Trace Id is missing
Ugrás a tartalomtörzsre
Microsoft Biztonság

Mi az SAML?

Megtudhatja, hogy a szabványos iparági protokoll, a Security Assertion Markup Language (SAML) hogyan erősíti meg a biztonsági intézkedéseket, és miként javítja a bejelentkezési élményt.

Az SAML definíciója

Az SAML az a mögöttes technológia, amely lehetővé teszi, hogy a felhasználók a hitelesítő adatok egyetlen készletével jelentkezzenek be több alkalmazásba, és érjék el őket. Az identitásszolgáltatók – például a Microsoft Entra ID – ellenőrzik a felhasználókat, amikor bejelentkeznek, majd az SAML használatával továbbítják ezeket a hitelesítési adatokat a felhasználók által elérni kívánt webhelyet, szolgáltatást vagy alkalmazást üzemeltető szolgáltatónak.

Mire használható az SAML?

Az SAML segít a vállalatok biztonságának megerősítésében, és leegyszerűsíti a bejelentkezési folyamatot az alkalmazottak, a partnerek és az ügyfelek számára. A szervezetek az egyszeri bejelentkezés, lehetővé tételéhez használják, amellyel a felhasználók egyetlen felhasználónévvel és jelszóval férhetnek hozzá több webhelyhez, szolgáltatáshoz és alkalmazáshoz. Ha csökkenti a számát azoknak a jelszavaknak, amelyeket a felhasználóknak meg kell jegyezniük, az nem csupán a felhasználók dolgát könnyíti meg, de a jelszavak ellopásának kockázatát is csökkenti. A szervezetek biztonsági szabványokat is beállíthatnak az SAML-kompatibilis alkalmazásokban való hitelesítéshez . Megkövetelhetik például a többtényezős hitelesítést ahhoz, hogy a felhasználók hozzáférhessenek a helyi hálózathoz és alkalmazásokhoz, például a Salesforce-hoz, a Concurhoz és az Adobe-hoz. 

Az SAML a következő használati esetek kezelésében segíti a szervezeteket:

Az identitás- és hozzáférés-kezelés egységesítése:

Ha egyetlen rendszerben kezelik a hitelesítést és az engedélyezést, az informatikai csapatok jelentősen csökkenthetik a felhasználók kiépítésével és az identitások jogosultságkezelésével töltött időt.

A teljes felügyelet elérése:

Egy Teljes felügyeletre épülő biztonsági stratégia megköveteli, hogy a szervezetek minden hozzáférési kérelmet ellenőrizzenek, és csak azokra a személyekre korlátozzák a bizalmas információkhoz való hozzáférést, akiknek arra szükségük van. A technikusi csapatok az SAML használatával az összes alkalmazásukra vonatkozóan beállíthatnak házirendeket, például a többtényezős hitelesítést és a feltételes hozzáférést. Emellett olyan, szigorúbb biztonsági intézkedéseket is érvénybe léptethetnek, mint amilyen például a jelszóátállítás kényszerítése, ha egy felhasználó fokozott kockázatot jelent a viselkedése, az eszköze vagy a tartózkodási helye alapján.

Az alkalmazotti munkakörnyezet bővítése:

A dolgozók hozzáférésének egyszerűsítése mellett az informatikai csapatok márkajelzéssel is elláthatják a bejelentkezési oldalakat, így egységes felhasználói élményt alakíthatnak ki az összes alkalmazáshoz. Az alkalmazottak időt takaríthatnak meg az önkiszolgáló felületekkel is, amelyeken egyszerűen átállíthatják a jelszavukat.

Mi az SAML-szolgáltató?

Az SAML-szolgáltató egy olyan rendszer, amely identitáshitelesítési és -engedélyezési adatokat oszt meg más szolgáltatókkal. Az SAML-szolgáltatóknak két típusa van:

  • Az identitásszolgáltatók a felhasználók hitelesítését és engedélyezését végzik. Bejelentkezési oldalt nyújtanak, amelyen a felhasználók megadják a hitelesítő adataikat. Emellett biztonsági házirendeket is érvényesítenek, például a többtényezős hitelesítés vagy a jelszóátállítás megkövetelésével. A felhasználó engedélyezése után az identitásszolgáltatók továbbítják az adatokat a szolgáltatóknak. 

