"use strict"; const {Fragment: _Fragment, jsx: _jsx, jsxs: _jsxs} = arguments[0]; const {useMDXComponents: _provideComponents} = arguments[0]; const headings = [{ "data": { "id": "introdução", "hProperties": { "id": "introdução" } }, "depth": 2, "value": "Introdução" }, { "data": { "id": "fluxo-de-autenticação-saml-padrão", "hProperties": { "id": "fluxo-de-autenticação-saml-padrão" } }, "depth": 2, "value": "Fluxo de autenticação SAML padrão" }, { "data": { "id": "fatores-de-segurança-no-saml", "hProperties": { "id": "fatores-de-segurança-no-saml" } }, "depth": 2, "value": "Fatores de segurança no SAML" }, { "data": { "id": "id-da-entidade-sp", "hProperties": { "id": "id-da-entidade-sp" } }, "depth": 3, "value": "ID da entidade SP" }, { "data": { "id": "id-da-entidade-idp", "hProperties": { "id": "id-da-entidade-idp" } }, "depth": 3, "value": "ID da entidade IdP" }, { "data": { "id": "estado-de-retransmissão", "hProperties": { "id": "estado-de-retransmissão" } }, "depth": 3, "value": "Estado de retransmissão" }, { "data": { "id": "assinatura-de-assertção", "hProperties": { "id": "assinatura-de-assertção" } }, "depth": 3, "value": "Assinatura de assertção" }, { "data": { "id": "encriptação-de-assertção", "hProperties": { "id": "encriptação-de-assertção" } }, "depth": 3, "value": "Encriptação de assertção" }, { "data": { "id": "métodos-de-ligação", "hProperties": { "id": "métodos-de-ligação" } }, "depth": 3, "value": "Métodos de ligação" }, { "data": { "id": "elementos-e-considerações-de-segurança-em-assertções-saml", "hProperties": { "id": "elementos-e-considerações-de-segurança-em-assertções-saml" } }, "depth": 2, "value": "Elementos e considerações de segurança em assertções SAML" }, { "data": { "id": "emissor", "hProperties": { "id": "emissor" } }, "depth": 3, "value": "Emissor" }, { "data": { "id": "assinatura", "hProperties": { "id": "assinatura" } }, "depth": 3, "value": "Assinatura" }, { "data": { "id": "condições", "hProperties": { "id": "condições" } }, "depth": 3, "value": "Condições" }, { "data": { "id": "declaração-de-autenticação", "hProperties": { "id": "declaração-de-autenticação" } }, "depth": 3, "value": "Declaração de autenticação" }, { "data": { "id": "melhores-práticas-para-a-segurança-saml", "hProperties": { "id": "melhores-práticas-para-a-segurança-saml" } }, "depth": 2, "value": "Melhores práticas para a segurança SAML" }, { "data": { "id": "alternativas-ao-saml", "hProperties": { "id": "alternativas-ao-saml" } }, "depth": 2, "value": "Alternativas ao SAML" }]; const readingTime = { "minutes": 9, "words": 2796, "text": "9 min read" }; const frontmatter = undefined; function _createMdxContent(props) { const _components = { a: "a", code: "code", h2: "h2", h3: "h3", li: "li", ol: "ol", p: "p", pre: "pre", span: "span", strong: "strong", ul: "ul", ..._provideComponents(), ...props.components }, {LogtoCloudButton} = _components; if (!LogtoCloudButton) _missingMdxReference("LogtoCloudButton", true); return _jsxs(_Fragment, { children: [_jsxs(_components.h2, { id: "introdução", children: ["Introdução", _jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#introdução", children: _jsx(_components.span, { children: "#" }) })] }), "\n", _jsx(_components.p, { children: "A Security Assertion Markup Language (SAML) é um padrão aberto para a troca de dados de autenticação e autorização entre partes, em particular, entre um fornecedor de identidade e um fornecedor de serviço. O SAML é uma linguagem de marcação baseada em XML para assertions de segurança que é usada para sign-on único (SSO) e federação de identidade. É comumente usada em ambientes empresariais para fins de autenticação e autorização." }), "\n", _jsxs(_components.h2, { id: "fluxo-de-autenticação-saml-padrão", children: ["Fluxo de autenticação SAML