"use strict"; const {Fragment: _Fragment, jsx: _jsx, jsxs: _jsxs} = arguments[0]; const {useMDXComponents: _provideComponents} = arguments[0]; const headings = [{ "data": { "id": "introdução", "hProperties": { "id": "introdução" } }, "depth": 2, "value": "Introdução" }, { "data": { "id": "fluxo-padrão-de-autenticação-saml", "hProperties": { "id": "fluxo-padrão-de-autenticação-saml" } }, "depth": 2, "value": "Fluxo padrão de autenticação SAML" }, { "data": { "id": "fatores-de-segurança-no-saml", "hProperties": { "id": "fatores-de-segurança-no-saml" } }, "depth": 2, "value": "Fatores de segurança no SAML" }, { "data": { "id": "id-da-entidade-sp", "hProperties": { "id": "id-da-entidade-sp" } }, "depth": 3, "value": "ID da entidade SP" }, { "data": { "id": "id-da-entidade-idp", "hProperties": { "id": "id-da-entidade-idp" } }, "depth": 3, "value": "ID da entidade IdP" }, { "data": { "id": "estado-de-retransmissão", "hProperties": { "id": "estado-de-retransmissão" } }, "depth": 3, "value": "Estado de retransmissão" }, { "data": { "id": "assinatura-da-afirmação", "hProperties": { "id": "assinatura-da-afirmação" } }, "depth": 3, "value": "Assinatura da afirmação" }, { "data": { "id": "criptografia-da-afirmação", "hProperties": { "id": "criptografia-da-afirmação" } }, "depth": 3, "value": "Criptografia da afirmação" }, { "data": { "id": "métodos-de-associação", "hProperties": { "id": "métodos-de-associação" } }, "depth": 3, "value": "Métodos de associação" }, { "data": { "id": "elementos-e-considerações-de-segurança-nas-afirmações-saml", "hProperties": { "id": "elementos-e-considerações-de-segurança-nas-afirmações-saml" } }, "depth": 2, "value": "Elementos e considerações de segurança nas afirmações SAML" }, { "data": { "id": "emissor", "hProperties": { "id": "emissor" } }, "depth": 3, "value": "Emissor" }, { "data": { "id": "assinatura", "hProperties": { "id": "assinatura" } }, "depth": 3, "value": "Assinatura" }, { "data": { "id": "condições", "hProperties": { "id": "condições" } }, "depth": 3, "value": "Condições" }, { "data": { "id": "declaração-de-autenticação", "hProperties": { "id": "declaração-de-autenticação" } }, "depth": 3, "value": "Declaração de autenticação" }, { "data": { "id": "melhores-práticas-para-segurança-saml", "hProperties": { "id": "melhores-práticas-para-segurança-saml" } }, "depth": 2, "value": "Melhores práticas para segurança SAML" }, { "data": { "id": "alternativas-ao-saml", "hProperties": { "id": "alternativas-ao-saml" } }, "depth": 2, "value": "Alternativas ao SAML" }]; const readingTime = { "minutes": 9, "words": 2784, "text": "9 min read" }; const frontmatter = undefined; function _createMdxContent(props) { const _components = { a: "a", code: "code", h2: "h2", h3: "h3", li: "li", ol: "ol", p: "p", pre: "pre", span: "span", strong: "strong", ul: "ul", ..._provideComponents(), ...props.components }, {LogtoCloudButton} = _components; if (!LogtoCloudButton) _missingMdxReference("LogtoCloudButton", true); return _jsxs(_Fragment, { children: [_jsxs(_components.h2, { id: "introdução", children: ["Introdução", _jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#introdução", children: _jsx(_components.span, { children: "#" }) })] }), "\n", _jsx(_components.p, { children: "A Security Assertion Markup Language (SAML) é um padrão aberto para troca de dados de autenticação e autorização entre partes, em particular, entre um provedor de identidade e um provedor de serviço. SAML é uma linguagem de marcação baseada em XML para afirmações de segurança que é usada para single sign-on (SSO) e federação de identidade. É comumente usada em ambientes empresariais para fins de autenticação e autorização." }), "\n", _jsxs(_components.h2, { id: "fluxo-padrão-de-autenticação-saml", children: ["Fluxo padrão de autenticação