Какво представлява SAML?
Научете как стандартният за отрасъла протокол SAML (security assertion markup language – език за маркиране на твърдения за сигурност) подобрява мерките за защита и подобрява средата за влизане.
Дефиниране на SAML
SAML е основната технология, която позволява на хората да влизат веднъж, като използват един набор от идентификационни данни, и да получават достъп до няколко приложения. Доставчици на самоличности, като например Microsoft Entra ID, проверяват потребителите, когато влизат, и след това използват SAML, за да предават тези данни за удостоверяване на доставчика на услуги, който управлява сайта, услугата или приложението, до които потребителите искат да получат достъп.
За какво се използва SAML?
SAML помага за подсилване на защитата за фирмите и опростява процеса на влизане за служителите, партньорите и клиентите. Организациите го използват, за да разрешат еднократна идентификация, която позволява на хората да използват едно потребителско име и една парола за достъп до множество сайтове, услуги и приложения. Намаляването на броя пароли, които хората трябва да запомнят, не само е по-лесно за тях, но също така намалява риска някоя от тези пароли да бъде открадната. Организациите могат също да задават стандарти за защита за удостоверявания в своите приложения с активиран SAML. Например те могат да изискват многофакторно удостоверяване , преди хората да получат достъп до локалната мрежа и приложения, като например Salesforce, Concur и Adobe.
SAML помага на организациите да адресират следните случаи на използване :
Унифициране на управлението на самоличности и достъп:
Чрез управление на удостоверяването и упълномощаването в една система ИТ екипите могат значително да намалят времето, което прекарват в осигуряване на потребители и правомощия за самоличности.
Активиране на Zero Trust:
Стратегията за защита Zero Trust изисква от организациите да проверяват всяка заявка за достъп и да ограничат достъпа до поверителна информация само до хората, които се нуждаят от нея. Технологичните екипи могат да използват SAML, за да задават правила, като например многофакторно удостоверяване и условен достъп до всичките си приложения. Те също така могат да разрешат по-строги мерки за защита, като например налагане на нулиране на паролата, когато рискът за потребителя е увеличен въз основа на поведението, устройството или местоположението му.
Обогатяване на средата за работа на служителите:
В допълнение към опростяването на достъпа за служителите, ИТ екипите могат също така да брандират страниците за влизане, за да създадат съгласувана среда за работа в различните приложения. Служителите също така спестяват време със среди за самообслужване, което им позволява лесно да нулират паролите си.
Какво представлява доставчикът на SAML?
Доставчикът на SAML е система, която споделя данни за удостоверяването и упълномощаването на самоличности с други доставчици. Има два типа доставчици на SAML:
- Доставчиците на самоличност удостоверяват и упълномощават потребителите. Те предоставят страницата за влизане, в която хората въвеждат своите идентификационни данни. Те също така налагат правила за защита, като например чрез изискване на многофакторно удостоверяване или нулиране на парола. След като потребителят бъде упълномощен, доставчиците на самоличности предават данните на доставчиците на услуги.
- Доставчиците на услуги са приложенията и уеб сайтовете, до които хората искат да получат достъп. Вместо да изискват от хората да влизат в своите приложения поотделно, доставчиците на услуги конфигурират своите решения да се доверяват на SAML удостоверяването и да разчитат на доставчиците на самоличности за проверяване на самоличности и упълномощаване на достъпа.
Как работи SAML удостоверяването?
При SAML удостоверяване доставчиците на услуги и доставчиците на самоличности споделят данни за влизане и потребители, за да потвърдят, че всяко лице, което иска достъп, е удостоверено. Обикновено то следва следните стъпки:
- Служител започва работа, като влиза с помощта на страницата за влизане, предоставена от доставчика на самоличности.
- Доставчикът на самоличности проверява дали служителят е този, за когото се представя, като потвърждава комбинация от подробни данни за удостоверяване, като например потребителско име, парола, ПИН код, устройство или биометрични данни.
- Служителят стартира приложение за доставчик на услуги, като например Microsoft Word или Workday.
