Kas ir SAML?
Uzziniet, kā nozares standarta protokols, drošības apgalvojuma iezīmēšanas valoda (security assertion markup language — SAML), stiprina drošības līdzekļus un uzlabo pierakstīšanās pieredzi.
SAML definīcija
SAML ir pamata tehnoloģija, kas ļauj lietotājiem pierakstīties vienu reizi, izmantojot vienu akreditācijas datu kopu un piekļūt vairākām programmām. Identitātes nodrošinātāji, piemēram, Microsoft Entra ID, pārbauda lietotājus, kad tie pierakstās, un pēc tam izmanto SAML, lai šos autentifikācijas datus nodotu pakalpojumu sniedzējam, kas darbina vietni, pakalpojumu vai programmu, kam lietotāji vēlas piekļūt.
Kam tiek izmantota SAML?
SAML palīdz stiprināt drošību uzņēmumiem un vienkāršo pierakstīšanās procesu darbiniekiem, partneriem un klientiem. Organizācijas to izmanto, lai iespējotu vienoto pierakstīšanos, kas lietotājiem ļauj izmantot vienu lietotājvārdu un paroli, lai piekļūtu vairākām vietnēm, pakalpojumiem un programmām. To paroļu skaita samazināšanās, kas lietotājiem ir jāiegaumē, ir ne tikai ērtāka šiem lietotājiem, bet arī samazina risku, ka kāda no šīm parolēm tiks nozagta. Organizācijas var arī iestatīt drošības standartus autentifikācijai savās SAML iespējotajās programmās. Piemēram, lai lietotāji varētu piekļūt lokālajam tīklam un programmām, piemēram, Salesforce, Concur un Adobe, tās var pieprasīt daudzfaktoru autentifikāciju .
SAML palīdz organizācijām šādos gadījumos:
Identitātes un piekļuves pārvaldības unificēšana:
Pārvaldot autentifikāciju un autorizāciju vienā sistēmā, IT komandas var ievērojami samazināt laiku, ko tās velta lietotāju nodrošināšanai un identitātes pilnvarām.
Nulles uzticamības iespējošana:
Nulles uzticamības stratēģijai ir nepieciešams, lai organizācijas pārbaudītu visus piekļuves pieprasījumus un ierobežotu piekļuvi sensitīvai informācijai, atļaujot to tikai personām, kurām tā ir nepieciešama. Tehniskās komandas var izmantot SAML, lai visām savām programmām iestatītu politikas, piemēram, daudzfaktoru autentifikāciju un nosacīto piekļuvi. Tās var arī iespējot stingrākus drošības līdzekļus, piemēram, obligātu paroles atiestatīšanu, ja lietotāja risks paaugstinās atbilstoši lietotāja uzvedībai, ierīcei vai atrašanās vietai.
Darbinieku pieredzes bagātināšana:
IT komandas var ne tikai vienkāršot piekļuvi darbiniekiem, bet arī pievienot zīmolu pierakstīšanās lapām, lai izveidotu konsekventu pieredzi visās programmās. Darbinieki arī ietaupa laiku, lietojot patstāvīgi izmantojamos līdzekļus, kas tiem ļauj ērti atiestatīt savas paroles.
Kas ir SAML nodrošinātājs?
SAML nodrošinātājs ir sistēma, kas koplieto identitātes autentifikācijas un autorizācijas datus ar citiem pakalpojumu sniedzējiem. Pastāv divu veidu SAML nodrošinātāji:
- Identitātes nodrošinātāji autentificē un autorizē lietotājus. Tie nodrošina pierakstīšanās lapu, kur lietotāji ievada savus akreditācijas datus. Tās arī ievieš drošības politikas, piemēram, pieprasot daudzfaktoru autentifikāciju vai paroles atiestatīšanu. Kad lietotājs ir sankcionēts, identitātes nodrošinātāji nodod datus pakalpojumu sniedzējiem.