SAML", _jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#fluxo-padrão-de-autenticação-saml", children: _jsx(_components.span, { children: "#" }) })] }), "\n", _jsx(_components.pre, { children: _jsx(_components.code, { className: "language-mermaid", children: " sequenceDiagram\n actor User\n participant SP as Service Provider\n participant IdP as Identity Provider\n\n User->>SP: 1.Solicitação de acesso\n SP->>IdP: 2.Redirecionar para IdP com solicitação de autenticação SAML\n IdP->>User: 3.Prompt para credenciais\n User->>IdP: 4.Inserir credenciais\n IdP->>SP: 5.Enviar afirmação de resposta SAML e redirecionar para SP\n SP->>User: 6.Acesso concedido\n" }) }), "\n", _jsxs(_components.ol, { children: ["\n", _jsx(_components.li, { children: "O usuário solicita acesso a um aplicativo cliente, que atua como um provedor de serviço (SP)." }), "\n", _jsx(_components.li, { children: "O SP envia uma solicitação de autenticação SAML SSO ao provedor de identidade (IdP) e redireciona o usuário para o IdP." }), "\n", _jsx(_components.li, { children: "O IdP solicita as credenciais do usuário se o usuário ainda não estiver autenticado." }), "\n", _jsx(_components.li, { children: "O usuário insere as credenciais e o IdP autentica o usuário." }), "\n", _jsx(_components.li, { children: "O IdP envia uma afirmação de resposta SAML para o SP, que inclui o status de autenticação e atributos do usuário. O IdP então redireciona o usuário de volta para o SP." }), "\n", _jsx(_components.li, { children: "O SP recebe a afirmação de resposta SAML, valida e concede acesso ao usuário." }), "\n"] }), "\n", _jsxs(_components.h2, { id: "fatores-de-segurança-no-saml", children: ["Fatores de segurança no SAML", _jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#fatores-de-segurança-no-saml", children: _jsx(_components.span, { children: "#" }) })] }), "\n", _jsxs(_components.h3, { id: "id-da-entidade-sp", children: ["ID da entidade SP", _jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#id-da-entidade-sp", children: _jsx(_components.span, { children: "#" }) })] }), "\n", _jsx(_components.p, { children: "Pense no ID da entidade SP como o crachá único de um SP no contexto de autenticação SAML. É como uma impressão digital que ajuda o IdP a reconhecer o SP durante suas interações. Este ID é uma parte crucial dos metadados do SP, compartilhada com o IdP para criar confiança e garantir comunicação segura." }), "\n", _jsx(_components.p, { children: "Uso do ID da entidade SP:" }), "\n", _jsxs(_components.ol, { children: ["\n", _jsxs(_components.li, { children: [_jsx(_components.strong, { children: "Registro de metadados" }), ": O atributo ", _jsx(_components.code, { children: "EntityID" }), " é parte dos metadados do SP, compartilhados com o IdP para estabelecer uma relação de confiança. Serve como um identificador único para localizar os metadados do SP e obter os detalhes de configuração necessários para interações SAML."] }), "\n", _jsxs(_components.li, { children: [_jsx(_components.strong, { children: "Solicitação de autenticação" }), ": O ID da entidade SP é incluído na solicitação de autenticação SAML enviada ao IdP, identificando claramente o SP solicitante. O IdP usa essa informação para validar a solicitação e determinar o contexto de autenticação apropriado."] }), "\n", _jsxs(_components.li, { children: [_jsx(_components.strong, { children: "Público da afirmação" }), ": Após a autenticação bem-sucedida do usuário, o ID da entidade SP é incluído na afirmação SAML como uma restrição de público. Esta medida assegura que a afirmação é destinada exclusivamente ao SP designado e não pode ser usada de forma incorreta por outros SPs."] }), "\n"] }), "\n", _jsx(_components.pre, { children: _jsx(_components.code, { className: "language-mermaid", children: " sequenceDiagram\n