Trace Id is missing
Przejdź do głównej zawartości
Rozwiązania zabezpieczające firmy Microsoft

Co to jest protokół SAML?

Dowiedz się, jak standardowy protokół branżowy SAML (Security Assertion Markup Language) wzmacnia miary zabezpieczeń i usprawnia środowiska logowania.

Zdefiniowane przez protokół SAML

Protokół SAML to podstawowa technologia, która umożliwia użytkownikom jednokrotne logowanie się przy użyciu jednego zestawu poświadczeń oraz uzyskiwanie dostępu do wielu aplikacji. Dostawcy tożsamości, tacy jak usługa Tożsamość Microsoft Entra, weryfikują użytkowników podczas logowania, a następnie używają protokołu SAML w celu przekazywania danych uwierzytelniania do usługodawcy obsługującego witrynę, usługę lub aplikację, do której użytkownicy chcą uzyskać dostęp.

Do czego służy protokół SAML?

Protokół SAML pomaga wzmocnić bezpieczeństwo firm oraz uprościć proces logowania dla pracowników, partnerów i klientów. Organizacje używają go, aby umożliwić logowanie jednokrotne, które pozwala użytkownikom używanie jednej nazwy użytkownika i hasła do uzyskiwania dostępu do wielu witryn, usług i aplikacji. Zmniejszenie liczby haseł, które muszą zapamiętywać użytkownicy, jest nie tylko łatwiejsze dla nich, ale też zmniejsza ryzyko kradzieży tych haseł. Organizacje mogą też ustalić standardy zabezpieczeń dotyczące uwierzytelnień w swoich aplikacjach z obsługą protokołu SAML. Na przykład mogą wymagać uwierzytelniania wieloskładnikowego , zanim użytkownicy uzyskają dostęp do lokalnej sieci i aplikacji, takich jak Salesforce, Concur i Adobe. 

Protokół SAML pomaga organizacjom w następujących przypadkach użycia:

Ujednolicenie zarządzania tożsamościami i dostępem:

Zarządzając uwierzytelnianiem i autoryzacją w jednym systemie, zespoły IT mogą znacznie zmniejszyć czas, jaki poświęcają na inicjowanie obsługi użytkowników i uprawnienia tożsamości.

Udostępnienie modelu Zero Trust:

 Strategia zabezpieczeń Zero Trust wymaga, aby organizacje weryfikowały każde żądanie dostępu i ograniczały dostęp do informacji poufnych tylko do osób, które go potrzebują. Zespoły techniczne mogą używać protokołu SAML do konfigurowania zasad, takich jak uwierzytelnianie wieloskładnikowe i dostęp warunkowy, dla wszystkich swoich aplikacji. Mogą też stosować bardziej rygorystyczne miary zabezpieczeń, takie jak wymuszanie resetowania hasła, gdy ryzyko użytkownika jest podwyższone na podstawie jego zachowania, urządzenia lub lokalizacji.

Poprawa środowiska pracownika:

Oprócz uproszczenia dostępu dla pracowników, zespoły IT mogą oznaczać strony logowania marką, aby zapewnić spójne środowisko w różnych aplikacjach. Pracownicy oszczędzają też czas dzięki samoobsłudze, która umożliwia im łatwe resetowanie haseł.

Co to jest dostawca protokołu SAML?

Dostawca protokołu SAML to system, który udostępnia dane uwierzytelniania i autoryzacji tożsamości innym dostawcom. Są dwa typy dostawców protokołu SAML:

  • Dostawcy tożsamości uwierzytelniają i autoryzują użytkowników. Udostępniają stronę logowania, na której użytkownicy wprowadzają swoje poświadczenia. Wymuszają też zasady zabezpieczeń, na przykład przez wymaganie uwierzytelniania wieloskładnikowego lub resetowania haseł. Po autoryzacji użytkownika dostawcy tożsamości przekazują dane do usługodawców. 

  • Usługodawcami są aplikacje i witryny internetowe, do których użytkownicy chcą uzyskiwać dostęp. Zamiast wymagać od użytkowników indywidualnego logowania się do aplikacji, usługodawcy konfigurują swoje rozwiązania tak, aby ufały autoryzacji SAML oraz polegały na dostawcach tożsamości w celu weryfikowania tożsamości i autoryzowania dostępu. 

Jak działa uwierzytelnianie przy użyciu protokołu SAML?

W przypadku uwierzytelniania przy użyciu protokołu SAML usługodawcy i dostawcy tożsamości wymieniają się danymi dotyczącymi logowania i danymi użytkowników, aby potwierdzić, że każda osoba żądająca dostępu zostanie uwierzytelniona. Zazwyczaj przebiega to w następujących etapach:

  1. Pracownik rozpoczyna pracę od zalogowania się za pomocą strony logowania udostępnionej przez dostawcę tożsamości.

  2. Dostawca tożsamości weryfikuje, czy pracownik jest tym, za kogo się podaje, przez potwierdzenie kombinacji szczegółów uwierzytelniania, takich jak nazwa użytkownika, hasło, numer PIN, urządzenie lub dane biometryczne.