- Pakalpojumu sniedzēji ir programmas un tīmekļa vietnes, kurām lietotāji vēlas piekļūt. Tā vietā, lai pieprasītu lietotājiem pierakstīties savās programmās individuāli, pakalpojumu sniedzēji konfigurē savus risinājumus, lai uzticētos SAML autorizācijai un paļautos uz identitātes nodrošinātājiem, verificējot identitātes un sankcionējot piekļuvi.
Kā darbojas SAML autentifikācija?
SAML autentifikācijas laikā pakalpojumu sniedzēji un identitātes nodrošinātāji koplieto pierakstīšanās un lietotāja datus, lai apstiprinātu, ka katra persona, kas pieprasa piekļuvi, ir autentificēta. Parasti tiek veiktas šādas darbības:
- Darbinieks sāk darbu, pierakstoties identitātes nodrošinātāja nodrošinātajā pieteikšanās lapā.
- Identitātes nodrošinātājs validē, vai darbinieks ir tas, par ko uzdodas, pārbaudot autentifikācijas detalizētās informācijas, piemēram, lietotājvārda, paroles, PIN, ierīces vai biometrisko datu, kombināciju.
- Darbinieks palaiž pakalpojumu sniedzēja programmu, piemēram, Microsoft Word vai Workday.
- Pakalpojumu sniedzējs sazinās ar identitātes nodrošinātāju, lai pārliecinātos, vai darbinieks ir sankcionēts piekļūt šai programmai.
- Identitātes nodrošinātāji atpakaļ nosūta autorizāciju un autentifikāciju.
- Darbinieks piekļūst programmai bez otrreizējas pierakstīšanās.
Kas ir SAML apgalvojums?
SAML apgalvojums ir XML dokuments, kurā ir dati, kas pakalpojumu sniedzējam apstiprina, ka persona, kas pierakstās, ir autentificēta.
Pastāv trīs veidi:
- Autentifikācijas apgalvojums identificē lietotāju un ietver laiku, kad persona pierakstījās, un izmantotās autentifikācijas veidu, piemēram, parole vai daudzfaktoru autentifikācija.
- Attiecinājuma apgalvojums nodod SAML marķieri nodrošinātājam. Šis apgalvojums ietver konkrētus datus par lietotāju.
- Autorizācijas lēmuma apgalvojums norāda pakalpojumu sniedzējam, vai lietotājs ir autentificēts vai noraidīts akreditācijas datu problēmas dēļ vai tāpēc, ka tam nav šī pakalpojuma izmantošanas atļauju.
SAML salīdzinājums ar OAuth
Gan SAML, gan OAuth lietotājiem atvieglo piekļuvi vairākiem pakalpojumiem, nepierakstoties katrā atsevišķi, bet abi šie protokoli izmanto dažādas tehnoloģijas un procesus. SAML izmanto XML, lai iespējotu lietotājiem to pašu akreditācijas datu izmantošanu, piekļūstot vairākiem pakalpojumiem, bet OAuth nodod autorizācijas datus, izmantojot JWT vai JavaScript Object Notation.
Standartā OAuth lietotāji izvēlas pierakstīties pakalpojumā, izmantojot trešās puses autorizāciju, piemēram, savu Google vai Facebook kontu, neveidojot jaunu lietotājvārdu vai paroli šim pakalpojumam. Autorizācija tiek nodota, vienlaikus aizsargājot lietotāja paroli.
SAML loma uzņēmējdarbībā
SAML palīdz uzņēmumiem savās hibrīdajās darbvietās iegūt gan produktivitāti, gan drošību. Tā kā arvien vairāk cilvēku strādā attālināti, ir svarīgi viņiem ļaut ērti piekļūt uzņēmuma resursiem no jebkuras vietas, bet bez pareizajiem drošības kontroles līdzekļiem viegla piekļuve palielina pārkāpuma riskus. Izmantojot SAML, organizācijas var racionalizēt darbinieku pierakstīšanās procesu, vienlaikus izmantojot stipras politikas, piemēram, daudzfaktoru autentifikāciju un nosacīto piekļuvi visās programmās, ko izmanto darbinieki.
