Trace Id is missing
Gå til hovedinnhold
Microsoft Sikkerhet

Hva er SAML?

Lær hvordan bransjens standardprotokoll, SAML (Security Assertion Markup Language), styrker sikkerhetstiltakene og gjør pålogging mer effektivt.

Definisjon av SAML

SAML er den bakenforliggende teknologien som lar brukere logge på én gang med ett sett av påloggingsinformasjon og få tilgang til flere programmer. Identitetsleverandører slik som Microsoft Entra ID kontrollerer brukere når de logger på. Deretter bruker de SAML til å sende disse godkjenningsdataene til tjenesteleverandøren som driver nettstedet, tjenesten eller appen som brukerne ønsker tilgang til.

Hva brukes SAML til?

SAML bidrar til å styrke sikkerheten for bedrifter og forenkle påloggingsprosessen for ansatte, partnere og kunder. Organisasjoner bruker det til å aktivere enkel pålogging. Folk kan bruke ett brukernavn og passord og få tilgang til flere nettsteder, tjenester og apper. Færre passord å huske er ikke bare enklere. Det reduserer også risikoen for at ett av passordene blir stjålet. Organisasjoner kan også sette opp sikkerhetsstandarder for godkjenninger på alle SAML-aktiverte apper. De kan for eksempel kreve godkjenning med flere faktorer før folk får tilgang til lokale nettverk og apper slik som Salesforce, Concur eller Adobe. 

Med SAML får organisasjoner hjelp til å håndtere følgende brukstilfeller :

Samle identitets- og tilgangsstyring:

Ved å administrere godkjenning og autorisasjon i ett system kan IT-team betydelig redusere tiden de bruker på brukerklargjøring og identitetsrettigheter.

Aktiver nulltillit:

En Sikkerhetsstrategi med nulltillit krever at organisasjoner kontrollerer alle tilgangsforespørsler og begrenser tilgangen til sensitiv informasjon til bare personer som trenger den. Teknologi-team kan bruke SAML til å sette opp policyer, slik som godkjenning med flere faktorer og betinget tilgang, for alle appene sine. De kan også aktivere strengere sikkerhetstiltak som å tvinge frem tilbakestilling av passord når en brukers risiko øker på grunn av atferd, enhet eller plassering.

Gjør ansattopplevelsen mer innholdsrik:

I tillegg til å forenkle tilgangen for arbeidstagere, kan IT-team også merke påloggingssidene og slik skape enhetlige opplevelser på tvers av appene. Ansatte sparer også tid takket være selvbetjening som lar dem enkelt tilbakestille passordene sine.

Hva er SAML-leverandører?

SAML-leverandører er systemer som deler data om identitetsgodkjenning og -autorisasjon med andre leverandører. Der er to typer SAML-leverandører:

  • Leverandører av identitetstjenester godkjenner og gir autorisasjon til brukerne. De leverer påloggingssiden der folk skriver inn legitimasjonen sin. De håndhever også sikkerhetspolicyer ved eksempelvis å kreve flerfaktorautentisering eller tilbakestilling av passord. Når brukeren er godkjent, sender identitetsleverandører dataene til tjenesteleverandører. 

  • Tjenesteleverandører er de appene og nettstedene personer skal ha tilgang til. I stedet for å kreve at folk logger på appene sine individuelt, konfigurerer tjenesteleverandører løsningene sine til å stole på SAML-autorisasjon. De lar identitetsleverandørene bekrefte identitetene og autorisere tilgang. 

Hvordan fungerer SAML-autentisering?

Ved SAML-godkjenning deler tjenesteleverandører og identitetsleverandører påloggings- og brukerdata for å bekrefte at hver person som ber om tilgang, er godkjent. Vanligvis foregår det trinnvis slik:

  1. En ansatt begynner å jobbe og bruker identitetsleverandørens påloggingsside til å logge seg på.

  2. Identitetsleverandøren bekrefter at den ansatte er den vedkommende gir seg ut for. Dette ved å bekrefte en kombinasjon av godkjenningsopplysninger slik som brukernavn, passord, PIN-kode, enhet eller biometriske data.