- Доставчикът на услуги комуникира с доставчика на самоличност, за да потвърди, че служителят е упълномощен за достъп до това приложение.
- Доставчиците на самоличности изпращат удостоверяването и упълномощаването обратно.
- Служителят осъществява достъп до приложението, без да влиза втори път.
Какво представлява потвърждаването на SAML?
Потвърждаването на SAML е XML документът, съдържащ данните, които потвърждават на доставчика на услуги, че лицето, което влиза, е удостоверено.
Има три типа:
- Потвърждаването на удостоверяването идентифицира потребителя и включва часа, в който лицето е влязло, както и типа удостоверяване, което е използвало, като например парола или многофакторно удостоверяване.
- Потвърждаването на авторство предава SAML маркера на доставчика. Това потвърждаване включва конкретни данни за потребителя.
- Потвърждаването на решението за упълномощаване уведомява доставчика на услуги дали потребителят е удостоверен, или му е отказано поради проблем с идентификационните му данни или защото няма разрешения за тази услуга.
Сравнение на SAML с OAuth
Както SAML, така и OAuth улесняват достъпа на хората до множество услуги, без да е нужно да се влиза във всяка една поотделно, но двата протокола използват различни технологии и процеси. SAML използва XML, за да позволи на хората да използват едни и същи идентификационни данни за достъп до множество услуги, докато OAuth предава данните за удостоверяване чрез JWT или обектова нотация на Javascript.
При използване на OAuth хората избират да влязат в услуга с помощта на упълномощаване на трети лица, като например техните акаунти за Google или Facebook, вместо да създават ново потребителско име или парола за услугата. Удостоверяването се подава, докато защитава паролата на потребителя.
Ролята на SAML за фирми
SAML помага на фирмите да осигурят възможности както за продуктивност, така и за защита в своите хибридни работни места. Когато повече хора работят дистанционно, е от решаващо значение да им предоставите лесен достъп до фирмените ресурси от всяко място, но без правилните контроли за защита, лесният достъп повишава рисковете от пробив. С помощта на SAML организациите могат да опростят процеса на влизане за служителите, като същевременно наложат строги правила, като многофакторно удостоверяване и условен достъп, в приложенията, които използват техните служители.
За да започнат, организациите трябва да инвестират в решение за доставчик на самоличности, като например Microsoft Entra ID. Microsoft Entra ID защитава потребителите и данните с вградена защита и обединява управлението на самоличности в едно решение. Самообслужването и еднократната идентификация правят лесно и удобно това служителите да бъдат продуктивни. Освен това Microsoft Entra ID се предоставя с предварително изградена SAML интеграция с хиляди приложения, като например Zoom, DocuSign, SAP Concur, Workday и Amazon Web Services (AWS).
Научете повече за Microsoft Security
Самоличност и достъп на Microsoft
Разгледайте изчерпателни решения за самоличност и достъп от Microsoft.
Microsoft Entra ID
Защитавайте своята организация с безпроблемно решение за самоличност.
Еднократна идентификация
Опростете достъпа до своите приложения от типа „софтуер като услуга“ (SaaS), приложения за облака или локални приложения.
Многофакторно удостоверяване
Защитете организацията си от пробиви поради изгубени или откраднати идентификационни данни.
Условен достъп
Наложете детайлно управление на достъпа с адаптивни правила в реално време.
Готови интеграции на приложения
Използвайте предварително изградени интеграции, за да свързвате потребителите си по-сигурно към техните приложения.
Блог за самоличност и достъп
Бъдете в крак с най-новото лидерство в управлението на самоличността и достъпа.
Често задавани въпроси
-
SAML включва следните компоненти:
- Доставчиците на услуги за самоличност удостоверяват и упълномощават потребителите. Те предоставят страницата за влизане, където хората въвеждат своите идентификационни данни, и прилагат правила за защита, като например изискване на многофакторно удостоверяване или нулиране на паролата. След като потребителят бъде упълномощен, доставчиците на самоличности предават данните на доставчиците на услуги.