Lai sāktu darbu, organizācijām ir jāiegulda identitātes nodrošinātāja risinājumā, piemēram, Microsoft Entra ID. Microsoft Entra ID aizsargā lietotājus un datus ar iebūvētu drošību un apvieno identitātes pārvaldību vienā risinājumā. Patstāvīgi izmantojamā un vienotā pierakstīšanās darbiniekiem ļauj ērti un produktīvi strādāt. Turklāt Microsoft Entra ID ir ar iebūvētu SAML integrāciju ar tūkstošiem programmu, piemēram, Zoom, DocuSign, SAP Concur, Workday un Amazon Web Services (AWS).
Papildinformācija par Microsoft drošību
Microsoft identitāte un piekļuve
Izpētiet visaptverošus identitātes un piekļuves risinājumus no Microsoft.
Microsoft Entra ID
Aizsargājiet savu organizāciju, izmantojot nevainojamu identitātes risinājumu.
Vienotā pierakstīšanās
Vienkāršojiet piekļuvi programmatūras pakalpojuma (software as a service — SaaS) programmām, mākoņprogrammām vai lokālajām programmām.
Daudzfaktoru autentifikācija
Palīdziet aizsargāt savu organizāciju pret uzbrukumiem, kas saistīti ar pazaudētiem vai nozagtiem akreditācijas datiem.
Nosacītā piekļuve
Ieviesiet granulveida piekļuves vadību, izmantojot reāllaika adaptīvās politikas.
Iepriekš izveidota programmu integrācija
Izmantojiet iepriekš izveidotu integrāciju, lai lietotāju savienojumi ar programmām būtu drošāki.
Identitātes un piekļuves emuārs
Sekojiet līdzi jaunākām tendencēm identitātes un piekļuves pārvaldībā.
Bieži uzdotie jautājumi
-
SAML ietver šādus komponentus:
- Identitātes pakalpojuma sniedzēji autentificē un autorizē lietotājus. Tie nodrošina pierakstīšanās lapu, kur lietotāji ievada savus akreditācijas datus, un ievieš drošības politikas, piemēram, pieprasot daudzfaktoru autentifikāciju vai paroles atiestatīšanu. Kad lietotājs ir sankcionēts, identitātes nodrošinātāji nodod datus pakalpojumu sniedzējiem.
- Pakalpojumu sniedzēji ir programmas un tīmekļa vietnes, kurām lietotāji vēlas piekļūt. Tā vietā, lai pieprasītu lietotājiem pierakstīties savās programmās individuāli, pakalpojumu sniedzēji konfigurē savus risinājumus, lai uzticētos SAML autorizācijai un paļautos uz identitātes nodrošinātājiem, verificējot identitātes un sankcionējot piekļuvi.
- Metadati apraksta, kā identitātes nodrošinātāji un pakalpojumu sniedzēji apmainīsies ar apgalvojumiem, tostarp galapunktiem un tehnoloģijām.
- Apgalvojums ir autentifikācijas dati, kas pakalpojumu sniedzējam apstiprina, ka persona, kura pierakstās, ir autentificēta.
- Parakstīšanas sertifikāti veido uzticēšanos starp identitātes nodrošinātāju un pakalpojumu sniedzēju, apstiprinot, ka apgalvojums netika manipulēts ceļā starp šiem abiem pakalpojumu sniedzējiem.
- Sistēmas pulkstenis apstiprina, ka pakalpojumu sniedzējam un identitātes nodrošinātājam ir vienāds laiks, lai aizsargātu pret atbildes uzbrukumiem.
- Identitātes pakalpojuma sniedzēji autentificē un autorizē lietotājus. Tie nodrošina pierakstīšanās lapu, kur lietotāji ievada savus akreditācijas datus, un ievieš drošības politikas, piemēram, pieprasot daudzfaktoru autentifikāciju vai paroles atiestatīšanu. Kad lietotājs ir sankcionēts, identitātes nodrošinātāji nodod datus pakalpojumu sniedzējiem.