  3. Pracownik uruchamia aplikację usługodawcy, taką jak Microsoft Word lub Workday. 

  4. Usługodawca komunikuje się z dostawcą tożsamości, aby potwierdzić, że pracownik ma autoryzację dostępu do tej aplikacji.

  5. Dostawcy tożsamości odsyłają autoryzację i uwierzytelnienie.

  6. Pracownik uzyskuje dostęp do aplikacji bez logowania się po raz drugi.

Co to jest asercja protokołu SAML?

Asercja protokołu SAML to dokument XML zawierający dane, które potwierdzają usługodawcy, że logująca się osoba została uwierzytelniona.

Istnieją trzy typy:

  • Asercja uwierzytelniania identyfikuje użytkownika oraz zawiera czas, w którym dana osoba się zalogowała, oraz typ uwierzytelniania, którego użyła, taki jak hasło lub uwierzytelnianie wieloskładnikowe.

  • Asercja atrybutów przekazuje token SAML do dostawcy. Ta asercja zawiera określone dane o użytkowniku.

  • Asercja decyzji o autoryzacji informuje usługodawcę, czy użytkownik został uwierzytelniony, czy otrzymał odmowę z powodu problemu z jego poświadczeniami lub z powodu braku uprawnień do danej usługi. 

Protokół SAML a OAuth

Zarówno protokół SAML, jak i protokół OAuth ułatwia użytkownikom dostęp do wielu usług bez logowania się do każdej z nich osobno, ale oba protokoły korzystają z różnych technologii i procesów. Protokół SAML używa języka XML, aby umożliwić używanie tych samych poświadczeń w celu uzyskiwania dostępu do wielu usług, natomiast protokół OAuth przekazuje dane autoryzacji w formacie JWT lub JavaScript Object Notation.


W przypadku protokołu OAuth użytkownicy mogą logować się do usługi za pomocą autoryzacji innej firmy, na przykład konta Google lub Facebook, zamiast tworzyć nową nazwę użytkownika lub hasło do usługi. Autoryzacja jest przekazywana przy jednoczesnej ochronie hasła użytkownika.

Rola protokołu SAML w przypadku firm

Protokół SAML pomaga firmom zapewnić zarówno wydajność, jak i bezpieczeństwo w hybrydowych miejscach pracy. Ponieważ coraz więcej ludzi pracuje zdalnie, niezwykle ważne jest umożliwienie im łatwego dostępu do zasobów firmy z dowolnego miejsca, ale bez odpowiednich mechanizmów kontroli zabezpieczeń łatwy dostęp zwiększa ryzyko naruszenia. Dzięki protokołowi SAML organizacje mogą usprawnić proces logowania pracowników, jednocześnie wymuszając silne zasady, takie jak uwierzytelnianie wieloskładnikowe i dostęp warunkowy w aplikacjach, z których korzystają ich pracownicy.
Aby rozpocząć, organizacje powinny zainwestować w rozwiązanie oparte na dostawcy tożsamości, takie jak usługa Tożsamość Microsoft Entra. Usługa Tożsamość Microsoft Entra chroni użytkowników i dane za pomocą wbudowanych zabezpieczeń oraz ujednolica zarządzanie tożsamościami w ramach jednego rozwiązania. Samoobsługa i logowanie jednokrotne sprawiają, że pracownicy mogą łatwo i wygodnie zapewnić produktywność. Ponadto usługa Tożsamość Microsoft Entra ma wbudowaną integrację przy użyciu protokołu SAML z tysiącami aplikacji, takich jak Zoom, DocuSign, SAP Concur, Workday i Amazon Web Services (AWS).

Dowiedz się więcej o rozwiązaniach zabezpieczających firmy Microsoft

Rozwiązania firmy Microsoft do obsługi tożsamości i dostępu

Poznaj kompleksowe rozwiązania firmy Microsoft do obsługi tożsamości i dostępu.

Dowiedz się więcej

Tożsamość Microsoft Entra

Zabezpiecz swoją organizację przy użyciu bezproblemowego rozwiązania do obsługi tożsamości.

Dowiedz się więcej

Logowanie jednokrotne

Uprość dostęp do aplikacji typu SaaS (oprogramowanie jako usługa), aplikacji w chmurze lub aplikacji lokalnych.

Dowiedz się więcej

Uwierzytelnianie wieloskładnikowe

Chroń swoją organizację przed naruszeniami z powodu utraconych lub wykradzionych poświadczeń.

Dowiedz się więcej

Dostęp warunkowy

Wymuszaj szczegółową kontrolę dostępu za pomocą adaptacyjnych zasad w czasie rzeczywistym.

Dowiedz się więcej

Wstępnie utworzone integracje aplikacji

Korzystaj ze wstępnie utworzonych integracji, aby zapewnić łączenie się użytkowników z aplikacjami w sposób bardziej bezpieczny.

Dowiedz się więcej

Blog dotyczący tożsamości i dostępu

Bądź na bieżąco z najnowszymi wiodącymi ideami w dziedzinie zarządzania tożsamościami i dostępem.