  • A szolgáltatók azok az alkalmazások és webhelyek, amelyeket a felhasználók el szeretnének érni. Ahelyett, hogy a felhasználóknak külön-külön kellene bejelentkezniük az alkalmazásaikba, a szolgáltatók úgy konfigurálják megoldásaikat, hogy azok megbízhatónak tekintsék az SAML-hitelesítést, és az identitásszolgáltatókra bízzák az identitások ellenőrzését és a hozzáférés engedélyezését. 

Hogyan működik az SAML-hitelesítés?

Az SAML-hitelesítés során a szolgáltatók és az identitásszolgáltatók megosztják a bejelentkezési és a felhasználói adatokat annak megerősítéséhez, hogy minden hozzáférést kérő személy hitelesítve van. Ez általában az alábbi lépéseket követi:

  1. Egy alkalmazott a munka megkezdésekor bejelentkezik az identitásszolgáltató által biztosított bejelentkezési oldalon.

  2. Az identitásszolgáltató a hitelesítési adatok, például a felhasználónév, a jelszó, a PIN-kód, az eszköz vagy biometrikus adatok egy kombinációjának megerősítésével ellenőrzi, hogy az alkalmazott valóban az, akinek mondja magát.

  3. Az alkalmazott elindít egy szolgáltatói alkalmazást, például a Microsoft Wordöt vagy a Workdayt. 

  4. A szolgáltató az identitásszolgáltatóval kommunikálva megerősíti, hogy az alkalmazott jogosult az alkalmazás elérésére.

  5. Az identitásszolgáltatók visszaküldik az engedélyezést és a hitelesítést.

  6. Az alkalmazott másodjára már bejelentkezés nélkül fér hozzá az alkalmazáshoz.

Mik azok az SAML-tények?

Az SAML-tények olyan adatokat tartalmazó XML-dokumentumok, amelyek megerősítik a szolgáltatónak, hogy a bejelentkező személy hitelesítése megtörtént.

Három típusuk létezik:

  • A hitelesítési tény azonosítja a felhasználót, és tartalmazza a bejelentkezés időpontját és a használt hitelesítési típust, például a jelszót vagy a többtényezős hitelesítést.

  • A terjesztési tény adja át az SAML-tokent a szolgáltatónak. Ez a tény konkrét adatokat tartalmaz a felhasználóról.

  • Az engedélyezési döntési tény tájékoztatja a szolgáltatót arról, hogy a felhasználó hitelesítése megtörtént-e, vagy el lett-e utasítva a hitelesítő adatokkal kapcsolatos probléma vagy amiatt, hogy nincs engedélye az adott szolgáltatáshoz. 

Összehasonlítás: SAML és OAuth

Az SAML és az OAuth is megkönnyíti a felhasználók számára, hogy több szolgáltatáshoz férjenek hozzá, anélkül, hogy mindegyikbe külön-külön be kellene jelentkezniük, de a két protokoll eltérő technológiát és folyamatokat használ. Az SAML XML használatával teszi lehetővé, hogy a felhasználók ugyanazokat a hitelesítő adatokat használják több szolgáltatás eléréséhez, míg az OAuth a JWT vagy a JavaScript Object Notation használatával adja át az engedélyezési adatokat.


Az OAuth esetében a felhasználók döntenek arról, hogy külső hitelesítéssel, például a Google- vagy a Facebook-fiókjukkal jelentkeznek be egy szolgáltatásba ahelyett, hogy új felhasználónevet vagy jelszót hoznának létre a szolgáltatáshoz. Az engedélyezés továbbítása során biztosított a felhasználó jelszavának védelme.