padrão", _jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#fluxo-de-autenticação-saml-padrão", children: _jsx(_components.span, { children: "#" }) })] }), "\n", _jsx(_components.pre, { children: _jsx(_components.code, { className: "language-mermaid", children: " sequenceDiagram\n actor User\n participant SP as Fornecedor de Serviço\n participant IdP as Fornecedor de Identidade\n\n User->>SP: 1.Pedido de acesso\n SP->>IdP: 2.Redirecionar para IdP com pedido de autenticação SAML\n IdP->>User: 3.Solicitação de credenciais\n User->>IdP: 4.Introduza as credenciais\n IdP->>SP: 5.Enviar assertção de resposta SAML e redirecionar para SP\n SP->>User: 6.Acesso concedido\n" }) }), "\n", _jsxs(_components.ol, { children: ["\n", _jsx(_components.li, { children: "O utilizador solicita acesso a uma aplicação cliente, que atua como um fornecedor de serviço (SP)." }), "\n", _jsx(_components.li, { children: "O SP envia um pedido de autenticação SAML SSO ao fornecedor de identidade (IdP) e redireciona o utilizador para o IdP." }), "\n", _jsx(_components.li, { children: "O IdP solicita ao utilizador as credenciais se o utilizador ainda não estiver autenticado." }), "\n", _jsx(_components.li, { children: "O utilizador introduz credenciais, e o IdP autentica o utilizador." }), "\n", _jsx(_components.li, { children: "O IdP envia uma assertção de resposta SAML para o SP, que inclui o status de autenticação e os atributos do utilizador. O IdP redireciona então o utilizador de volta para o SP." }), "\n", _jsx(_components.li, { children: "O SP recebe a assertção de resposta SAML, valida-a e concede acesso ao utilizador." }), "\n"] }), "\n", _jsxs(_components.h2, { id: "fatores-de-segurança-no-saml", children: ["Fatores de segurança no SAML", _jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#fatores-de-segurança-no-saml", children: _jsx(_components.span, { children: "#" }) })] }), "\n", _jsxs(_components.h3, { id: "id-da-entidade-sp", children: ["ID da entidade SP", _jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#id-da-entidade-sp", children: _jsx(_components.span, { children: "#" }) })] }), "\n", _jsx(_components.p, { children: "Pense no ID da entidade SP como o distintivo único de um SP no contexto da autenticação SAML. É como uma impressão digital que ajuda o IdP a reconhecer o SP durante as suas interações. Este ID é uma parte chave dos metadados do SP, partilhada com o IdP para construir confiança e garantir uma comunicação segura." }), "\n", _jsx(_components.p, { children: "Uso do ID da entidade SP:" }), "\n", _jsxs(_components.ol, { children: ["\n", _jsxs(_components.li, { children: [_jsx(_components.strong, { children: "Registo de metadados" }), ": O atributo ", _jsx(_components.code, { children: "EntityID" }), " é parte dos metadados do SP, partilhado com o IdP para estabelecer uma relação de confiança. Serve como um identificador único para localizar os metadados do SP e obter os detalhes de configuração necessários para interações SAML."] }), "\n", _jsxs(_components.li, { children: [_jsx(_components.strong, { children: "Pedido de autenticação" }), ": O ID da entidade SP é incluído no pedido de autenticação SAML enviado ao IdP, identificando claramente o SP que faz o pedido. O IdP utiliza esta informação para validar o pedido e determinar o contexto de autenticação apropriado."] }), "\n", _jsxs(_components.li, { children: [_jsx(_components.strong, { children: "Audiência de assertção" }), ": Após a autenticação bem-sucedida do utilizador, o ID da entidade SP é incluído na assertção SAML como uma restrição de audiência. Esta medida garante que a assertção se destina exclusivamente ao SP designado e não pode ser utilizada indevidamente por outros SPs."] }), "\n"] }), "\n", _jsx(_components.pre, { children: _jsx(_components.code, { className: "language-mermaid", children: " sequenceDiagram\n participant SP as Fornecedor de Serviço\n participant IdP as Fornecedor de Identidade\n\n SP-->>IdP: Registo de metadados\n SP->>IdP: Pedido de autenticação com ID da entidade SP\n SP-->>SP: Identificar entidade SP\n IdP->>SP: Assertção de resposta SAML com ID da entidade SP como audiência\n IdP-->>IdP: Validar audiência da assertção\n\n" }) }), "\n", _jsxs(_components.h3, { id: "id-da-entidade-idp", children: ["ID da entidade IdP", _jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#id-da-entidade-idp", children: _jsx(_components.span, { children: "#" }) })] }), "\n", _jsx(_components.p, { children: "Por outro lado, o ID da entidade IdP é o rótulo especial para o IdP. Ajuda a identificar o IdP dentro do ecossistema SAML, tornando fácil para o SP encontrá-lo. Este ID está incluído nos metadados do IdP e é partilhado com o SP, fomentando uma relação de confiança e conexões seguras." }), "\n", _jsx(_components.p, { children: "Uso do ID da entidade IdP:" }), "\n", _jsxs(_components.ol, { children: ["\n", _jsxs(_components.li, { children: [_jsx(_components.strong, { children: "Registo de metadados" }), ": O atributo ", _jsx(_components.code, { children: "EntityID" }), " também está incluído nos metadados do IdP, partilhado com o SP para estabelecer uma relação de confiança. Serve como um identificador único para localizar os metadados do IdP e obter os detalhes de configuração necessários para o SP validar respostas SAML."] }), "\n", _jsxs(_components.li, { children: [_jsx(_components.strong, { children: "Emissor de assertção" }), ": Quando o IdP gera uma assertção SAML, inclui o seu ID de entidade como o emissor. Este atributo indica a entidade que emitiu a assertção e ajuda o SP a verificar a autenticidade e integridade da assertção."] }), "\n"] }), "\n", _jsx(_components.pre, { children: _jsx(_components.code, { className: "language-mermaid", children: " sequenceDiagram\n participant SP as Fornecedor de Serviço\n participant IdP as Fornecedor de Identidade\n\n IdP-->>SP: Registo de metadados\n IdP->>SP: Assertção de resposta SAML com ID da entidade IdP como emissor\n SP-->>SP: Validar emissor da assertção\n\n" }) }), "\n", _jsxs(_components.h3, { id: "estado-de-retransmissão", children: ["Estado de retransmissão", _jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#estado-de-retransmissão", children: _jsx(_components.span, { children: "#" }) })] }), "\n", _jsx(_components.p, { children: "O estado de retransmissão é um parâmetro usado na autenticação SAML que facilita a transferência de informação de estado entre o SP e o IdP. Atua como uma ponte entre os fluxos SSO iniciados pelo SP e pelo IdP, preservando o contexto e o estado de sessão do utilizador durante o processo de autenticação." }), "\n", _jsx(_components.p, { children: "Uso do estado de retransmissão:" }), "\n", _jsxs(_components.ol, { children: ["\n", _jsxs(_components.li, { children: [_jsx(_components.strong, { children: "Manutenção do contexto do utilizador" }), ": O estado de retransmissão permite que o SP passe informações adicionais para o IdP durante o processo de autenticação. Esta informação pode incluir o estado de sessão do utilizador, contexto da aplicação, ou quaisquer outros dados relevantes que precisam de ser preservados ao longo do fluxo SAML. Tais como o URL ou ID de sessão da aplicação que o utilizador estava a aceder antes da autenticação."] }), "\n", _jsxs(_components.li, { children: [_jsx(_components.strong, { children: "Prevenção de ataques CSRF" }), ": O estado de retransmissão é crucial para prevenir ataques de falsificação de pedido entre sites (CSRF) durante a autenticação SAML. Ao incluir um valor de estado de retransmissão único e imprevisível no pedido de autenticação, o