participant SP as Service Provider\n participant IdP as Identity Provider\n\n SP-->>IdP: Registro de metadados\n SP->>IdP: Solicitação de autenticação com ID da entidade SP\n SP-->>SP: Identificar entidade SP\n IdP->>SP: Afirmação de resposta SAML com ID da entidade SP como público\n IdP-->>IdP: Validar público da afirmação\n\n" }) }), "\n", _jsxs(_components.h3, { id: "id-da-entidade-idp", children: ["ID da entidade IdP", _jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#id-da-entidade-idp", children: _jsx(_components.span, { children: "#" }) })] }), "\n", _jsx(_components.p, { children: "Por outro lado, o ID da entidade IdP é o rótulo especial para o IdP. Ele ajuda a identificar o IdP no ecossistema SAML, facilitando para o SP encontrá-lo. Este ID está incluído nos metadados do IdP e é compartilhado com o SP, promovendo uma relação de confiança e conexões seguras." }), "\n", _jsx(_components.p, { children: "Uso do ID da entidade IdP:" }), "\n", _jsxs(_components.ol, { children: ["\n", _jsxs(_components.li, { children: [_jsx(_components.strong, { children: "Registro de metadados" }), ": O atributo ", _jsx(_components.code, { children: "EntityID" }), " também está incluído nos metadados do IdP, compartilhados com o SP para estabelecer uma relação de confiança. Serve como um identificador único para localizar os metadados do IdP e obter os detalhes de configuração necessários para que o SP valide as respostas SAML."] }), "\n", _jsxs(_components.li, { children: [_jsx(_components.strong, { children: "Emissor da afirmação" }), ": Quando o IdP gera uma afirmação SAML, ele inclui seu ID de entidade como emissor. Este atributo indica a entidade que emitiu a afirmação e ajuda o SP a verificar a autenticidade e integridade da afirmação."] }), "\n"] }), "\n", _jsx(_components.pre, { children: _jsx(_components.code, { className: "language-mermaid", children: " sequenceDiagram\n participant SP as Service Provider\n participant IdP as Identity Provider\n\n IdP-->>SP: Registro de metadados\n IdP->>SP: Afirmação de resposta SAML com ID da entidade IdP como emissor\n SP-->>SP: Validar emissor da afirmação\n\n" }) }), "\n", _jsxs(_components.h3, { id: "estado-de-retransmissão", children: ["Estado de retransmissão", _jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#estado-de-retransmissão", children: _jsx(_components.span, { children: "#" }) })] }), "\n", _jsx(_components.p, { children: "O estado de retransmissão é um parâmetro usado na autenticação SAML que facilita a transferência de informações de estado entre o SP e o IdP. Ele atua como uma ponte entre os fluxos de SSO iniciados pelo SP e pelo IdP, preservando o contexto do usuário e o estado da sessão durante o processo de autenticação." }), "\n", _jsx(_components.p, { children: "Uso do estado de retransmissão:" }), "\n", _jsxs(_components.ol, { children: ["\n", _jsxs(_components.li, { children: [_jsx(_components.strong, { children: "Manutenção do contexto do usuário" }), ": O estado de retransmissão permite que o SP passe informações adicionais para o IdP durante o processo de autenticação. Essas informações podem incluir o estado da sessão do usuário, contexto do aplicativo ou quaisquer outros dados relevantes que precisam ser preservados ao longo do fluxo SAML. Como a URL ou o ID da sessão do aplicativo que o usuário estava acessando antes da autenticação."] }), "\n", _jsxs(_components.li, { children: [_jsx(_components.strong, { children: "Prevenção de ataques CSRF" }), ": O estado de retransmissão é crucial para prevenir ataques de falsificação de solicitação entre sites (CSRF) durante a autenticação SAML. Ao incluir um valor de estado de retransmissão único e imprevisível na solicitação de autenticação, o SP pode verificar a integridade da resposta SAML e garantir que ela