Trace Id is missing
Pereiti prie pagrindinio turinio
„Microsoft“ sauga

Kas yra SAML?

Sužinokite, kaip pramonės standartinis protokolas, saugos patvirtinimo aprašų kalba (SAML), sustiprina saugos priemones ir pagerina prisijungimo patirtį.

SAML apibrėžimas

SAML yra pamatinė technologija, leidžianti žmonėms vieną kartą prisijungti naudojant vieną kredencialų rinkinį ir pasiekti kelias programas. Tapatybės teikėjai, pvz., „Microsoft Entra ID“, tikrina vartotojus, kai jie prisijungia, tada naudoja SAML, kad perduotų šiuos autentifikavimo duomenis paslaugų teikėjui, valdančiam svetainę, paslaugą arba programą, kurią vartotojai nori pasiekti.

Kam naudojama SAML?

SAML padeda sustiprinti įmonių saugą ir supaprastinti prisijungimo procesą darbuotojams, partneriams ir klientams. Organizacijos ją naudoja, kad įgalintų bendrąją autentifikaciją, kuri leidžia žmonėms naudoti vieną vartotojo vardą ir slaptažodį, kad galėtų pasiekti kelias svetaines, tarnybas ir programas. Sumažinus slaptažodžių, kuriuos žmonės turi įsiminti, skaičių yra ne tik paprasčiau, bet ir mažėja rizika, kad vienas iš šių slaptažodžių bus pavogtas. Organizacijos taip pat gali nustatyti autentifikavimo saugos standartus savo SAML palaikančiose programose. Pavyzdžiui, joms gali reikėti kelių dalių autentifikavimo prieš žmonėms pasiekiant vietinį tinklą ir programas, pvz., „Salesforce“, „Concur“ ir „Adobe“. 

SAML padeda organizacijoms spręsti šiuos naudojimo atvejus:

Sujungti tapatybės ir prieigos valdymą:

Valdant autentifikavimą ir autorizavimą vienoje sistemoje, IT komandos gali gerokai sutrumpinti laiką, skiriamą vartotojams parengti ir tapatybės teisėms suteikti.

Įgalinti nulinį pasitikėjimą:

 Nulinio pasitikėjimo saugos strategija reikalauja, kad organizacijos patikrintų kiekvieną prieigos užklausą ir apribotų prieigą prie slaptos informacijos leidžiant ją pasiekti tik tiems žmonėms, kuriems jos reikia. Techninės komandos gali naudoti SAML, kad visoms savo programoms nustatytų strategijas, pvz., kelių dalių autentifikavimą ir sąlyginę prieigą. Jos taip pat gali įgalinti griežtesnes saugos priemones, pvz., slaptažodžio nustatymą iš naujo, kai vartotojo rizika yra didesnė, atsižvelgiant į jų elgseną, įrenginį arba vietą.

Praturtinti darbuotojų patirtį:

IT komandos gali ne tik supaprastinti prieigą darbuotojams, bet ir paženklinti prisijungimo puslapius, kad būtų galima nuosekliai naudotis programomis. Darbuotojai taip pat taupo laiką naudodami savitarnos funkcijas, kurios leidžia lengvai iš naujo nustatyti slaptažodžius.

Kas yra SAML teikėjas?

SAML teikėjas yra sistema, kuri dalijasi tapatybės autentifikavimo ir įgaliojimo duomenimis su kitais teikėjais. Yra dviejų tipų SAML teikėjai:

  • Tapatybės teikėjai autentifikuoja ir įgalioja vartotojus. Jie pateikia prisijungimo puslapį, kuriame žmonės įveda savo kredencialus. Jie taip pat įgalina saugos strategijas, pvz., reikalauja kelių dalių autentifikavimo arba slaptažodžio nustatymo iš naujo. Kai vartotojui suteikiamos teisės, tapatybės teikėjai perduoda duomenis paslaugų teikėjams. 

  • Paslaugų teikėjai yra programos ir svetainės, kurias žmonės nori pasiekti. Užuot reikalavę, kad žmonės prie savo programų prisijungtų individualiai, paslaugų teikėjai konfigūruoja savo sprendimus pasitikėti SAML įgaliojimu ir kliautis tapatybės teikėjais tikrinant tapatybę ir suteikiant prieigą. 

Kaip veikia SAML autentifikavimas?

Naudojant SAML autentifikavimą paslaugų teikėjai ir tapatybės teikėjai dalijasi prisijungimo ir vartotojo duomenimis, kad patvirtintų, jog kiekvienas asmuo, prašantis prieigos, yra autentifikuotas. Paprastai atliekami šie veiksmai:

  1. Darbuotojas pradeda dirbti prisijungdamas naudodamas tapatybės teikėjo pateiktą prisijungimo puslapį.

  2. Tapatybės teikėjas patvirtina, kad darbuotojas yra tas, kas sakosi esąs, patvirtindamas autentifikavimo informacijos, pvz., vartotojo vardo, slaptažodžio, PIN, įrenginio arba biometrinių duomenų, derinį.