SP pode verificar a integridade da resposta SAML e assegurar que corresponde ao pedido original."] }), "\n"] }), "\n", _jsx(_components.pre, { children: _jsx(_components.code, { className: "language-mermaid", children: " sequenceDiagram\n participant SP as Fornecedor de Serviço\n participant IdP as Fornecedor de Identidade\n\n SP-->>SP: Gerar e persistir estado de retransmissão\n SP->>IdP: Pedido de autenticação com estado de retransmissão\n IdP->>SP: Assertção de resposta SAML com estado de retransmissão\n SP-->>SP: Validar estado de retransmissão e restaurar contexto do utilizador\n\n" }) }), "\n", _jsxs(_components.h3, { id: "assinatura-de-assertção", children: ["Assinatura de assertção", _jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#assinatura-de-assertção", children: _jsx(_components.span, { children: "#" }) })] }), "\n", _jsx(_components.p, { children: "A assinatura de assertção é uma característica de segurança crítica no SAML que garante a integridade, autenticidade e não-repúdio das assertções SAML. Envolve assinar digitalmente a assertção SAML usando a chave privada do IdP, permitindo que o SP verifique a origem da assertção e detecte quaisquer tentativas de adulteração." }), "\n", _jsx(_components.p, { children: "Como funciona a assinatura de assertção:" }), "\n", _jsxs(_components.ol, { children: ["\n", _jsxs(_components.li, { children: [_jsx(_components.strong, { children: "Geração de par de chaves" }), ": O IdP gera um par de chaves pública-privada, onde a chave privada é usada para assinar a assertção SAML, e a chave pública é partilhada com o SP para verificação. Este esquema de encriptação assimétrica assegura que apenas o IdP pode assinar a assertção, enquanto o SP pode validá-la."] }), "\n", _jsxs(_components.li, { children: [_jsx(_components.strong, { children: "Certificado partilhado" }), ": O IdP fornece ao SP o seu certificado de chave pública, que contém a chave pública usada para verificar a assinatura de assertção. Normalmente, este certificado fará parte dos metadados do IdP, ou o SP pode obtê-lo através de um processo de download seguro."] }), "\n", _jsxs(_components.li, { children: [_jsx(_components.strong, { children: "Assinatura de assertção" }), ": Após a autenticação do utilizador, o IdP assina digitalmente a assertção SAML usando sua chave privada. Esta assinatura é incluída na assertção, juntamente com o certificado de chave pública, permitindo ao SP verificar a autenticidade da assertção."] }), "\n", _jsxs(_components.li, { children: [_jsx(_components.strong, { children: "Verificação de assertção" }), ": Ao receber a assertção SAML, o SP utiliza a chave pública do IdP para verificar a assinatura da assertção. Se a assinatura for válida, o SP pode confiar na assertção e conceder acesso ao utilizador."] }), "\n"] }), "\n", _jsx(_components.pre, { children: _jsx(_components.code, { className: "language-mermaid", children: " sequenceDiagram\n participant SP as Fornecedor de Serviço\n participant IdP as Fornecedor de Identidade\n\n IdP-->>IdP: Gerar par de chaves pública-privada\n IdP-->>SP: Partilhar certificado de chave pública\n SP->>IdP: Pedido de autenticação\n IdP->>SP: Assinar assertção SAML com chave privada\n SP-->>SP: Verificar assinatura da assertção usando chave pública\n" }) }), "\n", _jsxs(_components.h3, { id: "encriptação-de-assertção", children: ["Encriptação de assertção", _jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#encriptação-de-assertção", children: _jsx(_components.span, { children: "#" }) })] }), "\n", _jsx(_components.p, { children: "Além da assinatura, o SAML também suporta a encriptação de assertção para proteger atributos e dados do utilizador transmitidos entre o IdP e o SP. Ao encriptar a assertção, o IdP assegura que apenas o destinatário