corresponda à solicitação original."] }), "\n"] }), "\n", _jsx(_components.pre, { children: _jsx(_components.code, { className: "language-mermaid", children: " sequenceDiagram\n participant SP as Service Provider\n participant IdP as Identity Provider\n\n SP-->>SP: Gerar e persistir estado de retransmissão\n SP->>IdP: Solicitação de autenticação com estado de retransmissão\n IdP->>SP: Afirmação de resposta SAML com estado de retransmissão\n SP-->>SP: Validar estado de retransmissão e restaurar contexto do usuário\n\n" }) }), "\n", _jsxs(_components.h3, { id: "assinatura-da-afirmação", children: ["Assinatura da afirmação", _jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#assinatura-da-afirmação", children: _jsx(_components.span, { children: "#" }) })] }), "\n", _jsx(_components.p, { children: "A assinatura da afirmação é um recurso de segurança crítico no SAML que garante a integridade, autenticidade e não-repúdio das afirmações SAML. Isso envolve assinar digitalmente a afirmação SAML usando a chave privada do IdP, permitindo que o SP verifique a origem da afirmação e detecte qualquer tentativa de adulteração." }), "\n", _jsx(_components.p, { children: "Como a assinatura da afirmação funciona:" }), "\n", _jsxs(_components.ol, { children: ["\n", _jsxs(_components.li, { children: [_jsx(_components.strong, { children: "Geração de par de chaves" }), ": O IdP gera um par de chaves pública-privada, onde a chave privada é usada para assinar a afirmação SAML e a chave pública é compartilhada com o SP para verificação. Este esquema de criptografia assimétrica garante que apenas o IdP possa assinar a afirmação, enquanto o SP pode validá-la."] }), "\n", _jsxs(_components.li, { children: [_jsx(_components.strong, { children: "Certificado compartilhado" }), ": O IdP fornece ao SP seu certificado de chave pública, que contém a chave pública usada para verificar a assinatura da afirmação. Normalmente, este certificado fará parte dos metadados do IdP, ou o SP pode obtê-lo através de um processo de download seguro."] }), "\n", _jsxs(_components.li, { children: [_jsx(_components.strong, { children: "Assinatura da afirmação" }), ": Após autenticar o usuário, o IdP assina digitalmente a afirmação SAML usando sua chave privada. Essa assinatura é incluída na afirmação, junto com o certificado de chave pública, permitindo que o SP verifique a autenticidade da afirmação."] }), "\n", _jsxs(_components.li, { children: [_jsx(_components.strong, { children: "Verificação da afirmação" }), ": Ao receber a afirmação SAML, o SP usa a chave pública do IdP para verificar a assinatura da afirmação. Se a assinatura for válida, o SP pode confiar na afirmação e conceder acesso ao usuário."] }), "\n"] }), "\n", _jsx(_components.pre, { children: _jsx(_components.code, { className: "language-mermaid", children: " sequenceDiagram\n participant SP as Service Provider\n participant IdP as Identity Provider\n\n IdP-->>IdP: Gerar par de chaves pública-privada\n IdP-->>SP: Compartilhar certificado de chave pública\n SP->>IdP: Solicitação de autenticação\n IdP->>SP: Assinar afirmação SAML com chave privada\n SP-->>SP: Verificar assinatura da afirmação usando chave pública\n" }) }), "\n", _jsxs(_components.h3, { id: "criptografia-da-afirmação", children: ["Criptografia da afirmação", _jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#criptografia-da-afirmação", children: _jsx(_components.span, { children: "#" }) })] }), "\n", _jsx(_components.p, { children: "Além de assinar, o SAML também suporta a criptografia de afirmação para proteger atributos de usuário sensíveis e dados transmitidos entre o IdP e o SP. Ao criptografar a afirmação, o IdP garante que apenas o destinatário pretendido (SP) possa descriptografar e acessar o conteúdo da afirmação, protegendo a privacidade