SAML versus OAuth: qual é a diferença?

A principal diferença entre a linguagem de marcação de asserção de segurança (SAML) e a autorização aberta (OAuth) está em suas funções: a SAML se concentra na autenticação, enquanto a OAuth dedica-se à autorização. Apesar de suas diferenças, tanto a SAML quanto a OAuth são necessárias para melhorar a segurança geral de sua organização, permitindo que usuários autorizados confirmem suas identidades e acessem os recursos adequados.

Continue lendo para saber o que são SAML e OAuth, suas diferenças e semelhanças, e também se sua organização deve usá-las.

O que é SAML?

A linguagem de marcação de asserção de segurança (SAML) simplifica o processo de login ao permitir que usuários usem um conjunto de credenciais para acessar vários sistemas, sem reinserir credenciais de login todas as vezes. A SAML funciona enviando informações de autenticação em um formato específico entre um provedor de identidade (IdP) e um aplicativo da web. Quando você tenta fazer login, o aplicativo da web que usa SAML para autenticação pede ao provedor de identidade para autenticar suas credenciais de login. Depois de inserir seu nome de usuário e sua senha, o IdP envia uma mensagem especial para o aplicativo da web chamada asserção SAML, confirmando que sua identidade foi verificada. O IdP enviará a asserção SAML para o aplicativo da web original no qual você queria fazer login, que então avalia a asserção SAML para conceder acesso. A SAML simplifica o processo de login em vários aplicativos da web, minimizando o tempo gasto fazendo login em cada aplicativo.

O que é OAuth?

A autorização aberta (OAuth) permite compartilhar acesso a dados com aplicativos de terceiros sem conceder acesso às suas credenciais de login. Imagine que você deseja usar um aplicativo que precisa de acesso às fotos de sua câmera armazenadas na nuvem. O aplicativo pedirá permissão para acessar esses dados, redirecionando você para fazer login em seu provedor de armazenamento em nuvem. Após o login, será perguntado se você deseja que o aplicativo tenha acesso às fotos de sua câmera. Se você aceitar, o serviço em nuvem criará um token de acesso, que concede ao aplicativo acesso às fotos de sua câmera sem revelar suas credenciais de login. Ao conceder acesso com uma chave em vez de sua senha, você evita compartilhar suas credenciais de login com um aplicativo de terceiros. Em vez disso, um aplicativo de terceiros terá acesso apenas àquilo que você aprovar para visualização.

As principais diferenças entre SAML e OAuth

Embora tanto a SAML quanto a OAuth sejam protocolos de segurança importantes que sua organização deve implementar para proteger dados, há várias diferenças importantes entre os dois.

SAML e OAuth têm casos de uso diferentes

A SAML foi projetada para autenticação corporativa, enquanto a OAuth foi criada para autorização entre aplicativos ou serviços. Quando você quer fazer login em vários serviços sem inserir suas credenciais de login todas as vezes, a SAML é especialmente útil em ambientes empresariais. Digamos que sua organização usa aplicativos diferentes para email, marketing, vendas e RH. Com a SAML, se você fizer login uma vez no portal de sua organização, pode acessar todos os aplicativos necessários sem precisar fazer login várias vezes.

A OAuth ajuda a manter suas credenciais de login seguras enquanto compartilha dados com aplicativos, como em plataformas de redes sociais ou serviços de terceiros. Por exemplo: se você abrir um aplicativo para trabalhar que exige o login com sua conta do Google, esse aplicativo está usando OAuth. Isso significa que, depois de sua autorização, o aplicativo pode acessar seus dados sem precisar de sua senha.

SAML e OAuth têm modelos de segurança diferentes

A SAML usa assinaturas digitais e asserções para proteger dados, enquanto a OAuth utiliza tokens de acesso. As asserções SAML confirmam que você é quem diz ser ao verificar sua identidade durante o processo de login. Elas geralmente são assinadas com assinaturas digitais, o que garante que suas informações não foram alteradas e são confiáveis.