pretendido (SP) pode desencriptar e aceder ao conteúdo da assertção, salvaguardando a privacidade e confidencialidade do utilizador. A encriptação de assertção é uma característica de segurança opcional no SAML que pode ser usada para melhorar a proteção de dados." }), "\n", _jsx(_components.p, { children: "Uso da encriptação de assertção:" }), "\n", _jsxs(_components.ol, { children: ["\n", _jsxs(_components.li, { children: [_jsx(_components.strong, { children: "Proteção de atributos sensíveis" }), ": A encriptação de assertção é particularmente útil para proteger atributos sensíveis do utilizador, como Informações Pessoais Identificáveis (PII), dados financeiros ou registos de saúde. Ao encriptar esses atributos dentro da assertção, o IdP previne o acesso não autorizado e garante a confidencialidade dos dados."] }), "\n"] }), "\n", _jsx(_components.p, { children: "Como funciona a encriptação de assertção:" }), "\n", _jsxs(_components.ol, { children: ["\n", _jsxs(_components.li, { children: [_jsx(_components.strong, { children: "Troca de chaves" }), ": O IdP e o SP estabelecem um mecanismo seguro de troca de chaves para partilhar chaves de encriptação para proteger a assertção SAML. Isto pode envolver o uso de chaves de encriptação simétrica ou esquemas de encriptação de chave pública, dependendo do algoritmo de encriptação e da estratégia de gestão de chaves."] }), "\n", _jsxs(_components.li, { children: [_jsx(_components.strong, { children: "Encriptação de atributos" }), ": Após gerar a assertção SAML, o IdP encripta os atributos sensíveis do utilizador usando a chave de encriptação partilhada. Os atributos encriptados são incorporados dentro da assertção, garantindo que apenas o SP pode desencriptar e aceder aos dados."] }), "\n", _jsxs(_components.li, { children: [_jsx(_components.strong, { children: "Desencriptação de assertção" }), ": Ao receber a assertção encriptada, o SP desencripta os atributos protegidos usando a chave de encriptação partilhada. Este processo permite que o SP aceda aos dados sensíveis do utilizador de forma segura e os processe conforme necessário."] }), "\n"] }), "\n", _jsx(_components.pre, { children: _jsx(_components.code, { className: "language-mermaid", children: " sequenceDiagram\n participant SP as Fornecedor de Serviço\n participant IdP as Fornecedor de Identidade\n\n IdP-->>IdP: Gerar chave de encriptação\n IdP-->>SP: Partilhar chave de encriptação\n IdP->>SP: Encriptar atributos sensíveis na assertção SAML\n SP-->>SP: Desencriptar atributos encriptados\n" }) }), "\n", _jsxs(_components.h3, { id: "métodos-de-ligação", children: ["Métodos de ligação", _jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#métodos-de-ligação", children: _jsx(_components.span, { children: "#" }) })] }), "\n", _jsx(_components.p, { children: "Os métodos de ligação SAML definem como as mensagens SAML são transmitidas entre o SP e o IdP através de diferentes protocolos de comunicação. Especificam a codificação, transporte e mecanismos de segurança usados para trocar assertções e pedidos SAML, garantindo uma comunicação segura e fiável entre as partes envolvidas." }), "\n", _jsx(_components.p, { children: "Tanto o SP quanto o IdP especificarão quais métodos de ligação suportam nos seus metadados, permitindo-lhes negociar o método apropriado para interações SAML. A escolha do método de ligação depende de fatores como o tamanho da mensagem, requisitos de segurança, e as características do canal de comunicação." }), "\n", _jsx(_components.p, { children: "Métodos de ligação SAML:" }), "\n", _jsxs(_components.ol, { children: ["\n", _jsxs(_components.li, { children: [_jsx(_components.strong, { children: "Redirecionamento HTTP" }), ": As mensagens SAML são codificadas como parâmetros de URL e transmitidas via