SAML vs OAuth vs OpenID Connect

• Product en technologie

SAML en OAuth zijn twee populaire standaarden om gebruikers toegang te geven tot applicaties, diensten en databronnen, zonder dat gebruikers een groot aantal wachtwoorden hoeven te onthouden. OpenID Connect is een aanvullende laag op OAuth, die specifiek is gericht op authenticatie. Wat is het verschil tussen SAML, OAuth en OpenID Connect? En wat zijn de overeenkomsten tussen deze drie protocollen? Deze vragen beantwoorden we in dit artikel.

Wat is SAML?

SAML staat voor Security Assertion Markup Language. Het is een van de meest gebruikte standaarden voor het uitwisselen van authenticatiegegevens. De standaard speelt onder meer een cruciale rol in het veilig aanbieden van Single Sign-On (SSO), waarbij je gebruikers via een dashboard met behulp van één set inloggegevens laat inloggen op een breed scala aan applicaties. Dit is mogelijk doordat SAML-providers met elkaar communiceren. Hierbij maken we onderscheid tussen identiteitsproviders (idP) en serviceproviders (SP). De SP ontvangt van de idP alle informatie die nodig is om de identiteit en toegangsrechten van de gebruiker te controleren.

Wat is OAuth?

OAuth is een afkorting van Open Authorization. Het is een standaard die net als SAML het mogelijk maakt om toegang te krijgen tot meerdere applicaties en diensten, zonder telkens opnieuw een account te hoeven aanmaken. Je logt daarbij in op de applicaties en diensten die je wilt gebruiken met behulp van een account dat ondersteuning biedt voor OAuth. Denk daarbij aan e-mailaccounts van diverse grote e-mailproviders. Je hoeft hierdoor geen losse accounts aan te maken voor iedere applicatie of dienst. OAuth verhoogt het gebruiksgemak doordat je snel en gemakkelijk toegang krijgt.

Wat is OpenID Connect?

OpenID Connect is een authenticatie laag die bovenop OAuth ligt. Het voegt een identiteitslaag toe aan OAuth. Zo kunnen applicaties niet alleen controlen of een gebruiker toegang mag krijgen, maar ook de identiteit van de gebruiker controleren. OpenID Connect wisselt identiteitsinformatie met het oog op veiligheid uit via JSON Web Tokens. Het protocol geeft gebruikers de mogelijkheid bij verschillende diensten in te loggen met één account, waarbij de dienstverlener de mogelijkheid krijgt de identiteit van de gebruiker te verifiëren.

Wat zijn de overeenkomsten tussen SAML, OAuth en OpenID Connect?

SAML, OAuth en OpenID Connect kennen belangrijke overeenkomsten. Beide standaarden bieden gebruikers toegang tot applicaties en diensten, zonder dat zij hiervoor individuele wachtwoorden hoeven te gebruiken. Dit biedt diverse voordelen:

• Gebruikers hoeven minder inloggegevens te onthouden en vergeten hierdoor minder vaak wachtwoorden.

• Gebruikers kunnen sterkere wachtwoorden gebruiken doordat zij minder verschillende wachtwoorden hoeven te onthouden.

• Je tilt de gebruikerservaring naar een hoger niveau doordat gebruikers met één set inloggegevens toegang krijgen tot systemen die zij nodig hebben.

Daarnaast controleren beide processen of gebruikers daadwerkelijk toegang hebben tot de applicatie, dienst of bron waartoe zij toegang proberen te krijgen. In beide gevallen weet je zeker dat alleen geautoriseerde gebruikers worden toegelaten.

Wat is het verschil tussen SAML, OAuth en OpenID Connect?

Hoewel SAML en OAuth veel overeenkomsten kennen, zijn er ook belangrijke verschillen. De belangrijkste verschillen zijn:

• De gebruiker logt met SAML in bij een idP, en krijgt vervolgens naadloos en zonder verder met inlogschermen te worden geconfronteerd toegang tot meerdere applicaties en diensten. Bij OAuth is dat niet het geval; gebruikers moeten bij individuele applicaties en diensten zelfstandig inloggen met behulp van een account dat ondersteuning biedt voor OAuth. Bij OpenID Connect loggen gebruikers slechts eenmaal in bij een idP, en krijgen vervolgens dankzij het gebruik van JSON Web Tokens toegang tot meerdere applicaties zonder telkens opnieuw te hoeven inloggen.

• SAML communiceert via XML-berichten, waarmee een idP vertrouwelijke informatie kan uitwisselen met SP’s. Dit betekent in de praktijk dat de SP je identiteit kan controleren, zonder dat je hiervoor zelf gegevens hoeft op te geven. OAuth maakt gebruik van toegangstokens. In dit geval weet een applicatie alleen dat je toegang mag krijgen, maar kan niet controleren wie je bent. OpenID Connect zet hiervoor JSON Web Tokens in, die zowel autorisatie- als authenticatie informatie bevatten.

• Kenmerkend is dan ook dat SAML is ontworpen voor zowel authenticatie als autorisatie, terwijl OAuth uitsluitend is gericht op autorisatie. In sommige gevallen wordt OpenID Connect (OIDC) gebruikt als aanvullende laag bovenop OAuth, wat het verifiëren van je identiteit wel mogelijk maakt.

• SAML biedt sterke beveiliging doordat het protocol het mogelijk maakt de identiteit van gebruikers te verifiëren, maar de implementatie kan relatief complex zijn door de XML-gebaseerde communicatie. OAuth is eenvoudiger te implementeren, maar biedt niet de mogelijkheid de identiteit van gebruikers te controleren. OpenID Connect combineert het implementatiegemak van OAuth met de mogelijkheid om de identiteit van gebruikers te verifiëren.

Welk protocol kies je?

Welk protocol voor jouw organisatie het meest geschikt is hangt onder meer af van de specifieke behoeften van je organisatie. Zo is SAML bij uitstek geschikt voor bedrijfsomgevingen waarin je een naadloze SSO-ervaring wil bieden. Is autorisatie en toegang wie API’s van groot belang? Dan is OAuth vaak een goede keuze. OpenID Connect is zeer geschikt voor situaties waarin je zowel authenticatie als autorisatie nodig hebt.

Wil je meer weten over SAML? In onze kennisbank vind je meer informatie over deze standaard. Wil je meer lezen over OAuth en de combinatie daarvan met OIDC?

Lees dan hier verder