: Odszyfrowanie zaszyfrowanych atrybutów\n" }) }), "\n", _jsxs(_components.h3, { id: "metody-wiązania", children: ["Metody wiązania", _jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#metody-wiązania", children: _jsx(_components.span, { children: "#" }) })] }), "\n", _jsx(_components.p, { children: "Metody wiązania w SAML definiują, jak wiadomości SAML są przesyłane między SP a IdP za pomocą różnych protokołów komunikacyjnych. Określają one kodowanie, transport i mechanizmy bezpieczeństwa używane do wymiany oświadczeń i żądań SAML, zapewniając bezpieczną i niezawodną komunikację między zaangażowanymi stronami." }), "\n", _jsx(_components.p, { children: "Zarówno SP, jak i IdP określą, które metody wiązania obsługują w swoich metadanych, umożliwiając negocjację odpowiedniej metody dla interakcji SAML. Wybór metody wiązania zależy od czynników, takich jak rozmiar wiadomości, wymagania dotyczące bezpieczeństwa i charakterystyki kanału komunikacyjnego." }), "\n", _jsx(_components.p, { children: "Metody wiązania w SAML:" }), "\n", _jsxs(_components.ol, { children: ["\n", _jsxs(_components.li, { children: [_jsx(_components.strong, { children: "Przekazywanie przez HTTP" }), ": Wiadomości SAML są kodowane jako parametry URL i przesyłane przez przekierowanie HTTP. Ta wiązanie jest odpowiednia w scenariuszach, gdzie rozmiar wiadomości jest ograniczony, a kanał komunikacyjny nie jest bezpieczny."] }), "\n", _jsxs(_components.li, { children: [_jsx(_components.strong, { children: "HTTP POST" }), ": Wiadomości SAML są kodowane jako parametry formularza i przesyłane przez żądania HTTP POST. Ta wiązanie jest używana, gdy rozmiar wiadomości przekracza limit długości URL lub gdy wymagane są dodatkowe środki bezpieczeństwa."] }), "\n", _jsxs(_components.li, { children: [_jsx(_components.strong, { children: "Artefakt" }), ": Wiadomości SAML są przesyłane za pomocą krótkotrwałych tokenów zwanych artefaktami, które są wymieniane przez bezpieczny kanał boczny między SP a IdP. Ta wiązanie jest odpowiednia w scenariuszach, gdzie poufność i integralność wiadomości są krytyczne, a kanał komunikacyjny jest bezpieczny."] }), "\n"] }), "\n", _jsx(_components.p, { children: "Najczęściej stosowane metody wiązania:" }), "\n", _jsxs(_components.ul, { children: ["\n", _jsxs(_components.li, { children: [_jsx(_components.strong, { children: "Żądanie uwierzytelnienia" }), ": Żądanie uwierzytelnienia od SP do IdP jest zazwyczaj przesyłane za pomocą przekierowania HTTP z powodu jego prostoty i wydajności. SP koduje żądanie SAML jako parametry URL i przekierowuje przeglądarkę użytkownika do IdP w celu uwierzytelnienia. Znane jest to jako przepływ SSO zainicjowany przez SP."] }), "\n", _jsxs(_components.li, { children: [_jsx(_components.strong, { children: "Odpowiedź na oświadczenie" }), ": Odpowiedź na oświadczenie SAML od IdP do SP jest zazwyczaj przesyłana za pomocą metody wiązania HTTP POST. IdP koduje oświadczenie SAML jako parametry formularza i przesyła je z powrotem do SP do walidacji. Zapewnia to, że oświadczenie jest przesyłane w sposób bezpieczny, bez eksponowania wrażliwych danych w URL. Metoda wiązania HTTP POST może również obsłużyć większe rozmiary wiadomości w porównaniu do przekierowania HTTP."] }), "\n"] }), "\n", _jsx(_components.pre, { children: _jsx(_components.code, { className: "language-mermaid", children: " sequenceDiagram\n participant SP as Service Provider\n participant IdP as Identity Provider\n\n SP->>IdP: Żądanie uwierzytelnienia (Przekierowanie HTTP)\n IdP->>SP: Odpowiedź na oświadczenie (HTTP POST)\n" }) }), "\n", _jsxs(_components.h2, { id: "elementy-i-rozważania-dotyczące-bezpieczeństwa-w-oświadczeniach-saml", children: ["Elementy i rozważania dotyczące bezpieczeństwa w oświadczeniach SAML", _jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#elementy-i-rozważania-dotyczące-bezpieczeństwa-w-oświadczeniach-saml", children: _jsx(_components.span, { children: "#" }) })] }), "\n", _jsxs(_components.h3, { id: "wystawca", children: ["Wystawca", _jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#wystawca", children: _jsx(_components.span, { children: "#" }) })] }), "\n", _jsx(_components.p, { children: "Jak wspomniano wcześniej, wystawca jest kluczowym atrybutem w