Dowiedz się więcej

Często zadawane pytania

  • Protokół SAML obejmuje następujące składniki:

    • Dostawcy usług tożsamości uwierzytelniają i autoryzują użytkowników. Udostępniają oni stronę logowania, na której użytkownicy wprowadzają swoje poświadczenia, oraz wymuszają zasady zabezpieczeń, na przykład przez wymaganie uwierzytelniania wieloskładnikowego lub resetowania haseł. Po autoryzacji użytkownika dostawcy tożsamości przekazują dane do usługodawców.

    • Usługodawcami są aplikacje i witryny internetowe, do których użytkownicy chcą uzyskiwać dostęp. Zamiast wymagać od użytkowników indywidualnego logowania się do aplikacji, usługodawcy konfigurują swoje rozwiązania tak, aby ufały autoryzacji SAML oraz polegały na dostawcach tożsamości w celu weryfikowania tożsamości i autoryzowania dostępu.

    • Metadane opisują, w jaki sposób dostawcy tożsamości i usługodawcy wymieniają się asercjami, w tym punktami końcowymi i technologią.

    • Asercja to dane uwierzytelniania, które potwierdzają usługodawcy, że logująca się osoba została uwierzytelniona.

    • Certyfikaty podpisywania ustanawiają zaufanie między dostawcą tożsamości a usługodawcą przez potwierdzenie, że asercja nie została zmanipulowana podczas przesyłania między tymi dwoma dostawcami.

    • Zegar systemowy potwierdza zgodność czasu u usługodawcy i dostawcy tożsamości, aby zapewnić ochronę przed atakami przez odtwarzanie.

  • Protokół SAML oferuje następujące korzyści dla organizacji oraz ich pracowników i partnerów:

    • Poprawione środowisko użytkownika. Protokół SAML pozwala organizacjom tworzyć środowisko logowania jednokrotnego, dzięki czemu pracownicy i partnerzy mogą logować się raz i uzyskiwać dostęp do wszystkich swoich aplikacji. Dzięki temu praca jest łatwiejsza i wygodniejsza, ponieważ jest mniej haseł do zapamiętania, a pracownicy nie muszą się logować za każdym razem, gdy zmieniają narzędzia.

    • Ulepszone zabezpieczenia. Mniejsza liczba haseł zmniejsza ryzyko naruszenia zabezpieczeń kont. Ponadto, zespoły ds. zabezpieczeń mogą używać protokołu SAML w celu stosowania silnych zasad zabezpieczeń do wszystkich swoich aplikacji. Mogą na przykład wymagać uwierzytelniania wieloskładnikowego przy logowaniu albo stosować zasady dostępu warunkowego ograniczające aplikacje i dane, do których użytkownicy mogą uzyskiwać dostęp.

    • Ujednolicone zarządzanie. Za pomocą protokołu SAML zespoły techniczne mogą zarządzać tożsamościami i zasadami zabezpieczeń w jednym rozwiązaniu, zamiast korzystać z oddzielnych konsol zarządzania dla każdej aplikacji. To znacznie upraszcza inicjowanie obsługi użytkowników.

  • Protokół SAML jest otwartym standardem technologii XML, który umożliwia dostawcom tożsamości, takim jak usługa Tożsamość Microsoft Entra, przekazywanie danych uwierzytelniania do usługodawcy, takiego jak aplikacja w modelu oprogramowanie jako usługa.
    Logowanie jednokrotne polega na tym, że użytkownicy logują się raz, a następnie uzyskują dostęp do różnych witryn internetowych i aplikacji. Protokół SAML umożliwia logowanie jednokrotne, ale można wdrożyć logowanie jednokrotne przy użyciu innych technologii.

  • LDAP (Lightweight Directory Access Protocol) to protokół zarządzania tożsamościami, który służy do uwierzytelniania i autoryzacji tożsamości użytkowników. Wielu usługodawców obsługuje protokół LDAP, więc może to być dobre rozwiązanie do logowania jednokrotnego, jednak jest to starsza technologia, która nie działa tak dobrze z aplikacjami internetowymi.

    Protokół SAML jest nowszą technologią, która jest dostępna w większości aplikacji internetowych i chmurowych, co czyni ją popularniejszą opcją w przypadku scentralizowanego zarządzania tożsamościami.

  • Uwierzytelnianie wieloskładnikowe to miara zabezpieczeń, który wymaga od użytkowników stosowania więcej niż jednego składnika w celu potwierdzenia tożsamości. Zazwyczaj wymaga ono czegoś, co dana osoba posiada (np. urządzenia), oraz czegoś, co ta osoba zna (np. hasła lub numeru PIN). Protokół SAML umożliwia zespołom technicznym stosowanie uwierzytelniania wieloskładnikowego w wielu witrynach internetowych i aplikacjach. Mogą one stosować ten poziom uwierzytelniania do wszystkich aplikacji zintegrowanych z protokołem SAML albo wymuszać uwierzytelnianie wieloskładnikowe tylko dla niektórych aplikacji. 

Obserwuj rozwiązania zabezpieczające firmy Microsoft