Az SAML szerepe a vállalatoknál

Az SAML segít a vállalatoknak abban, hogy a termelékenységet és a biztonságot is tudják biztosítani hibrid munkahelyeiken. Mivel egyre többen végeznek távmunkát, kritikus fontosságú annak lehetővé tétele számukra, hogy bárhonnan könnyen elérjék a vállalati erőforrásokat, viszont megfelelő biztonsági ellenőrzések nélkül a könnyű hozzáféréssel együtt jár a biztonsági incidensek kockázata is. Az SAML használatával a szervezetek leegyszerűsíthetik az alkalmazottak bejelentkezési folyamatát, és közben olyan erős házirendeket érvényesíthetnek az alkalmazottak által használt minden alkalmazásra, mint amilyen például a többtényezős hitelesítés és a feltételes hozzáférés.
Első lépésként a szervezeteknek be kell fektetnie egy identitásszolgáltató megoldásba, például a Microsoft Entra ID-be. A Microsoft Entra ID beépített biztonsággal gondoskodik a felhasználók és az adatok védelméről, és egyetlen megoldásban egyesíti az identitáskezelést. Az önkiszolgáló lehetőségek és az egyszeri bejelentkezés megkönnyíti és kényelmessé teszi az alkalmazottak számára a hatékony munkavégzést. A Microsoft Entra ID emellett előre kialakított SAML-integrációt is tartalmaz több ezer olyan alkalmazással, mint amilyen például a Zoom, a DocuSign, az SAP Concur, a Workday és az Amazon Web Services (AWS).

További információ a Microsoft Biztonságról

A Microsoft identitás- és hozzáférés-kezelése

Böngészhet a Microsoft átfogó identitás- és hozzáférés-kezelési megoldásai között.

További információ

Microsoft Entra ID

A zökkenőmentesen működő identitáskezelési megoldással gondoskodhat a szervezete védelméről.

További információ

Egyszeri bejelentkezés

Egyszerűsítheti a hozzáférést a szolgáltatott szoftverként működő (SaaS-) appokhoz, a felhőappokhoz és a helyszíni appokhoz.

További információ

Többtényezős hitelesítés

Biztosíthatja a szervezet védelmét az elvesztett vagy ellopott hitelesítő adatokkal való visszaélésekkel szemben.

További információ

Feltételes hozzáférés

Részletes hozzáférés-vezérlést alkalmazhat, valós idejű adaptív házirendekkel.

További információ

Beépített alkalmazásintegrációk

Beépített integrációkat használva biztonságosabban csatlakoztathatja a felhasználókat az alkalmazásaikhoz.

További információ

Identitás- és hozzáférés-kezelési blog

Maradjon naprakész a legújabb ötletekkel kapcsolatban az identitás- és hozzáférés-kezelés területén.

További információ

Gyakori kérdések

  • Az SAML összetevői a következők:

    • Az identitásszolgáltatók a felhasználók hitelesítését és engedélyezését végzik. Biztosítják a bejelentkezési oldalt, ahol a felhasználók megadják a hitelesítő adataikat, és biztonsági házirendeket érvényesítenek, például a többtényezős hitelesítés vagy a jelszóátállítás megkövetelésével. A felhasználó engedélyezése után az identitásszolgáltatók továbbítják az adatokat a szolgáltatóknak.

    • A szolgáltatók azok az alkalmazások és webhelyek, amelyeket a felhasználók el szeretnének érni. Ahelyett, hogy a felhasználóknak külön-külön kellene bejelentkezniük az alkalmazásaikba, a szolgáltatók úgy konfigurálják megoldásaikat, hogy azok megbízhatónak tekintsék az SAML-hitelesítést, és az identitásszolgáltatókra bízzák az identitások ellenőrzését és a hozzáférés engedélyezését.

    • A metaadatok azt írják le, hogy az identitásszolgáltatók és a szolgáltatók hogyan cserélnek tényeket, beleértve a végpontokat és a technológiát is.

    • A tények olyan hitelesítési adatok, amelyek megerősítik a szolgáltatónak, hogy a bejelentkező személy hitelesítése megtörtént.