- Доставчиците на услуги са приложенията и уеб сайтовете, до които хората искат да получат достъп. Вместо да изискват от хората да влизат в своите приложения поотделно, доставчиците на услуги конфигурират своите решения да се доверяват на SAML удостоверяването и да разчитат на доставчиците на самоличности за проверяване на самоличности и упълномощаване на достъпа.
- Метаданните описват как доставчиците на самоличности и доставчиците на услуги ще обменят потвърждавания, включително крайни точки и технологии.
- Потвърждаването представлява данните за удостоверяване, които потвърждават на доставчика на услуги, че лицето, което влиза, е удостоверено.
- Сертификатите за подписване установяват доверие между доставчика на самоличности и доставчика на услуги, като потвърждават, че потвърждението не е било манипулирано, докато пътува между двамата доставчици.
- Системният часовник потвърждава, че доставчикът на услуги и доставчикът на самоличности имат едно и също време за защита срещу атаки с повторение.
- Доставчиците на услуги за самоличност удостоверяват и упълномощават потребителите. Те предоставят страницата за влизане, където хората въвеждат своите идентификационни данни, и прилагат правила за защита, като например изискване на многофакторно удостоверяване или нулиране на паролата. След като потребителят бъде упълномощен, доставчиците на самоличности предават данните на доставчиците на услуги.
-
SAML предлага следните предимства на организациите, техните служители и партньори:
- Подобрена среда за работа на потребителите. SAML позволява на организациите да създадат среда за еднократна идентификация, така че служителите и партньорите с едно влизане да получават достъп до всичките си приложения. Това прави работата по-лесна и по-удобна, тъй като има по-малко пароли за запомняне, а служителите не трябва да влизат всеки път, когато превключват инструментите.
- Подобрена защита. По-малкият брой пароли намалява риска от компрометирани акаунти. Освен това екипите за защита могат да използват SAML, за да прилагат правила за сигурна защита към всички свои приложения. Например те могат да изискват многофакторно удостоверяване за влизане или да прилагат правила за условен достъп, които ограничават приложенията и данните, до които хора могат да осъществяват достъп.
- Унифицирано управление. Като използват SAML, технологичните екипи управляват самоличностите и правилата за защита в едно решение, а не използват отделни конзоли за управление за всяко приложение. Това значително опростява обезпечаването на потребителите.
- Подобрена среда за работа на потребителите. SAML позволява на организациите да създадат среда за еднократна идентификация, така че служителите и партньорите с едно влизане да получават достъп до всичките си приложения. Това прави работата по-лесна и по-удобна, тъй като има по-малко пароли за запомняне, а служителите не трябва да влизат всеки път, когато превключват инструментите.
-
SAML е XML технология по отворен стандарт, която позволява на доставчиците на самоличности, като например Microsoft Entra ID, да предават данни за удостоверяване на доставчик на услуги, като например приложение от типа „софтуер като услуга“.
Еднократната идентификация е, когато хората влизат веднъж и след това получават достъп до няколко различни уеб сайта и приложения. SAML позволява еднократна идентификация, но е възможно да разположите еднократна идентификация с други технологии. -
Lightweight directory access protocol (LDAP) е протокол за управление на самоличности, който се използва за удостоверяване и упълномощаване на самоличностите на потребителите. Много доставчици на услуги поддържат LDAP, така че това може да бъде добро решение за еднократна идентификация. Обаче тъй като това е по-стара технология, LDAP не работи толкова добре с уеб приложенията.
SAML е по-нова технология, която е налична в повечето уеб приложения и приложения в облака, което го прави по-популярен избор за централизирано управление на самоличности.
-
Многофакторното удостоверяване е мярка за защита, която изисква хората да използват повече от един фактор, за да доказват самоличността си. Обикновено то изисква нещо, което лицето има, като например устройство, плюс нещо, което знае, като например парола или ПИН код. SAML позволява на технологичните екипи да прилагат многофакторно удостоверяване към множество уеб сайтове и приложения. Те могат да изберат да приложат това ниво на удостоверяване към всички приложения, интегрирани със SAML, или могат да наложат многофакторно удостоверяване за някои приложения, но не и за други.
Следвайте Microsoft