SAML 2.0 Web Browser Single-Sign-On
SAML Web Browser Single-Sign-On (SSO) permet aux applications Web de déléguer l'authentification utilisateur à un fournisseur d'identité SAML au lieu d'un registre d'utilisateurs configuré.
Le langage SAML (Security Assertion Markup Language) est une norme ouverte OASIS de représentation et d'échange d'informations sur l'identité, l'authentification et l'attribut de l'utilisateur. Une assertion SAML est un jeton au format XML qui est utilisé pour transférer les informations d'identité et d'attribut utilisateur depuis le fournisseur d'identité d'un utilisateur vers service sécurisé, dans le cadre du traitement d'une demande de connexion unique. Une assertion SAML constitue pour un fournisseur un méthode neutre de transfert des informations entre les partenaire commerciaux d'une fédération. Grâce à SAML, un fournisseur de services d'entreprise peut contacter un fournisseur d'identité d'entreprise distinct afin d'authentifier des utilisateurs qui essaient d'accéder à un contenu sécurisé.
WebSphere Application Server Liberty prend en charge le profil de connexion unique du navigateur Web SAML avec liaisons HTTP Post et fait office de fournisseur de service SAML. Une utilisateur Web s'authentifie auprès d'un fournisseur d'identité SAML, lequel produit une assertion SAML, et le fournisseur de services WebSphere SAML utilise l'assertion SAML afin d'établir un contexte de sécurité pour l'utilisateur Web.
Le flux SSO Web SAML comprend trois acteurs : l'utilisateur final, le fournisseur d'identité et le fournisseur de services. L'utilisateur s'authentifie auprès du fournisseur d'identité et le fournisseur de support se base sur l'assertion de=u fournisseur d'identité pour identifier l'utilisateur.

Scénarios Liberty SAML Web Browser SSO

- L'utilisateur final visite le fournisseur de services.
- Le fournisseur de services redirige l'utilisateur vers le fournisseur d'identité.
- L'utilisateur final s'authentifie auprès du fournisseur d'identité.
- Le fournisseur d'identité envoie la réponse et l'assertion SAML au fournisseur de services.
- Le fournisseur de services vérifie la réponse SAML et autorise la demande de l'utilisateur.

- L'agent utilisateur accède au fournisseur d'identité SAML.
- Le fournisseur d'identité authentifie l'utilisateur et émet une assertion SAML.
- Le fournisseur d'identité redirige l'utilisateur vers le fournisseur de services avec une réponse SAML.
- Le fournisseur de services vérifie la réponse SAML et autorise la demande de l'utilisateur.

- L'utilisateur final visite la partie utilisatrice OpenID Connect.
- La partie utilisatrice redirige l'utilisateur final vers le fournisseur OpenID Connect.
- Le fournisseur OpenID Connect (également fournisseur de services SAML) redirige l'utilisateur final vers le fournisseur d'identité SAML.
- L'utilisateur final s'authentifie auprès u fournisseur d'identité SAML.
- Le fournisseur d'identité redirige l'utilisateur final vers le fournisseur OpenID Connect ou le fournisseur de services avec une réponse SAML.
- Le fournisseur OpenID Connect/fournisseur de services vérifie SAML et envoie un code d'autorisation à la partie utilisatrice.
- La partie utilisatrice échange le code de id_token et access_token.
- La partie utilisatrice vérifie id_token et autorise l'utilisateur final.