DEV Community

Cover image for O que é SAML 2.0? Guia Completo Sobre SSO Seguro Explicado
Lucas
Lucas

Posted on • Originally published at apidog.com

O que é SAML 2.0? Guia Completo Sobre SSO Seguro Explicado

No cenário digital atual, a autenticação contínua e segura é essencial. Mas o que é SAML 2.0 e por que profissionais de TI e API confiam nele para habilitar o single sign-on (SSO) moderno? Neste guia prático, você vai entender o que é SAML 2.0, como ele funciona, sua arquitetura, exemplos de uso real e como ferramentas como Apidog ajudam desenvolvedores de API a implementar o SAML 2.0 em fluxos de trabalho.

Experimente o Apidog hoje

O que é SAML 2.0? Uma Definição Clara

SAML 2.0 (Security Assertion Markup Language 2.0) é um padrão aberto criado pela OASIS para troca segura, baseada em XML, de dados de autenticação e autorização entre partes — normalmente um provedor de identidade (IdP) e um provedor de serviço (SP).

Na prática, SAML 2.0 permite acesso a múltiplos aplicativos web com um único login (SSO). O usuário autentica-se no IdP, que envia uma asserção segura para o SP, liberando o acesso sem necessidade de múltiplas senhas.

Por Que o SAML 2.0 é Importante?

  • Segurança: Centralização da autenticação e menos senhas expostas.
  • Melhor experiência do usuário: Login único para múltiplos aplicativos.
  • Gestão de TI facilitada: Menos chamados de redefinição de senha.
  • Conformidade regulatória: Fluxos de autenticação auditáveis e padronizados.

Se você desenvolve SaaS, portais corporativos ou integra APIs de terceiros (veja exemplos), SAML 2.0 é referência em identidade federada.

Como o SAML 2.0 Funciona? Passo a Passo

1. Componentes Chave do SAML 2.0

  • Provedor de Identidade (IdP): Autentica o usuário e emite asserções SAML.
  • Provedor de Serviço (SP): Aplicativo/serviço de destino.
  • Usuário (Principal): Solicitante do acesso.
  • Asserções SAML: XMLs com informações de autenticação e atributos.
  • Bindings e Protocolos: Formas de transportar as mensagens SAML (HTTP POST, Redirect, etc).

2. Fluxo de Autenticação SAML 2.0

  1. Usuário acessa o SP (ex: ferramenta empresarial).
  2. SP redireciona para o IdP (solicitação de autenticação).
  3. Usuário autentica no IdP (senha, 2FA, etc).
  4. IdP gera uma asserção SAML (dados de identidade).
  5. Asserção enviada ao SP (via navegador, HTTP POST).
  6. SP valida a asserção e libera acesso.

Diagrama:

Usuário --> SP --> IdP --> Usuário --> SP
Enter fullscreen mode Exit fullscreen mode

(Cada seta é uma troca de mensagem SAML 2.0.)

Detalhes: Asserções e Protocolos SAML 2.0

O Que é uma Asserção SAML?

  • Autenticação: Confirma identidade do usuário.
  • Atributos: Dados extras (e-mail, função, etc).
  • Decisão de autorização: Permite ou nega ação.

Exemplo de Asserção SAML 2.0 (XML):

<Assertion>
  <Subject>
    <NameID>john.doe@example.com</NameID>
  </Subject>
  <AttributeStatement>
    <Attribute Name="role">
      <AttributeValue>admin</AttributeValue>
    </Attribute>
  </AttributeStatement>
</Assertion>
Enter fullscreen mode Exit fullscreen mode

Bindings e Protocolos SAML 2.0

  • Bindings: Como as mensagens são transmitidas (HTTP Redirect, HTTP POST, SOAP).
  • Protocolos: Regras para requisição/resposta de autenticação.

SAML 2.0 vs. SAML 1.1: O Que Mudou?

  • Interoperabilidade: SAML 2.0 é mais suportado e padronizado.
  • Single Logout (SLO): Logout global com um clique.
  • Melhor troca de atributos: Mais flexibilidade.
  • Segurança reforçada: Criptografia e assinatura robustas.