redirecionamento HTTP. Esta ligação é adequada para cenários onde o tamanho da mensagem é limitado, e o canal de comunicação não é seguro."] }), "\n", _jsxs(_components.li, { children: [_jsx(_components.strong, { children: "POST HTTP" }), ": As mensagens SAML são codificadas como parâmetros de formulário e transmitidas via pedidos POST HTTP. Esta ligação é usada quando o tamanho da mensagem excede o limite do comprimento do URL ou quando medidas adicionais de segurança são necessárias."] }), "\n", _jsxs(_components.li, { children: [_jsx(_components.strong, { children: "Artefato" }), ": As mensagens SAML são transmitidas usando tokens de curta duração chamados artefatos, que são trocados sobre um canal seguro entre o SP e o IdP. Esta ligação é adequada para cenários onde a confidencialidade e integridade da mensagem são críticas, e o canal de comunicação é seguro."] }), "\n"] }), "\n", _jsx(_components.p, { children: "Métodos de ligação mais comuns:" }), "\n", _jsxs(_components.ul, { children: ["\n", _jsxs(_components.li, { children: [_jsx(_components.strong, { children: "Pedido de autenticação" }), ": O pedido de autenticação do SP para o IdP é tipicamente transmitido usando o Redirecionamento HTTP devido à sua simplicidade e eficiência. O SP codifica o pedido SAML como parâmetros de URL e redireciona o navegador do utilizador para o IdP para autenticação. Isto é conhecido como o fluxo de SSO iniciado pelo SP."] }), "\n", _jsxs(_components.li, { children: [_jsx(_components.strong, { children: "Resposta de assertção" }), ": A assertção de resposta SAML do IdP para o SP é geralmente transmitida usando o método de ligação POST HTTP. O IdP codifica a assertção SAML como parâmetros de formulário e publica-a de volta para o SP para validação. Isto assegura que a assertção é transmitida de forma segura sem expor dados sensíveis no URL. Além disso, a ligação POST HTTP pode lidar com tamanhos de mensagem maiores em comparação com a ligação Redirecionamento HTTP."] }), "\n"] }), "\n", _jsx(_components.pre, { children: _jsx(_components.code, { className: "language-mermaid", children: " sequenceDiagram\n participant SP as Fornecedor de Serviço\n participant IdP as Fornecedor de Identidade\n\n SP->>IdP: Pedido de autenticação (Redirecionamento HTTP)\n IdP->>SP: Resposta de assertção (POST HTTP)\n" }) }), "\n", _jsxs(_components.h2, { id: "elementos-e-considerações-de-segurança-em-assertções-saml", children: ["Elementos e considerações de segurança em assertções SAML", _jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#elementos-e-considerações-de-segurança-em-assertções-saml", children: _jsx(_components.span, { children: "#" }) })] }), "\n", _jsxs(_components.h3, { id: "emissor", children: ["Emissor", _jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#emissor", children: _jsx(_components.span, { children: "#" }) })] }), "\n", _jsx(_components.p, { children: "Como mencionado anteriormente, o emissor é um atributo chave em assertções SAML que identifica a entidade que emitiu a assertção. O emissor é tipicamente o IdP que autenticou o utilizador e gerou a assertção. Ao incluir o atributo emissor na assertção, o SP pode verificar a origem da assertção e garantir que vem de uma fonte confiável." }), "\n", _jsx(_components.pre, { children: _jsx(_components.code, { className: "language-xml", children: " http://idp.example.com/metadata.php\n" }) }), "\n", _jsxs(_components.h3, { id: "assinatura", children: ["Assinatura", _jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#assinatura", children: _jsx(_components.span, { children: "#" }) })] }), "\n", _jsx(_components.p, { children: "O elemento assinatura numa assertção SAML contém a assinatura digital gerada pelo IdP para garantir a integridade e autenticidade da assertção. A assinatura é criada utilizando a chave privada do IdP e incluída na assertção junto com o certificado de chave pública para verificação pelo SP. Ao validar a assinatura, o SP pode verificar que a assertção não foi adulterada e vem do IdP esperado." }), "\n", _jsx(_components.pre, { children: _jsx(_components.code, { className: "language-xml", children: "\n \n \n \n \n \n \n \n \n \n ...