Inicio de sesión único de navegador web SAML 2.0

El inicio de sesión único (SSO) del navegador web SAML permite a las aplicaciones web delegar la autenticación de usuario a un proveedor de identidad SAML, en lugar de un registro de usuarios configurado.

SAML (Security Assertion Markup Language) es un estándar abierto de OASIS para representar e intercambiar información de identidad de usuarios, autenticación y atributos. Una aserción SAML es una señal con formato XML que se utiliza para transferir información de atributo e identidad de usuario del proveedor de identidad de un usuario a un proveedor de servicio de confianza como parte de la finalización de una solicitud de inicio de sesión único. Una aserción SAML proporciona un medio neutral para el proveedor para transferir información entre business partners de federación. Mediante el uso de SAML, un proveeedor de servicios de negocio puede contactar con un proveedor de identidad de empresa independiente para autenticar usuarios que están intentando acceder a contenido seguro.

WebSphere Application Server Liberty soporta el perfil de inicio de sesión único del navegador web SAML con enlaces de HTTP Post y actúa como un proveedor de servicio SAML. Un usuario web se autentica con un proveedor de identidad SAML, que genera una aserción SAML y el proveedor de servicio WebSphere SAML utiliza la aserción SAML para establecer un contexto de seguridad para el usuario web.

El fuljo de SSO web SAML incluye tres actores: el usuario final, el proveedor de identidad (IdP) y el proveedor de servicio (PS). El usuario siempre se autentica en el IdP, y el PS se basa en la aserción IdP para identificar al usuario.

Figura 1. Conceptos clave en el inicio de sesión único web

El flujo de SSO web SAML incluye tres actores: el usuario final, el proveedor de identidad (IdP) y el proveedor de servicio (PS). El usuario siempre se autentica en el IdP, y el PS se basa en la aserción IdP para identificar al usuario.

Escenarios del SSO de navegador web SAML de Liberty

Figura 2. Escenario 1: SSO web solicitado iniciado por el PS (el usuario final a partir del PS)
SSO web solicitado iniciado por el PS (el usuario final a partir del PS)
  1. El usuario final visita el PS.
  2. El PS redirecciona el usuario al IdP.
  3. El usuario final se autentica en el IdP.
  4. El IdP envía la respuesta y la aserción SAML al PS.
  5. El PS verifica la respuesta SAML y autoriza la solicitud de usuario.
Figura 3. Escenario 2: SSO web no solicitado iniciado por el IdP (el usuario final a partir del IdP)
SSO web no solicitado iniciado por el IdP (el usuario final a partir del IdP)
  1. El agente de usuario accede al IdP SAML.
  2. El IdP autentica el usuario y emite una aserción SAML.
  3. El IdP redirecciona el usuario al PS con una SAMLResponse
  4. El PS verifica la respuesta SAML y autoriza la solicitud del usuario.
Figura 4. Escenario 3: proveedor de OpenID Connect y proveedor de servicio SAML
proveedor de OpenID Connect y proveedor de servicio SAML
  1. El usuario final visita a la parte confiante (RP) de OpenID Connect.
  2. El RP redirecciona el usuario final al proveedor de OpenID (OP).
  3. El OP (también el SP SAML) redirecciona el usuario final al IdP SAML.
  4. El usuario final se autentica en el IdP SAML.
  5. El IdP redirecciona el usuario final al OP o PS con una SAMLResponse.
  6. El OP/PS verifica SAML, y envía un código de autorización al RP.
  7. El RP intercambia código para id_token y access_token.
  8. El RP verifica id_token y autoriza al usuario final.

Icono que indica el tipo de tema Tema de concepto



Icono de indicación de fecha y hora Última actualización: Tuesday, 6 December 2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=cwlp_saml_web_sso
Nombre de archivo:cwlp_saml_web_sso.html