e confidencialidade do usuário. A criptografia da afirmação é um recurso de segurança opcional no SAML que pode ser usado para aumentar a proteção de dados." }), "\n", _jsx(_components.p, { children: "Uso da criptografia da afirmação:" }), "\n", _jsxs(_components.ol, { children: ["\n", _jsxs(_components.li, { children: [_jsx(_components.strong, { children: "Proteção de atributos sensíveis" }), ": A criptografia de afirmação é particularmente útil para proteger atributos de usuário sensíveis, como informações pessoalmente identificáveis (PII), dados financeiros ou registros de saúde. Ao criptografar esses atributos dentro da afirmação, o IdP previne o acesso não autorizado e assegura a confidencialidade dos dados."] }), "\n"] }), "\n", _jsx(_components.p, { children: "Como a criptografia da afirmação funciona:" }), "\n", _jsxs(_components.ol, { children: ["\n", _jsxs(_components.li, { children: [_jsx(_components.strong, { children: "Troca de chaves" }), ": O IdP e o SP estabelecem um mecanismo seguro de troca de chaves para compartilhar as chaves de criptografia para proteger a afirmação SAML. Isso pode envolver o uso de chaves de criptografia simétrica ou esquemas de criptografia de chave pública, dependendo do algoritmo de criptografia e da estratégia de gerenciamento de chaves."] }), "\n", _jsxs(_components.li, { children: [_jsx(_components.strong, { children: "Criptografia de atributos" }), ": Após gerar a afirmação SAML, o IdP criptografa os atributos de usuário sensíveis usando a chave de criptografia compartilhada. Os atributos criptografados são embutidos dentro da afirmação, garantindo que apenas o SP possa descriptografar e acessar os dados."] }), "\n", _jsxs(_components.li, { children: [_jsx(_components.strong, { children: "Descriptografia da afirmação" }), ": Ao receber a afirmação criptografada, o SP descriptografa os atributos protegidos usando a chave de criptografia compartilhada. Este processo permite que o SP acesse os dados sensíveis do usuário de forma segura e os processe conforme necessário."] }), "\n"] }), "\n", _jsx(_components.pre, { children: _jsx(_components.code, { className: "language-mermaid", children: " sequenceDiagram\n participant SP as Service Provider\n participant IdP as Identity Provider\n\n IdP-->>IdP: Gerar chave de criptografia\n IdP-->>SP: Compartilhar chave de criptografia\n IdP->>SP: Criptografar atributos sensíveis na afirmação SAML\n SP-->>SP: Descriptografar atributos criptografados\n" }) }), "\n", _jsxs(_components.h3, { id: "métodos-de-associação", children: ["Métodos de associação", _jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#métodos-de-associação", children: _jsx(_components.span, { children: "#" }) })] }), "\n", _jsx(_components.p, { children: "Os métodos de associação SAML definem como as mensagens SAML são transmitidas entre o SP e o IdP por diferentes protocolos de comunicação. Eles especificam a codificação, transporte e mecanismos de segurança usados para trocar afirmações e solicitações SAML, garantindo comunicação segura e confiável entre as partes envolvidas." }), "\n", _jsx(_components.p, { children: "Tanto o SP quanto o IdP especificarão quais métodos de associação eles suportam em seus metadados, permitindo que negociem o método apropriado para interações SAML. A escolha do método de associação depende de fatores como tamanho da mensagem, requisitos de segurança e características do canal de comunicação." }), "\n", _jsx(_components.p, { children: "Métodos de associação SAML:" }), "\n", _jsxs(_components.ol, { children: ["\n", _jsxs(_components.li, { children: [_jsx(_components.strong, { children: "Redirecionamento HTTP" }), ": As mensagens SAML são codificadas como parâmetros de URL e transmitidas via redirecionamento HTTP. Essa associação é adequada para