  3. Den ansatte starter en tjenesteleverandørapp slik som Microsoft Word eller Workday. 

  4. Tjenesteleverandøren kommuniserer med identitetsleverandøren for å bekrefte at den ansatte er godkjent og kan få tilgang til appen.

  5. Identitetsleverandørene sender autorisasjon og godkjenning tilbake.

  6. Den ansatte får tilgang til appen uten å logge på for andre gang.

Hva er SAML-deklarasjon?

SAML-deklarasjonen er XML-dokumentet med data som bekrefter overfor tjenesteleverandøren at personen som logger på, er godkjent.

Det er tre typer:

  • Godkjenningsdeklarasjonidentifiserer identifiserer brukeren og inkluderer tidspunktet da personen logget på samt godkjenningstypen de brukte. Det kan være passord eller godkjenning med flere faktorer.

  • Tilskrivelsesdeklarasjon sender SAML-tokenet til leverandøren. Denne deklarasjonen inneholder spesifikke data om brukeren.

  • Deklarasjoner om autorisasjonsavgjørelser forteller tjenesteleverandøren om brukeren er godkjent, eller om de nektes på grunn av et problem med legitimasjonen eller fordi de ikke har tillatelser til den aktuelle tjenesten. 

SAML versus OAuth

Både SAML og OAuth gjør det enklere å få tilgang til flere tjenester uten å måtte logge på hver av dem separat, men de to protokollene bruker forskjellige teknologier og prosesser. Ved SAML benyttes XML for å la folk bruke samme legitimasjon for tilgang til flere tjenester. OAuth sender autorisasjonsdata ved hjelp av JWT eller JavaScript Object Notation.


Med OAuth velger brukere å logge seg på tjenester ved hjelp av tredjepartsautorisasjon, slik som Google- eller Facebook-kontoer, i stedet for å opprette nye brukernavn eller passord for tjenestene.  Brukernes passord er beskyttetmens autorisasjonene sendes.

SAMLs rolle for bedrifter

SAML hjelper bedrifter med både produktivitet og sikkerhet på hybride arbeidsplasser. Nå som flere jobber eksternt, er det viktig å gi enkel tilgang til bedriftsressurser hvor som helst, men, uten de riktige sikkerhetskontrollene, økes risikoen for brudd med lettvint tilgang. Med SAML kan organisasjoner effektivisere de ansattes påloggingsprosess. Samtidig kan de håndheve sterke policyer slik som godkjenning med flere faktorer og betinget tilgang til alle appene de ansatte bruker.
For å komme i gang bør organisasjoner investere i en identitetsleverandørløsning slik som Microsoft Entra ID. Microsoft Entra ID beskytter brukere og data med innebygd sikkerhet og samler identitetsadministrasjonen i én enkelt løsning. Selvbetjening og enkel pålogging gjør det enkelt og praktisk for de ansatte å holde seg produktive. Dessuten leveres Microsoft Entra ID med forhåndsutviklet SAML-integrasjon med tusenvis av apper slik som Zoom, DocuSign, SAP Concur, Workday og Amazon Web Services (AWS).

Mer informasjon om Microsoft Sikkerhet

Microsoft identitet og tilgang

Utforsk omfattende identitets- og tilgangsløsninger fra Microsoft.

Mer informasjon

Microsoft Entra ID

Beskytt organisasjonen med en effektiv identitetsløsning.

Mer informasjon

Enkel pålogging

Gi enklere tilgang til programvare som tjeneste-apper (SaaS), skyapper eller lokale apper.

Mer informasjon

Flerfaktorautentisering

Bidra til å beskytte organisasjonen mot brudd på grunn av legitimasjoner som blir stjålet eller forsvinner.

Mer informasjon

Betinget tilgang

Håndhev detaljert tilgangskontroll med adaptive policyer i sanntid.

Mer informasjon

Forhåndsutviklede appintegrasjoner

Bruk forhåndsutviklede integrasjoner. Slik kan brukerne koble seg til appene sine på sikrere vis.