    • Az aláíró tanúsítványok megbízhatósági kapcsolatot létesítenek az identitásszolgáltató és a szolgáltató között annak megerősítésével, hogy a tény nem lett illetéktelenül módosítva a két szolgáltató közötti továbbítása során.

    • A rendszeróra megerősíti, hogy a szolgáltatónál és az identitásszolgáltatónál ugyanannyi az idő, így biztosítva védelmet a visszajátszásos támadások ellen.

  • Az SAML a következő előnyöket kínálja a szervezeteknek és azok alkalmazottainak és partnereinek:

    • Jobb felhasználói élmény. Az SAML lehetővé teszi a szervezetek számára, hogy egyszeri bejelentkezési felületet hozzanak létre, hogy az alkalmazottak és a partnerek egyszeri bejelentkezéssel férhessenek hozzá az összes alkalmazásukhoz. Ez megkönnyíti és kényelmesebbé teszi a munkát, mivel kevesebb jelszót kell megjegyezni, és az alkalmazottaknak nem kell minden alkalommal bejelentkezniük, amikor eszközök között váltanak.

    • Megnövelt biztonság. A kevesebb jelszóval csökkenthető a fiókok feltörésének kockázata. Emellett a biztonsági csapatok az SAML használatával az összes alkalmazásukra erős biztonsági házirendet alkalmazhatnak. Megkövetelhetik például a többtényezős hitelesítés használatát a bejelentkezéshez, vagy feltételes hozzáférési házirendeket alkalmazhatnak, amelyek korlátozzák, hogy a felhasználók mely alkalmazásokhoz és adatokhoz férhetnek hozzá.

    • Egyesített kezelés. Az SAML használatával a technikusi csapatok egyetlen megoldásban kezelik az identitásokat és a biztonsági házirendeke,t ahelyett, hogy különálló felügyeleti konzolokat használnak az egyes alkalmazásokhoz. Ez jelentősen leegyszerűsíti a felhasználók átadását.

  • Az SAML egy nyílt szabványú XML-technológia, amely lehetővé teszi az identitásszolgáltatók (például Microsoft Entra ID) számára, hogy továbbítsák a hitelesítési adatokat egy szolgáltatónak, például egy szolgáltatott szoftverként nyújtott alkalmazásnak.
    Az egyszeri bejelentkezés során a felhasználók egyszer jelentkeznek be, majd ezzel több különböző webhelyhez és alkalmazáshoz kapnak hozzáférést. Az SAML lehetővé teszi az egyszeri bejelentkezést, de az egyszeri bejelentkezés más technológiákkal is üzembe helyezhető.

  • A Lightweight Directory Access Protocol (LDAP) egy identitáskezelési protokoll, amely a felhasználói identitások hitelesítésére és engedélyezésére szolgál. Számos szolgáltató támogatja az LDAP használatát, így jó megoldás lehet az egyszeri bejelentkezéshez, mivel viszont ez egy régebbi technológia, webalkalmazásokkal nem működik jól.

    Az SAML egy újabb technológia, amely a legtöbb web- és felhőalkalmazásban elérhető, így népszerűbb választás a központosított identitáskezeléshez.

  • A többtényezős hitelesítés egy olyan biztonsági intézkedés, amely megköveteli, hogy a felhasználók egynél több tényezőt használjanak személyazonosságuk igazolásához. Ehhez általában egy olyan dologra van szükség, amely az adott személy birtokában van, például egy eszközre, illetve egy olyan dologra, amit ismer, például egy jelszóra vagy egy PIN-kódra. Az SAML lehetővé teszi, hogy a technikai csapatok több webhelyre és alkalmazásra alkalmazzanak többtényezős hitelesítést. Dönthetnek úgy, hogy az SAML-lel integrált összes alkalmazásra ezt a hitelesítési szintet alkalmazzák, vagy úgy, hogy egyes alkalmazások esetében megkövetelik a többtényezős hitelesítés alkalmazását, míg mások esetében nem. 

A Microsoft követése