-
SAML organizācijām, to darbiniekiem un partneriem piedāvā šādas priekšrocības:
- Uzlabota lietotāju pieredze. SAML organizācijām ļauj izveidot vienotās pierakstīšanās pieredzi, lai darbinieki un partneri pierakstītos vienreiz un varētu piekļūt visām savām programmām. Tas padara darbu vieglāku un ērtāku, jo ir mazāk paroļu, ko iegaumēt, un darbiniekiem nav jāpierakstās ikreiz, kad viņi pārslēdz rīkus.
- Uzlabota drošība. Mazāks paroļu daudzums samazina apdraudētu kontu risku. Turklāt drošības komandas var izmantot SAML, lai lietotu stipru drošības politiku visām savām programmām. Piemēram, tās var pieprasīt daudzfaktoru autentifikāciju, lai pierakstītos, vai lietot nosacītās piekļuves politikas, kas ierobežo to, kurām programmām un datiem lietotāji var piekļūt.
- Vienota pārvaldība. Izmantojot SAML, tehniskās komandas pārvalda identitātes un drošības politikas vienā risinājumā, nevis izmanto atsevišķas pārvaldības konsoles katrai programmai. Tas ievērojami vienkāršo lietotāju nodrošinājumu.
- Uzlabota lietotāju pieredze. SAML organizācijām ļauj izveidot vienotās pierakstīšanās pieredzi, lai darbinieki un partneri pierakstītos vienreiz un varētu piekļūt visām savām programmām. Tas padara darbu vieglāku un ērtāku, jo ir mazāk paroļu, ko iegaumēt, un darbiniekiem nav jāpierakstās ikreiz, kad viņi pārslēdz rīkus.
-
SAML ir atvērta standarta XML tehnoloģija, kas ļauj identitātes nodrošinātājiem, piemēram, Microsoft Entra ID, nodot autentifikācijas datus pakalpojumu sniedzējam, piemēram, programmatūras pakalpojuma programmai.
Vienotā pierakstīšanās ir tad, kad lietotāji pierakstās vienreiz un pēc tam iegūst piekļuvi vairākām dažādām tīmekļa vietnēm un programmām. SAML iespējo vienoto pierakstīšanos, bet ir iespējams izvietot vienoto pierakstīšanos, lietojot citas tehnoloģijas. -
Direktoriju vieglpiekļuves protokols (Lightweight directory access protocol — LDAP) ir identitātes pārvaldības protokols, kas tiek izmantots lietotāju identitāšu autentifikācijai un autorizācijai. Daudzi pakalpojumu sniedzēji atbalsta LDAP, tāpēc tas var būt labs vienotās pierakstīšanās risinājums, tomēr tā ir vecāka tehnoloģija, kas tik labi nedarbojas ar tīmekļa programmām.
SAML ir jaunāka tehnoloģija, kas ir pieejama vairākumā tīmekļa un mākoņa programmu, padarot to par populārāku centralizētās identitātes pārvaldības izvēli.
-
Daudzfaktoru autentifikācija ir drošības līdzeklis, kas lietotājiem, lai pierādītu savu identitāti, pieprasa izmantot vairākus faktorus. Parasti ir nepieciešams kaut kas, kas ir šai personai, piemēram, ierīce, kā arī kaut kas, ko šī persona zina, piemēram, parole vai PIN kods. SAML ļauj tehniskajām komandām lietot daudzfaktoru autentifikāciju vairākām tīmekļa vietnēm un programmām. Tās var izvēlēties lietot šo autentifikācijas līmeni visām programmām, kas ir integrētas ar SAML, vai arī var ieviest daudzfaktoru autentifikāciju dažām programmām, bet ne pārējām.
Sekot korporācijai Microsoft