\n \n \n ...\n \n \n ...\n \n \n" }) }), "\n", _jsxs(_components.h3, { id: "condições", children: ["Condições", _jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#condições", children: _jsx(_components.span, { children: "#" }) })] }), "\n", _jsx(_components.p, { children: "O elemento condições numa assertção SAML define as restrições e limitações que se aplicam à validade e uso da assertção. Inclui condições como o período de validade da assertção, restrições de audiência, e outras restrições contextuais que o SP deve impor ao processar a assertção." }), "\n", _jsx(_components.pre, { children: _jsx(_components.code, { className: "language-xml", children: "\n \n https://sp.example.com\n \n\n" }) }), "\n", _jsxs(_components.h3, { id: "declaração-de-autenticação", children: ["Declaração de autenticação", _jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#declaração-de-autenticação", children: _jsx(_components.span, { children: "#" }) })] }), "\n", _jsx(_components.p, { children: "A declaração de autenticação (AuthnStatement) é um componente chave da assertção SAML que fornece informações sobre o status de autenticação do utilizador e o contexto. Inclui detalhes como o método de autenticação usado, o tempo de autenticação, e qualquer informação de contexto de autenticação relevante, permitindo ao SP tomar decisões de controlo de acesso informadas com base no estado de autenticação do utilizador." }), "\n", _jsx(_components.p, { children: "Atributos de declaração de autenticação:" }), "\n", _jsxs(_components.ol, { children: ["\n", _jsxs(_components.li, { children: [_jsx(_components.strong, { children: "AuthenticationContext" }), ": Descreve o método e o contexto de autenticação do utilizador, como nome de utilizador e senha, autenticação multifator ou sign-on único. Este atributo ajuda o SP a avaliar a força e a fiabilidade do processo de autenticação e determinar os controlos de acesso apropriados."] }), "\n", _jsxs(_components.li, { children: [_jsx(_components.strong, { children: "AuthenticationInstant" }), ": Indica o momento em que o utilizador foi autenticado pelo IdP. Este timestamp é crucial para verificar a frescura da autenticação e prevenir ataques de repetição ou sequestro de sessão."] }), "\n", _jsxs(_components.li, { children: [_jsx(_components.strong, { children: "SessionNotOnOrAfter" }), ": Especifica o tempo de expiração da sessão do utilizador, após o qual o utilizador deve re-autenticar-se para aceder ao serviço. Este atributo ajuda a impor políticas de gestão de sessão e mitigar o risco de acesso não autorizado."] }), "\n"] }), "\n", _jsx(_components.pre, { children: _jsx(_components.code, { className: "language-xml", children: "\n \n urn:oasis:names:tc:SAML:2.0:ac:classes:Password\n \n\n" }) }), "\n", _jsxs(_components.h2, { id: "melhores-práticas-para-a-segurança-saml", children: ["Melhores práticas para a segurança SAML", _jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#melhores-práticas-para-a-segurança-saml", children: _jsx(_components.span, { children: "#" }) })] }), "\n", _jsxs(_components.ol, { children: ["\n", _jsxs(_components.li, { children: [_jsx(_components.strong, { children: "Use métodos de ligação seguros" }), ": Escolha métodos de ligação SAML apropriados com base nos seus requisitos de segurança e características do canal de comunicação. Use POST HTTP para transmitir dados sensíveis e Redirecionamento HTTP para