cenários onde o tamanho da mensagem é limitado e o canal de comunicação não é seguro."] }), "\n", _jsxs(_components.li, { children: [_jsx(_components.strong, { children: "POST HTTP" }), ": As mensagens SAML são codificadas como parâmetros de formulário e transmitidas via solicitações POST HTTP. Essa associação é usada quando o tamanho da mensagem excede o limite de comprimento da URL ou quando medidas de segurança adicionais são necessárias."] }), "\n", _jsxs(_components.li, { children: [_jsx(_components.strong, { children: "Artefato" }), ": As mensagens SAML são transmitidas usando tokens de vida curta chamados artefatos, que são trocados por um canal seguro entre o SP e o IdP. Esta associação é adequada para cenários onde a confidencialidade e integridade da mensagem são críticas, e o canal de comunicação é seguro."] }), "\n"] }), "\n", _jsx(_components.p, { children: "Métodos de associação mais comuns:" }), "\n", _jsxs(_components.ul, { children: ["\n", _jsxs(_components.li, { children: [_jsx(_components.strong, { children: "Solicitação de autenticação" }), ": A solicitação de autenticação do SP para o IdP é normalmente transmitida usando o redirecionamento HTTP devido à sua simplicidade e eficiência. O SP codifica a solicitação SAML como parâmetros de URL e redireciona o navegador do usuário para o IdP para autenticação. Isso é conhecido como o fluxo SSO iniciado pelo SP."] }), "\n", _jsxs(_components.li, { children: [_jsx(_components.strong, { children: "Resposta da afirmação" }), ": A afirmação de resposta SAML do IdP para o SP é geralmente transmitida usando o método de associação POST HTTP. O IdP codifica a afirmação SAML como parâmetros de formulário e a posta de volta para o SP para validação. Isso garante que a afirmação seja transmitida com segurança sem expor dados sensíveis na URL. Além disso, o método de associação POST HTTP pode lidar com tamanhos de mensagens maiores em comparação com o método de associação de redirecionamento HTTP."] }), "\n"] }), "\n", _jsx(_components.pre, { children: _jsx(_components.code, { className: "language-mermaid", children: " sequenceDiagram\n participant SP as Service Provider\n participant IdP as Identity Provider\n\n SP->>IdP: Solicitação de autenticação (Redirecionamento HTTP)\n IdP->>SP: Resposta da afirmação (POST HTTP)\n" }) }), "\n", _jsxs(_components.h2, { id: "elementos-e-considerações-de-segurança-nas-afirmações-saml", children: ["Elementos e considerações de segurança nas afirmações SAML", _jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#elementos-e-considerações-de-segurança-nas-afirmações-saml", children: _jsx(_components.span, { children: "#" }) })] }), "\n", _jsxs(_components.h3, { id: "emissor", children: ["Emissor", _jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#emissor", children: _jsx(_components.span, { children: "#" }) })] }), "\n", _jsx(_components.p, { children: "Como mencionado anteriormente, o emissor é um atributo-chave nas afirmações SAML que identifica a entidade que emitiu a afirmação. O emissor é tipicamente o IdP que autenticou o usuário e gerou a afirmação. Ao incluir o atributo emissor na afirmação, o SP pode verificar a origem da afirmação e garantir que ela venha de uma fonte confiável." }), "\n", _jsx(_components.pre, { children: _jsx(_components.code, { className: "language-xml", children: " http://idp.example.com/metadata.php\n" }) }), "\n", _jsxs(_components.h3, { id: "assinatura", children: ["Assinatura", _jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#assinatura", children: _jsx(_components.span, { children: "#" }) })] }), "\n", _jsx(_components.p, { children: "O elemento de assinatura em uma afirmação SAML contém a assinatura digital gerada pelo IdP para garantir a integridade e autenticidade da afirmação. A assinatura é criada usando a chave privada do IdP e incluída na afirmação junto com o certificado de chave pública para verificação pelo SP. Ao validar a assinatura, o SP pode verificar que a afirmação não foi adulterada e vem do IdP esperado." }), "\n", _jsx(_components.pre, { children: _jsx(_components.code, { className: "language-xml", children: "\n \n \n \n \n \n \n \n \n \n ...