Casos de Uso: SAML 2.0

SSO Corporativo

Empresas integram SAML 2.0 para login único em dezenas de sistemas internos e SaaS — exemplo: acesso ao portal corporativo libera ferramentas de RH, CRM e projetos sem múltiplos logins.

Integrações SaaS

Provedores como Salesforce, Google Workspace e Microsoft 365 usam SAML 2.0 para integração com o IdP do cliente, mantendo controle sobre as identidades.

Segurança e APIs

Mesmo sendo padrão em SSO web, entender SAML 2.0 é fundamental para APIs que fazem integração de autenticação federada em sistemas backend.

Dica: Ferramentas como Apidog facilitam documentar, testar e simular APIs com SAML 2.0. Para APIs que recebem ou validam asserções SAML, o Apidog ajuda a manter consistência de esquemas e clareza para devs.

Como Implementar SAML 2.0

Etapas para Integração

  1. Escolha um IdP: Exemplos: Okta, Azure AD, Auth0.
  2. Configure o SAML 2.0 no SP: Registre metadados, endpoints e asserções.
  3. Mapeie atributos do usuário: Defina quais dados trafegarão nas asserções.
  4. Teste e valide: Use sandboxes e ferramentas para garantir fluxo seguro e confiável.

Dica Profissional: O Apidog auxilia no design e documentação de APIs de autenticação, incluindo endpoints que usam SAML 2.0, facilitando a colaboração entre devs e segurança.

Considerações de Segurança no SAML 2.0

Por Que SAML 2.0 é Seguro?

  • Token-based: Senhas não são compartilhadas com o SP.
  • Assinatura digital: Asserções assinadas para prevenir fraudes.
  • Criptografia: Dados sensíveis podem ser criptografados.
  • Asserções curtas: Menos risco de replay attack.

Vulnerabilidades Comuns

  • Valide sempre as assinaturas das asserções SAML.
  • Mantenha bibliotecas SAML atualizadas.
  • Configure o tempo das asserções para ser o menor possível.

SAML 2.0 e Autenticação Moderna

SAML 2.0 não está obsoleto: apesar do OAuth 2.0 e OpenID Connect serem populares em APIs e apps móveis, SAML 2.0 segue padrão no SSO empresarial e integrações B2B por seu ecossistema maduro e robustez na manipulação de atributos.

Visão Apidog: Documente APIs que transitam entre SAML 2.0 e protocolos modernos usando importação/exportação e simulação do Apidog, mantendo contratos de API claros e atualizados.

Exemplo Prático: SAML 2.0 em Ação

Cenário: SSO para Intranet Corporativa

  1. Usuário acessa a intranet (SP).
  2. SP redireciona para Okta (IdP) via solicitação SAML 2.0.
  3. Usuário faz login no Okta.
  4. Okta emite asserção SAML e retorna ao SP.
  5. SP valida a asserção, cria sessão e libera acesso.

Esse fluxo pode ser documentado e testado no Apidog, garantindo definição clara de cada endpoint e troca entre equipes.

Resumo: O que é SAML 2.0 e Por Que Importa

SAML 2.0 é padrão aberto, seguro e baseado em XML para autenticação federada e SSO. Ele simplifica a experiência do usuário, aumenta a segurança e facilita a gestão de identidade em múltiplos sistemas. Para devs de API, entender SAML 2.0 é essencial para criar sistemas interoperáveis e seguros.

Próximos passos práticos:

  • Analise a arquitetura de autenticação da sua empresa — já usa SAML 2.0?
  • Utilize o Apidog para documentar, simular e testar endpoints de API com SAML 2.0.
  • Atualize-se com as melhores práticas de SAML 2.0 para segurança e conformidade.

FAQ: SAML 2.0

P: SAML 2.0 é só para web?

R: SAML 2.0 é mais comum em SSO web, mas também pode ser usado em APIs e apps móveis, especialmente em ambientes legados.

P: Diferença entre SAML 2.0 e OAuth 2.0?

R: SAML 2.0 foca em autenticação e identidade; OAuth 2.0 é voltado para autorização e acesso delegado.

P: Apidog ajuda na integração SAML 2.0?

R: Sim! O Apidog facilita o design, documentação e teste de APIs com SAML 2.0, melhorando colaboração e conformidade.

Top comments (0)