pedidos simples."] }), "\n", _jsxs(_components.li, { children: [_jsx(_components.strong, { children: "Valide assinaturas de assertção" }), ": Verifique as assinaturas digitais das assertções SAML para garantir a sua integridade e autenticidade. Utilize o certificado de chave pública do IdP para validar a assinatura e detectar tentativas de adulteração."] }), "\n", _jsxs(_components.li, { children: [_jsx(_components.strong, { children: "Implemente restrições de audiência" }), ": Inclua restrições de audiência em assertções SAML para limitar o alcance da assertção ao SP pretendido. Isto previne ataques de repetição de assertção e acesso não autorizado por outros fornecedores de serviços."] }), "\n", _jsxs(_components.li, { children: [_jsx(_components.strong, { children: "Proteja a troca de metadados" }), ": Proteja a troca de metadados entre o SP e o IdP para evitar adulterações e ataques de falsificação de metadados. Use canais seguros e mecanismos para partilhar metadados de forma segura."] }), "\n", _jsxs(_components.li, { children: [_jsx(_components.strong, { children: "Implemente manuseio seguro de estado de retransmissão" }), ": Use valores de estado de retransmissão únicos e imprevisíveis para prevenir ataques CSRF durante a autenticação SAML. Valide o estado de retransmissão para garantir a sua integridade e autenticidade."] }), "\n", _jsxs(_components.li, { children: [_jsx(_components.strong, { children: "Implemente a gestão de sessão" }), ": Defina políticas de expiração de sessão e imponha tempos limite de sessão para mitigar o risco de sequestro de sessão e acesso não autorizado. Utilize atributos relacionados à sessão em assertções SAML para gerir sessões de utilizador de forma segura."] }), "\n", _jsxs(_components.li, { children: [_jsx(_components.strong, { children: "Encripte atributos sensíveis" }), ": Se necessário, encripte atributos sensíveis do utilizador em assertções SAML para proteger a privacidade e confidencialidade dos dados do utilizador. Utilize algoritmos de encriptação seguros e práticas de gestão de chaves para salvaguardar dados sensíveis."] }), "\n"] }), "\n", _jsxs(_components.h2, { id: "alternativas-ao-saml", children: ["Alternativas ao SAML", _jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#alternativas-ao-saml", children: _jsx(_components.span, { children: "#" }) })] }), "\n", _jsx(_components.p, { children: "Embora o SAML continue a ser um padrão amplamente adotado para SSO e federação de identidade, oferecendo um conjunto robusto de funcionalidades e mecanismos de segurança, a sua idade pode representar desafios para atender às demandas de segurança e usabilidade em evolução de aplicações modernas. Quando comparado ao mais contemporâneo OAuth 2.0 baseado em OpenID Connect (OIDC), o SAML tende a ser mais complexo e carece de alguns dos recursos de segurança aprimorados que o OIDC fornece. Por exemplo, o fluxo de autorização de pedido multi-segurança do OIDC oferece uma abordagem mais segura do que o relativamente simples fluxo de troca de assertção SAML. Para organizações que procuram adotar uma solução de federação de identidade mais moderna e flexível, o OIDC pode ser uma alternativa viável ao SAML." }), "\n", _jsx(LogtoCloudButton, { children: "Experimente Logto hoje" })] }); } function MDXContent(props = {}) { const {wrapper: MDXLayout} = { ..._provideComponents(), ...props.components }; return MDXLayout ? _jsx(MDXLayout, { ...props, children: _jsx(_createMdxContent, { ...props }) }) : _createMdxContent(props); } return { headings, readingTime, frontmatter, default: MDXContent }; function _missingMdxReference(id, component) { throw new Error("Expected " + (component ? "component" : "object") + " `" + id + "` to be defined: you likely forgot to import, pass, or provide it."); }