\n \n \n ...\n \n \n ...\n \n \n" }) }), "\n", _jsxs(_components.h3, { id: "condições", children: ["Condições", _jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#condições", children: _jsx(_components.span, { children: "#" }) })] }), "\n", _jsx(_components.p, { children: "O elemento de condições em uma afirmação SAML define as restrições e limitações que se aplicam à validade e uso da afirmação. Inclui condições como o período de validade da afirmação, restrições de público e outras limitações contextuais que o SP deve impor ao processar a afirmação." }), "\n", _jsx(_components.pre, { children: _jsx(_components.code, { className: "language-xml", children: "\n \n https://sp.example.com\n \n\n" }) }), "\n", _jsxs(_components.h3, { id: "declaração-de-autenticação", children: ["Declaração de autenticação", _jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#declaração-de-autenticação", children: _jsx(_components.span, { children: "#" }) })] }), "\n", _jsx(_components.p, { children: "A declaração de autenticação (AuthnStatement) é um componente-chave da afirmação SAML que fornece informações sobre o status de autenticação do usuário e o contexto. Inclui detalhes como o método de autenticação usado, o tempo de autenticação e quaisquer informações de contexto de autenticação relevantes, permitindo que o SP tome decisões informadas sobre controle de acesso com base no estado de autenticação do usuário." }), "\n", _jsx(_components.p, { children: "Atributos da declaração de autenticação:" }), "\n", _jsxs(_components.ol, { children: ["\n", _jsxs(_components.li, { children: [_jsx(_components.strong, { children: "AuthenticationContext" }), ": Descreve o método e o contexto da autenticação do usuário, como senha de usuário, autenticação multifator ou single sign-on. Este atributo ajuda o SP a avaliar a força e a confiabilidade do processo de autenticação e determinar os controles de acesso apropriados."] }), "\n", _jsxs(_components.li, { children: [_jsx(_components.strong, { children: "AuthenticationInstant" }), ": Indica o momento em que o usuário foi autenticado pelo IdP. Este carimbo de tempo é crucial para verificar a atualização da autenticação e prevenir ataques de repetição ou sequestro de sessão."] }), "\n", _jsxs(_components.li, { children: [_jsx(_components.strong, { children: "SessionNotOnOrAfter" }), ": Especifica o tempo de expiração da sessão do usuário, após o qual o usuário deve se reautenticar para acessar o serviço. Este atributo ajuda a impor políticas de gerenciamento de sessão e mitigar o risco de acesso não autorizado."] }), "\n"] }), "\n", _jsx(_components.pre, { children: _jsx(_components.code, { className: "language-xml", children: "\n \n urn:oasis:names:tc:SAML:2.0:ac:classes:Password\n \n\n" }) }), "\n", _jsxs(_components.h2, { id: "melhores-práticas-para-segurança-saml", children: ["Melhores práticas para segurança SAML", _jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#melhores-práticas-para-segurança-saml", children: _jsx(_components.span, { children: "#" }) })] }), "\n", _jsxs(_components.ol, { children: ["\n", _jsxs(_components.li, { children: [_jsx(_components.strong, { children: "Use métodos de associação seguros" }), ": Escolha métodos de associação SAML apropriados com base em seus requisitos de segurança e características do canal de comunicação. Use POST HTTP para transmitir dados sensíveis e redirecionamento HTTP para