Estoy pensando en usar SAML para enviar información de autenticación y autorización al sistema. Planeo enviar roles y otra información como atributos de autenticación en la aserción.
¿Me parece una buena idea o tengo que pensar en usar XACML?
Estoy pensando en usar SAML para enviar información de autenticación y autorización al sistema. Planeo enviar roles y otra información como atributos de autenticación en la aserción.
¿Me parece una buena idea o tengo que pensar en usar XACML?
Como señala Guido en su comentario, depende en gran medida del sistema de destino. Si el sistema de destino tiene API / interfaces claramente definidas que puede proteger, entonces XACML tendría más sentido (XACML tiene una arquitectura en la que un punto de aplicación de políticas intercepta un flujo y envía una solicitud de autorización a un punto de decisión de políticas).
Si, por otro lado, el sistema de destino no tiene API (por ejemplo, es principalmente una interfaz de usuario / portal web), y si el sistema de destino tiene un rico modelo de autorización basado en roles / reclamaciones dentro de él, entonces debe apuntar a las declaraciones de atributos dentro de su aserción SAML que se pueden usar como aseveraciones / reclamaciones en el sistema de destino.
El beneficio para SAML sobre XACML en este escenario es que probablemente sea menos perjudicial. El beneficio de XACML sobre SAML es que es más detallado y puede ocuparse del contexto (hora del día, dispositivo ...)
Aún puede utilizar XACML en el lado de IdP cuando se emite el token SAML para aprovisionar reclamos dentro del token SAML.
Entonces, ¿qué es lo que quieres proteger? ¿Controlas el sistema de destino?
Lea otras preguntas en las etiquetas authorization saml