oświadczeniach SAML, który identyfikuje jednostkę, która wystawiła oświadczenie. Wystawcą jest zazwyczaj IdP, który uwierzytelnił użytkownika i wygenerował oświadczenie. Poprzez włączenie atrybutu wystawcy do oświadczenia, SP może zweryfikować pochodzenie oświadczenia i zapewnić, że pochodzi ono z zaufanego źródła." }), "\n", _jsx(_components.pre, { children: _jsx(_components.code, { className: "language-xml", children: " http://idp.example.com/metadata.php\n" }) }), "\n", _jsxs(_components.h3, { id: "podpis", children: ["Podpis", _jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#podpis", children: _jsx(_components.span, { children: "#" }) })] }), "\n", _jsx(_components.p, { children: "Element podpisu w oświadczeniu SAML zawiera podpis cyfrowy wygenerowany przez IdP w celu zapewnienia integralności i autentyczności oświadczenia. Podpis jest tworzony przy użyciu prywatnego klucza IdP i zawarty w oświadczeniu wraz z certyfikatem klucza publicznego do weryfikacji przez SP. Poprzez weryfikację podpisu, SP może zweryfikować, że oświadczenie nie zostało sfałszowane i pochodzi od oczekiwanego IdP." }), "\n", _jsx(_components.pre, { children: _jsx(_components.code, { className: "language-xml", children: "\n \n \n \n \n \n \n \n \n \n ...\n \n \n ...\n \n \n ...\n \n \n" }) }), "\n", _jsxs(_components.h3, { id: "warunki", children: ["Warunki", _jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#warunki", children: _jsx(_components.span, { children: "#" }) })] }), "\n", _jsx(_components.p, { children: "Element warunków w oświadczeniu SAML definiuje ograniczenia i restrykcje, które dotyczą ważności i użycia oświadczenia. Obejmuje warunki takie jak okres ważności oświadczenia, ograniczenia odbiorców i inne kontekstualne ograniczenia, które SP musi egzekwować podczas przetwarzania oświadczenia." }), "\n", _jsx(_components.pre, { children: _jsx(_components.code, { className: "language-xml", children: "\n \n https://sp.example.com\n \n\n" }) }), "\n", _jsxs(_components.h3, { id: "oświadczenie-o-uwierzytelnieniu", children: ["Oświadczenie o uwierzytelnieniu", _jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#oświadczenie-o-uwierzytelnieniu", children: _jsx(_components.span, { children: "#" }) })] }), "\n", _jsx(_components.p, { children: "Oświadczenie o uwierzytelnieniu (AuthnStatement) jest kluczowym elementem oświadczenia SAML, który dostarcza informacji o statusie uwierzytelnienia użytkownika i kontekście. Zawiera szczegóły takie jak używana metoda uwierzytelnienia, czas uwierzytelnienia oraz wszelkie istotne informacje dotyczące kontekstu uwierzytelnienia, pozwalając SP na podejmowanie świadomych decyzji dotyczących kontroli dostępu na podstawie stanu uwierzytelnienia użytkownika." }), "\n", _jsx(_components.p, { children: "Atrybuty oświadczenia o uwierzytelnieniu:" }), "\n", _jsxs(_components.ol, { children: ["\n", _jsxs(_components.li, { children: [_jsx(_components.strong, { children: "AuthenticationContext" }), ": Opisuje metodę i kontekst uwierzytelnienia użytkownika, takie jak nazwa użytkownika - hasło, uwierzytelnienie wieloskładnikowe lub jednokrotne logowanie. Ten atrybut pomaga SP ocenić siłę i niezawodność procesu uwierzytelnienia oraz określić odpowiednie kontrole dostępu."] }), "\n", _jsxs(_components.li, { children: [_jsx(_components.strong, { children: "AuthenticationInstant" }), ": Wskazuje czas, kiedy użytkownik został uwierzytelniony przez IdP. Ten znacznik czasu jest kluczowy dla weryfikacji świeżości uwierzytelnienia i zapobiegania atakom polegającym na powtórzeniu lub przejęciu sesji."] }), "\n", _jsxs(_components.li, { children: [_jsx(_components.strong, { children: "SessionNotOnOrAfter" }), ": Określa czas wygaśnięcia sesji użytkownika, po której to użytkownik musi ponownie się uwierzytelnić, aby uzyskać dostęp do usługi. Ten atrybut pomaga egzekwować polityki zarządzania sesjami i zmniejszać ryzyko nieautoryzowanego dostępu."] }), "\n"] }), "\n", _jsx(_components.pre, { children: _jsx(_components.code, { className: "language-xml", children: "\n \n urn:oasis:names:tc:SAML:2.0:ac:classes:Password\n \n\n" }) }), "\n", _jsxs(_components.h2, { id: "najlepsze-praktyki-dotyczące-bezpieczeństwa-saml", children: ["Najlepsze praktyki dotyczące bezpieczeństwa