Em vez de usar asserções ou assinaturas digitais, a OAuth usa tokens e escopos para autorizar usuários. Se você permitir que um aplicativo acesse seus dados, ele recebe um token de acesso que o deixa ver seus dados sem precisar de suas credenciais de login. Os escopos permitem determinar o tipo dos tokens de acesso. A OAuth concede permissões específicas sem compartilhar sua senha, enfatizando a integridade dos dados e restringindo aplicativos de terceiros apenas aos dados necessários.

SAML e OAuth usam formatos de dados diferentes

A SAML usa asserções baseadas em XML que contêm atributos de usuário detalhados. As asserções SAML em formato XML incluem informações sobre um usuário, a última vez que ele fez login e ao que ele deve ter acesso. Como o XML é complexo, pode ser mais difícil de ler e gerenciar, tornando-o uma escolha melhor para grandes empresas.

Em contraste, a OAuth usa a notação de objetos em JavaScript (JSON) para representar dados. Como JSON é mais fácil de ler do que XML, esse formato é popular para dados em aplicativos da web. Os tokens de acesso OAuth geralmente são representados como objetos JSON que especificam quando o token irá expirar, quais permissões são concedidas e o tipo de token sendo usado para acessar dados.

É mais complexo implementar a SAML do que a OAuth

A SAML usa asserções para verificar as identidades dos usuários e exige que vários sistemas funcionem simultaneamente, o que exige configurações complexas para garantir que os usuários sejam autenticados de acordo. Em termos de segurança, a SAML oferece recursos mais extensos, incluindo assinaturas digitais e asserções criptografadas, o que torna mais complexa sua implementação com várias camadas de segurança.

A OAuth é muito mais direta e simples, principalmente porque usa JSON para representação de dados em vez de XML. Como JSON é mais simples de ler e mais compacto, ele pode ser carregado com mais facilidade e tem controles menos rigorosos. Ao contrário da SAML, a OAuth exige menos etapas de configuração, pois tudo o que você precisa é do aplicativo e de suas permissões definidas. Usar tokens de acesso em vez de certificados ou asserções também facilita a gestão de permissões de usuários com a OAuth.

SAML e OAuth gerenciam sessões de maneira diferente

A SAML cria sessões em navegadores e trabalha com logins em vários aplicativos. Após fazer login em um aplicativo através de um IdP, é criada uma sessão que permite acessar mais de um aplicativo sem a necessidade de inserir suas credenciais de login todas as vezes.

Isso é diferente da OAuth, que usa tokens de acesso para gerenciar sessões. Se você autorizar um aplicativo, ele recebe um token que concede acesso aos seus dados por tempo limitado. Se o aplicativo precisar prorrogar o acesso, pode solicitar um novo token sem que você precise fazer login novamente.

Quais as semelhanças entre SAML e OAuth?

Apesar da SAML e da OAuth terem muitas diferenças importantes, elas compartilham vários recursos semelhantes:

Sua organização deve usar SAML ou OAuth?

Em vez de escolher entre SAML ou OAuth, sua organização deve considerar usar os dois, pois não são protocolos intercambiáveis. Embora a SAML permita a autenticação e autorização de usuários, ainda é útil usar a OAuth para gerenciar os privilégios deles. Usar a SAML e a OAuth permitirá que sua organização conceda acesso a sistemas com SAML e a recursos com OAuth.

Conclusão

Sua organização pode se beneficiar do uso da SAML e da OAuth para proteger seus dados contra usuários não autorizados. A SAML verifica as identidades dos usuários ao acessar vários serviços ou aplicativos, enquanto a OAuth autoriza que aplicativos acessem seus dados sem compartilhar suas senhas. Implementar a SAML e a OAuth pode melhorar sua segurança geral e a experiência do usuário, gastando menos tempo com logins em vários serviços e criando interações mais simples para proteger dados.

Quer ver como o Keeper se integra a qualquer provedor de identidade compatível com SAML 2.0? Solicite uma demonstração do Keeper SSO Connect^® para melhorar a segurança geral de sua organização.