  3. Darbuotojas paleidžia paslaugų teikėjo programą, pvz., „Microsoft Word“ arba „Workday“. 

  4. Paslaugų teikėjas užmezga ryšį su tapatybės teikėju, kad patvirtintų, jog darbuotojas turi teisę pasiekti tą programą.

  5. Tapatybės teikėjai atgal siunčia įgaliojimą ir autentifikavimą.

  6. Darbuotojas pasiekia programą nesijungdamas antrą kartą.

Kas yra SAML patvirtinimas?

SAML patvirtinimas yra XML dokumentas, apimantis duomenis, patvirtinančius paslaugų teikėjui, kad prisijungiantis asmuo yra autentifikuotas.

Yra trys tipai:

  • Autentifikavimo patvirtinimas identifikuoja vartotoją ir įtraukia laiką, kada asmuo prisijungė ir kokio tipo autentifikavimą jis naudojo, pvz., slaptažodį arba kelių dalių autentifikavimą.

  • Priskyrimo patvirtinimas perduoda SAML atpažinimo ženklą teikėjui. Šis patvirtinimas apima konkrečius duomenis apie vartotoją.

  • Įgaliojimo sprendimo patvirtinimas nurodo paslaugų teikėjui, ar vartotojas yra autentifikuotas, ar jo prieiga atmesta dėl kredencialų problemos arba dėl to, kad jis neturi tos paslaugos teisių. 

SAML ir „OAuth“

Tiek SAML, tiek „OAuth“ padeda žmonėms lengviau pasiekti kelias paslaugas neprisijungus prie kiekvienos atskirai, tačiau šie du protokolai naudoja skirtingas technologijas ir procesus. SAML naudoja XML, kad žmonės naudodami tuos pačius kredencialus galėtų pasiekti kelias paslaugas, o „OAuth“ perduoda įgaliojimo duomenis naudodama JWT arba „JavaScript Object Notation“.


„OAuth“ žmonės pasirenka prisijungti prie paslaugos naudodami trečiosios šalies įgaliojimą, pvz., savo „Google“ arba „Facebook“ paskyras, o ne sukurti naują paslaugos vartotojo vardą arba slaptažodį. Įgaliojimas perduodamas apsaugant vartotojo slaptažodį.

SAML vaidmuo įmonėse

SAML padeda įmonėms savo hibridinėse darbo vietose įgalinti produktyvumą ir saugą. Kai vis daugiau žmonių dirba nuotoliniu būdu, labai svarbu suteikti jiems galimybę lengvai pasiekti įmonės išteklius iš bet kurios vietos, tačiau be tinkamų saugos kontrolės priemonių, lengva prieiga kelia pažeidimo riziką. Naudodamos SAML organizacijos gali supaprastinti darbuotojų prisijungimo procesą įgyvendindamos patikimas strategijas, pvz., kelių dalių autentifikavimą ir sąlyginę prieigą visose programose, kurias naudoja darbuotojai.
Visų pirma, organizacijos turėtų investuoti į tapatybės teikėjo sprendimą, pvz., „Microsoft Entra ID“. „Microsoft Entra ID“ apsaugo vartotojus ir duomenis naudojant įtaisytąją saugą ir sutelkia tapatybės valdymą į vieną sprendimą. Savitarna ir bendroji autentifikacija padeda darbuotojams paprastai bei patogiai dirbti ir būti produktyviems. Be to, „Microsoft Entra ID“ suteikiama su išankstine SAML integracija su tūkstančiais programų, pvz., „Zoom“, „DocuSign“, „SAP Concur“, „Workday“ ir „Amazon Web Services“ (AWS).

Sužinokite daugiau apie „Microsoft“ saugą

„Microsoft“ tapatybė ir prieiga

Peržiūrėkite išsamius tapatybės ir prieigos sprendimus iš „Microsoft“.

Sužinokite daugiau

„Microsoft Entra ID“

Apsaugokite savo organizaciją naudodami sklandžiai veikiantį tapatybės sprendimą.

Sužinokite daugiau

Bendroji autentifikacija

Supaprastinkite prieigą prie programinės įrangos nuomos paslaugos („SaaS“) programų, debesies programų arba vietinių programų.

Sužinokite daugiau

Kelių dalių autentifikavimas

Apsaugokite savo įmonę nuo pažeidimų, atsiradusių dėl prarastų arba pavogtų kredencialų.

Sužinokite daugiau

Sąlyginė prieiga

Įgalinkite detalų prieigos valdymą naudodami adaptyviąją strategiją realiuoju laiku.

Sužinokite daugiau

Iš anksto sukurtos programų integracijos

Naudokite iš anksto sukurtas integracijas, kad savo vartotojus saugiau prijungtumėte prie jų programų.

Sužinokite daugiau

Tapatybės ir prieigos tinklaraštis

Neatsilikite nuo naujovių pasitelkdami naujausias žinias tapatybės ir prieigos valdymo srityje.