SAML", _jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#najlepsze-praktyki-dotyczące-bezpieczeństwa-saml", children: _jsx(_components.span, { children: "#" }) })] }), "\n", _jsxs(_components.ol, { children: ["\n", _jsxs(_components.li, { children: [_jsx(_components.strong, { children: "Używaj bezpiecznych metod wiązania" }), ": Wybierz odpowiednie metody wiązania SAML w zależności od wymagań dotyczących bezpieczeństwa i cech kanału komunikacyjnego. Używaj HTTP POST do przesyłania danych wrażliwych i HTTP Redirect do prostych żądań."] }), "\n", _jsxs(_components.li, { children: [_jsx(_components.strong, { children: "Weryfikuj podpisy oświadczeń" }), ": Zatwierdź cyfrowe podpisy oświadczeń SAML, aby zapewnić ich integralność i autentyczność. Użyj certyfikatu klucza publicznego IdP do weryfikacji podpisu i wykrywania prób fałszowania."] }), "\n", _jsxs(_components.li, { children: [_jsx(_components.strong, { children: "Egzekwuj ograniczenia odbiorców" }), ": Dodaj ograniczenia odbiorców w oświadczeniach SAML, aby ograniczyć zakres oświadczenia do zamierzonego SP. Zapobiega to atakom polegającym na powtórzeniu oświadczenia i nieautoryzowanemu dostępowi przez innych dostawców usług."] }), "\n", _jsxs(_components.li, { children: [_jsx(_components.strong, { children: "Zabezpiecz wymianę metadanych" }), ": Chroń wymianę metadanych SP i IdP, aby zapobiec fałszowaniu metadanych i atakom typu spoofing. Użyj bezpiecznych kanałów i mechanizmów do bezpiecznego udostępniania metadanych."] }), "\n", _jsxs(_components.li, { children: [_jsx(_components.strong, { children: "Wdrażaj bezpieczne obsługiwanie stanu przekierowania" }), ": Używaj unikalnych i nieprzewidywalnych wartości stanu przekierowania, aby zapobiegać atakom CSRF podczas uwierzytelniania SAML. Zatwierdzaj stan przekierowania, aby zapewnić jego integralność i autentyczność."] }), "\n", _jsxs(_components.li, { children: [_jsx(_components.strong, { children: "Egzekwuj zarządzanie sesją" }), ": Określ polityki wygaśnięcia sesji i egzekwuj czas wygaśnięcia sesji, aby zmniejszyć ryzyko przejęcia sesji i nieautoryzowanego dostępu. Użyj atrybutów związanych z sesją w oświadczeniach SAML do bezpiecznego zarządzania sesjami użytkowników."] }), "\n", _jsxs(_components.li, { children: [_jsx(_components.strong, { children: "Szyfruj wrażliwe atrybuty" }), ": W razie potrzeby, szyfruj wrażliwe atrybuty użytkownika w oświadczeniach SAML, aby chronić prywatność użytkownika i poufność danych. Użyj bezpiecznych algorytmów szyfrowania i praktyk zarządzania kluczami do ochrony wrażliwych danych."] }), "\n"] }), "\n", _jsxs(_components.h2, { id: "alternatywy-dla-saml", children: ["Alternatywy dla SAML", _jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#alternatywy-dla-saml", children: _jsx(_components.span, { children: "#" }) })] }), "\n", _jsx(_components.p, { children: "Podczas gdy SAML pozostaje szeroko przyjętym standardem dla SSO i federacji tożsamości, oferując solidny zestaw funkcji i mechanizmów bezpieczeństwa, jego wiek może stwarzać problemy z dostępem do ewoluujących wymagań dotyczących bezpieczeństwa i użyteczności nowoczesnych aplikacji. W porównaniu z bardziej współczesnym OpenID Connect (OIDC) opartym na OAuth 2.0, SAML ma tendencję do bycia bardziej skomplikowanym i brakuje mu niektórych zaawansowanych funkcji bezpieczeństwa, które oferuje OIDC. Na przykład, wielopoziomowy proces autoryzacji żądań OIDC oferuje bardziej bezpieczne podejście niż stosunkowo prosty przepływ wymiany oświadczeń SAML. Dla organizacji, które chcą przyjąć bardziej nowoczesne i elastyczne rozwiązanie federacji tożsamości, OIDC może być realną alternatywą dla SAML." }), "\n", _jsx(LogtoCloudButton, { children: "Wypróbuj Logto już dziś" })] }); } function MDXContent(props = {}) { const {wrapper: MDXLayout} = { ..._provideComponents(), ...props.components }; return MDXLayout ? _jsx(MDXLayout, { ...props, children: _jsx(_createMdxContent, { ...props }) }) : _createMdxContent(props); } return { headings, readingTime, frontmatter, default: MDXContent }; function _missingMdxReference(id, component) { throw new Error("Expected " + (component ? "component" : "object") + " `" + id + "` to be defined: you likely forgot to import, pass, or provide it."); }