Mer informasjon

Blogg om identitet og tilgang

Hold deg oppdatert på det nyeste fra tankeledere innen identitets- og tilgangsstyring.

Mer informasjon

Vanlige spørsmål

  • SAML inneholder følgende komponenter:

    • Leverandører av identitetstjenester godkjenner og gir autorisasjon til brukerne. De leverer påloggingssiden der brukerne angir legitimasjonen sin. De håndhever også sikkerhetspolicyer slik som krav om godkjenning med flere faktorer eller tilbakestilling av passord. Når brukeren er godkjent, sender identitetsleverandørene dataene til tjenesteleverandører.

    • Tjenesteleverandører er de appene og nettstedene personer skal ha tilgang til. I stedet for å kreve at folk logger på appene sine individuelt, konfigurerer tjenesteleverandører løsningene sine til å stole på SAML-autorisasjon. De lar identitetsleverandørene bekrefte identitetene og autorisere tilgang.

    • Metadata beskriver hvordan leverandører av identiteter og tjenester vil utveksle deklarasjoner, også endepunkter og teknologi.

    • Deklarasjonen er godkjenningsdataene som bekrefter overfor tjenesteleverandøren at personen som logger på, er godkjent.

    • Signeringssertifikateretablere etablerer tillit mellom identitetsleverandører og tjenesteleverandører ved å bekrefte at deklarasjonene ikke er blitt tuklet med på veien mellom dem.

    • Systemklokken bekrefter at tjenesteleverandøren og identitetsleverandøren forholder seg til den samme tiden for å kunne beskytte mot repetisjonsangrep.

  • SAML gir organisasjoner samt deres ansatte og partnere følgende fordeler:

    • Forbedret brukeropplevelse. Med SAML kan organisasjoner opprette enkel pålogging. Slik kan ansatte og partnere logge på én gang og få tilgang til alle appene sine. Dette gjør arbeidet enklere og mer praktisk fordi der er færre passord å huske, og de ansatte trenger ikke å logge på hver gang de skal bytte verktøy.

    • Forbedret sikkerhet. Færre passord reduserer risikoen for kompromitterte kontoer. Med SAML kan sikkerhetsteamene også bruke sterk sikkerhetspolicy på alle appene sine. De kan kreve slikt som godkjenning med flere faktorer for pålogging, eller de kan bruke policyer for betinget tilgang som begrenser hvilke apper og data folk får tilgang til.

    • Enhetlig administrasjon. Med SAML administrerer teknologiteamene identiteter og sikkerhetspolicyer samlet i én løsning i stedet for å bruke separate administrasjonskonsoller til hver app. Dette gjør brukerklargjøringen mye enklere.

  • SAML er XML-teknologi basert på åpne standarder som lar identitetsleverandører, slik som Microsoft Entra ID, sende godkjenningsdata til tjenesteleverandører, for eksempel programvare som tjeneste-apper.
    Enkel pålogging er når personer logger på én gang og så får tilgang til flere ulike nettsteder og apper. SAML tilrettelegger for enkel pålogging, men man kan også distribuere enkel pålogging med andre teknologier.

  • LDAP (Lightweight directory access protocol) er en protokoll for identitetsbehandling. Den brukes til godkjenning og autorisasjon av brukeridentiteter. Mange tjenesteleverandører støtter LDAP. Derfor kan det være en god løsning for enkel pålogging, men fordi det er eldre teknologi fungerer det ikke så bra med webprogrammer.

    SAML er nyere teknologi som er tilgjengelig i de fleste nett- og skyprogrammer. Derfor er dette et mer populært valg for sentralisert identitetsadministrasjon.

  • Godkjenning med flere faktorer er et sikkerhetstiltak som krever flere enn én faktor for å bevise identitet. Vanligvis krever det noe som personen eier, slik som en enhet, i tillegg til noe de vet, slik som et passord eller en PIN-kode. SAML lar teknologiteam bruke flerfaktorautentisering på flere nettsteder og apper. De kan velge å bruke dette godkjenningsnivået på alle appene som er integrert med SAML, eller de kan håndheve godkjenning med flere faktorer for noen apper, men ikke andre. 

Følg Microsoft