Sužinokite daugiau

Dažnai užduodami klausimai

  • SAML yra šie komponentai:

    • Tapatybės paslaugų teikėjai autentifikuoja ir įgalioja vartotojus. Jie pateikia prisijungimo puslapį, kuriame žmonės įveda savo kredencialus ir įgalina saugos strategijas, pvz., reikalauja kelių dalių autentifikavimo arba slaptažodžio nustatymo iš naujo. Kai vartotojui suteikiamos teisės, tapatybės teikėjai perduoda duomenis paslaugų teikėjams.

    • Paslaugų teikėjai yra programos ir svetainės, kurias žmonės nori pasiekti. Užuot reikalavę, kad žmonės prie savo programų prisijungtų individualiai, paslaugų teikėjai konfigūruoja savo sprendimus pasitikėti SAML įgaliojimu ir kliautis tapatybės teikėjais tikrinant tapatybę ir suteikiant prieigą.

    • Metaduomenyse aprašoma, kaip tapatybės teikėjai ir paslaugų teikėjai keičiasi patvirtinimais, įskaitant galinius punktus ir technologijas.

    • Patvirtinimas – tai autentifikavimo duomenys, patvirtinantys paslaugų teikėjui, kad prisijungiantis asmuo yra autentifikuotas.

    • Pasirašymo sertifikatai sukuria pasitikėjimą tarp tapatybės teikėjo ir paslaugų teikėjo, patvirtindami, kad patvirtinimas nebuvo paveiktas keliaujant tarp dviejų teikėjų.

    • Sistemos laikrodis patvirtina, kad paslaugų teikėjas ir tapatybės teikėjas turi tą patį laiką, kad apsaugotų nuo paleidimo iš naujo atakų.

  • SAML organizacijoms, jų darbuotojams ir partneriams siūlo šiuos pranašumus:

    • Patobulintą vartotojo patirtį. SAML leidžia organizacijoms sukurti bendrąją autentifikaciją, kad darbuotojai ir partneriai vieną kartą prisijungtų ir gautų prieigą prie visų savo programų. Tai suteikia galimybę dirbti lengviau ir patogiau, nes reikia įsiminti mažiau slaptažodžių, o darbuotojams nereikia prisijungti kiekvieną kartą, kai perjungia įrankius.

    • Padidintą saugą. Mažiau slaptažodžių sumažina paskyrų saugos pažeidimo riziką. Be to, saugos komandos gali naudoti SAML, kad visoms savo programoms taikytų griežtą saugos strategiją. Pavyzdžiui, jos gali reikalauti kelių dalių autentifikavimo norint prisijungti arba taikyti sąlyginės prieigos strategijas, kurios riboja tai, kurias programas ir duomenis žmonės gali pasiekti.

    • Vieningą valdymą. Naudodamos SAML, technologijų komandos tapatybes ir saugos strategijas valdo viename sprendime, o ne kiekvienai programai naudoja atskiras valdymo konsoles. Tai gerokai supaprastina vartotojų parengimą.

  • SAML yra atvira standartinė XML technologija, leidžianti tapatybės teikėjams, pvz., „Microsoft Entra ID“, perduoti autentifikavimo duomenis paslaugų teikėjui, pvz., programinės įrangos nuomos paslaugos programai.
    Bendroji autentifikacija yra toks būdas, kai žmonės prisijungia vieną kartą ir gauna prieigą prie kelių skirtingų svetainių ir programų. SAML įgalina bendrąją autentifikaciją, tačiau ją galima diegti ir su kitomis technologijomis.

  • Supaprastintosios prieigos prie katalogų protokolas (LDAP) yra tapatybės valdymo protokolas, naudojamas vartotojų tapatybėms autentifikuoti ir įgalioti. Daugelis paslaugų teikėjų palaiko LDAP, todėl tai gali būti geras bendrosios autentifikacijos sprendimas, tačiau, kadangi tai senesnė technologija, ji ne taip gerai veikia su taikomosiomis žiniatinklio programomis.

    SAML yra naujesnė technologija, pasiekiama daugumoje žiniatinklio ir debesies programų, todėl ji yra populiaresnis centralizuoto tapatybės valdymo pasirinkimas.

  • Kelių dalių autentifikavimas yra saugos priemonė, reikalaujanti, kad žmonės savo tapatybei įrodyti naudotų daugiau nei vieną veiksnį. Paprastai reikia kažko, ką turi asmuo, pvz., įrenginio, ir kažko, ką jis žino, pvz., slaptažodžio arba PIN. SAML leidžia technologijų komandoms taikyti kelių dalių autentifikavimą keliose svetainėse ir programose. Jie gali pasirinkti šį autentifikavimo lygį taikyti visoms programoms, integruotoms su SAML, arba gali įgalinti kelių dalių autentifikavimą kai kurioms programoms, bet ne visoms. 

Sekite „Microsoft“