SAML, Definición y Funcionamiento

¿Qué es SAML?

SAML (Security Assertion Markup Language) es un estándar abierto basado en XML que permite el intercambio seguro de información de autenticación y autorización entre distintos dominios de seguridad. Su objetivo principal es habilitar el Single Sign-On (SSO), permitiendo que un usuario se autentique una sola vez en un sistema (Identity Provider) y acceda a múltiples aplicaciones o servicios (Service Providers) sin necesidad de iniciar sesión repetidamente.

SAML es ampliamente utilizado en entornos empresariales, especialmente en aplicaciones web y servicios en la nube, por su compatibilidad con distintos sistemas de gestión de identidad y su enfoque en seguridad.

Componentes principales de SAML

1. Identity Provider (IdP)
   Es el proveedor de identidad que autentica al usuario. Gestiona las credenciales y asegura que la información de autenticación es válida. Ejemplos: Azure AD, Okta, ADFS.
2. Service Provider (SP)
   Es la aplicación o servicio que recibe la información de autenticación del IdP y otorga acceso al usuario basándose en ella. Ejemplos: Salesforce, Google Workspace, SAP.
3. Usuario (Principal)
   Es el sujeto que solicita acceso a un servicio o aplicación.
4. Assertions (Aserciones)
   Son declaraciones emitidas por el IdP que contienen información sobre la autenticación del usuario y, opcionalmente, sobre sus atributos o permisos.
5. Protocolo SAML
   Define cómo se envían las aserciones entre el IdP y el SP, generalmente mediante redirecciones HTTP o POST.

Cómo funciona SAML

El flujo de SAML típicamente sigue estos pasos:

1. Solicitud de acceso
   El usuario intenta acceder a un servicio protegido por SAML (SP).
2. Redirección al IdP
   El SP detecta que el usuario no está autenticado y lo redirige al IdP.
3. Autenticación en el IdP
   El usuario proporciona sus credenciales al IdP, que las valida.
4. Generación de la aserción SAML
   El IdP crea una SAML Assertion, firmada digitalmente, que contiene información de autenticación y atributos del usuario.
5. Envío de la aserción al SP
   El IdP envía la aserción al SP, normalmente mediante un POST HTTP al endpoint del SP.
6. Validación de la aserción
   El SP verifica la firma de la aserción, asegura que proviene de un IdP confiable y que no ha expirado.
7. Acceso concedido
   Una vez validada la aserción, el SP otorga acceso al usuario según los permisos indicados en la aserción.

Beneficios de SAML

• Single Sign-On (SSO): El usuario inicia sesión una vez y accede a múltiples servicios.
• Seguridad: Las credenciales no se transmiten entre el SP y el IdP, se usan aserciones firmadas digitalmente.
• Interoperabilidad: Compatible con distintos sistemas de gestión de identidades y aplicaciones.
• Centralización de control: La autenticación y políticas de seguridad se gestionan desde el IdP.

Casos de uso comunes

• Integración de aplicaciones corporativas en la nube (Office 365, Salesforce, Google Workspace).
• Federaciones de identidad entre empresas o socios comerciales.
• Plataformas de educación o gobierno que requieren autenticación centralizada.

SAML se ha consolidado como un estándar clave para la gestión de identidades y acceso seguro, ofreciendo un equilibrio entre usabilidad y seguridad en entornos corporativos modernos.

Binario 0

Redacción Binario 0

See author's posts