O protocolo Security Assertion Markup Language (SAML) é um padrão para login de usuários em aplicativos que se baseia na sessão deles em um contexto diferente. O SAML aceita o logon único (SSO), que permite que os usuários façam login em vários aplicativos usando o mesmo conjunto de credenciais.
Esse método tem vantagens significativas em relação ao login usando um nome de usuário e uma senha. Com esse método, os usuários não precisam digitar credenciais, não precisam lembrar de senhas nem renová-las e não precisam se preocupar com senhas fracas. A maioria das organizações já conhece a identidade dos usuários porque eles estão conectados ao domínio do Active Directory ou à intranet. É natural usar essas informações para conectar usuários a outros aplicativos, como os baseados na web, e uma das maneiras mais elegantes de se fazer isso é usando o SAML.
Para saber mais sobre o SAML, leia as seções a seguir.
Como o SAML/SSO funciona
O logon único do SAML transfere a identidade do usuário do provedor de identidades para o provedor de serviços. Esse processo é feito por meio de uma troca de documentos XML assinados digitalmente. Considere o seguinte cenário: um usuário é conectado a um sistema, que atua como um provedor de identidades. O usuário deseja fazer login em um aplicativo remoto; por exemplo, no Learner Experience da KnowBe4 ou outro provedor de serviços.
Nesse cenário, ocorrem as seguintes etapas:
- O usuário clica no link do aplicativo usando a intranet corporativa, um marcador ou outra opção semelhante. Em seguida, o aplicativo é carregado.
- O aplicativo identifica a origem do usuário e o redireciona de volta ao provedor de identidades, solicitando autenticação. Para identificar a origem do usuário, o aplicativo usa o subdomínio do aplicativo, o endereço IP do usuário ou informações semelhantes. Essa é a solicitação de autenticação.
- O usuário já tem uma sessão com o provedor de identidades ou estabelece uma fazendo login no provedor de identidades.
- O provedor de identidades cria a resposta de autenticação no formato de um documento XML contendo o nome de usuário ou endereço de e-mail do usuário. Em seguida, o provedor de identidades assina o documento usando um certificado X.509 e envia essas informações ao provedor de serviços.
- O provedor de serviços recupera a resposta de autenticação e a valida usando a impressão digital do certificado. O provedor de serviços já conhece o provedor de identidades e tem uma impressão digital do certificado. A identidade do usuário é estabelecida.
Para obter um auxílio visual desse fluxo de trabalho, veja a captura de tela abaixo:
Para obter mais informações sobre os princípios básicos de funcionamento do SAML e do SSO, consulte o artigo O que é SAML e como funciona a autenticação por SAML.
Como o SAML para o Learner Experience (LX) funciona
A KnowBe4 é compatível com o SAML 2.0. O SAML para Learner Experience (LX) da KnowBe4 funciona da mesma forma que com todos os outros provedores de serviços. Normalmente, a autenticação do usuário de uma organização é gerenciada pelo sistema de autenticação escolhido, como o Active Directory (AD) ou o protocolo LDAP. Esses sistemas de autenticação são chamados de provedores de identidades.
O provedor de serviços, neste caso, o LX, permite que o provedor de identidades autentique os usuários e, depois, os conecte ao respectivo LX. Em outras palavras, os usuários podem fazer login no trabalho e ter acesso automático aos aplicativos da organização, como e-mail ou sistema de gerenciamento de relacionamento com o cliente (CRM), sem precisar fazer login separadamente nesses serviços. Além da conveniência que isso proporciona aos usuários, toda a autenticação do usuário é feita internamente por um sistema sobre o qual você tem controle total.
Depois de habilitar o SAML como o tipo de logon único (SSO) para o LX, os usuários que tentarem fazer login no LX serão redirecionados para o seu servidor SAML para autenticação. As identidades dos usuários podem ser armazenadas no servidor SAML ou validadas por um diretório de identidades, como o Microsoft Active Directory ou o LDAP. Após a autenticação, os usuários são redirecionados de volta para o LX e são conectados automaticamente.
Como configurar o SAML/SSO para sua organização
A KnowBe4 é compatível com o SAML 2.0. Se desejar habilitar a integração com o SAML no seu console do KSAT, consulte o artigo Como habilitar o logon único de SAML do seu provedor de SSO.
Caso não encontre seu provedor de SAML listado e precise de ajuda, entre em contato com nossa equipe de suporte.