solicitações simples."] }), "\n", _jsxs(_components.li, { children: [_jsx(_components.strong, { children: "Valide assinaturas de afirmações" }), ": Verifique as assinaturas digitais das afirmações SAML para garantir sua integridade e autenticidade. Use o certificado de chave pública do IdP para validar a assinatura e detectar tentativas de adulteração."] }), "\n", _jsxs(_components.li, { children: [_jsx(_components.strong, { children: "Imponha restrições de público" }), ": Inclua restrições de público nas afirmações SAML para limitar o escopo da afirmação ao SP pretendido. Isso previne ataques de repetição de afirmação e acesso não autorizado por outros provedores de serviços."] }), "\n", _jsxs(_components.li, { children: [_jsx(_components.strong, { children: "Proteja a troca de metadados" }), ": Proteja a troca de metadados do SP e do IdP para prevenir adulteração de metadados e ataques de falsificação. Use canais e mecanismos seguros para compartilhar metadados com segurança."] }), "\n", _jsxs(_components.li, { children: [_jsx(_components.strong, { children: "Implemente manipulação segura de estado de retransmissão" }), ": Use valores de estado de retransmissão únicos e imprevisíveis para prevenir ataques CSRF durante a autenticação SAML. Valide o estado de retransmissão para garantir sua integridade e autenticidade."] }), "\n", _jsxs(_components.li, { children: [_jsx(_components.strong, { children: "Imponha o gerenciamento de sessão" }), ": Defina políticas de expiração de sessão e imponha limites de tempo de sessão para mitigar o risco de sequestro de sessão e acesso não autorizado. Use atributos relacionados à sessão nas afirmações SAML para gerenciar as sessões de usuário de forma segura."] }), "\n", _jsxs(_components.li, { children: [_jsx(_components.strong, { children: "Criptografe atributos sensíveis" }), ": Se necessário, criptografe atributos de usuário sensíveis dentro das afirmações SAML para proteger a privacidade do usuário e a confidencialidade dos dados. Use algoritmos de criptografia seguros e práticas de gerenciamento de chaves para proteger dados sensíveis."] }), "\n"] }), "\n", _jsxs(_components.h2, { id: "alternativas-ao-saml", children: ["Alternativas ao SAML", _jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#alternativas-ao-saml", children: _jsx(_components.span, { children: "#" }) })] }), "\n", _jsx(_components.p, { children: "Embora o SAML continue a ser um padrão amplamente adotado para SSO e federação de identidade, oferecendo um conjunto robusto de recursos e mecanismos de segurança, sua idade pode representar desafios para atender às demandas de segurança e usabilidade em evolução das aplicações modernas. Em comparação com o mais contemporâneo OpenID Connect (OIDC) baseado em OAuth 2.0, o SAML tende a ser mais complexo e carece de alguns dos recursos de segurança aprimorados que o OIDC oferece. Por exemplo, o fluxo de autorização de código de várias solicitações seguras do OIDC oferece uma abordagem mais segura do que o fluxo de troca de afirmação SAML relativamente direto. Para organizações que procuram adotar uma solução de federação de identidade mais moderna e flexível, o OIDC pode ser uma alternativa viável ao SAML." }), "\n", _jsx(LogtoCloudButton, { children: "Experimente Logto hoje" })] }); } function MDXContent(props = {}) { const {wrapper: MDXLayout} = { ..._provideComponents(), ...props.components }; return MDXLayout ? _jsx(MDXLayout, { ...props, children: _jsx(_createMdxContent, { ...props }) }) : _createMdxContent(props); } return { headings, readingTime, frontmatter, default: MDXContent }; function _missingMdxReference(id, component) { throw new Error("Expected " + (component ? "component" : "object") + " `" + id + "` to be defined: you likely forgot to import, pass, or provide it."); }