Ce este SAML?
Aflați cum protocolul standard din domeniu, limbajul de marcare al aserțiunii de securitate (Security Assertion Markup Language - SAML), consolidează măsurile de securitate și îmbunătățește experiențele de conectare.
Definiția SAML
SAML este tehnologia subiacentă care le permite utilizatorilor să se conecteze o singură dată utilizând un set de acreditări și să acceseze mai multe aplicații. Furnizorii de identitate, cum ar fi ID Microsoft Entra, verifică utilizatorii când aceștia se conectează, apoi utilizează SAML pentru a transmite acele date de autentificare furnizorului de servicii care rulează site-ul, serviciul sau aplicația pe care utilizatorii doresc să o acceseze.
Pentru ce este utilizat SAML?
SAML contribuie la consolidarea securității pentru firme și simplifică procesul de conectare pentru angajați, parteneri și clienți. Organizațiile îl utilizează pentru a activa sign-on unic, care permite utilizatorilor să utilizeze un singur nume de utilizator și o singură parolă pentru a accesa mai multe site-uri, servicii și aplicații. Reducerea numărului de parole pe care trebuie să le memoreze utilizatorii nu doar le simplifică viața, ci și reduce riscul ca una dintre aceste parole să fie furată. De asemenea, organizațiile pot seta standarde de securitate pentru autentificări în aplicațiile lor cu SAML activat. De exemplu, acestea pot necesita autentificarea multifactor înainte ca utilizatorii să acceseze rețeaua și aplicațiile locale, cum ar fi Salesforce, Concur și Adobe.
SAML ajută organizațiile să rezolve următoarele cazuri de utilizare:
Unificați gestionarea identităților și accesului:
Prin gestionarea autentificării și a autorizării într-un singur sistem, echipele IT pot reduce semnificativ timpul petrecut pentru asigurarea accesului utilizatorilor și drepturile de identitate.
Activați Zero Trust:
O strategie de securitate Zero Trust necesită ca organizațiile să verifice fiecare solicitare de acces și să limiteze accesul la informații confidențiale doar pentru persoanele care au nevoie de ele. Echipele tehnice pot utiliza SAML pentru a seta politici, cum ar fi autentificarea multifactor și accesul condiționat, pentru toate aplicațiile lor. De asemenea, pot activa măsuri de securitate mai stricte, precum impunerea unei resetări a parolei, atunci când riscul unui utilizator pare sporit, datorită comportamentului, dispozitivului sau locației acestuia.
Îmbunătățiți experiența angajaților:
În plus față de simplificarea accesului pentru lucrători, echipele IT pot, de asemenea, să creeze pagini de conectare de marcă pentru a crea o experiență unitară în toate aplicațiile. Angajații economisesc, de asemenea, timp prin experiențele cu autoservire care permit resetarea cu ușurință a parolelor.
Ce este un furnizor SAML?
Un furnizor SAML este un sistem care distribuie datele de autentificare și autorizare a identității cu alți furnizori. Există două tipuri de furnizori SAML:
- Furnizorii de identitate autentifică și autorizează utilizatorii. Aceștia furnizează pagina de conectare în care utilizatorii își introduc acreditările. De asemenea, impun politici de securitate, cum ar fi solicitarea autentificării multifactor sau resetarea parolei. După autorizarea utilizatorului, furnizorii de identitate transmit datele furnizorilor de servicii.
- Furnizorii de servicii sunt aplicațiile și site-urile web pe care utilizatorii doresc să le acceseze. În loc de a solicita utilizatorilor să se conecteze individual la aplicațiile lor, furnizorii de servicii își configurează soluțiile pentru a avea încredere în autorizarea SAML și se bazează pe furnizorii de identitate pentru a verifica identitățile și a autoriza accesul.
Cum funcționează autentificarea SAML?
În autentificarea SAML, furnizorii de servicii și furnizorii de identitate distribuie datele de conectare și de utilizator pentru a confirma că fiecare persoană care solicită acces este autentificată. De obicei, se urmează acești pași:
- Un angajat începe lucrul conectându-se în pagina de conectare furnizată de furnizorul de identitate.
- Furnizorul de identitate validează că angajatul este cine spune că este prin confirmarea unei combinații de detalii de autentificare, cum ar fi numele de utilizator, parola, codul PIN, dispozitivul sau datele biometrice.
- Angajatul lansează o aplicație furnizor de servicii, precum Microsoft Word sau Workday.
- Furnizorul de servicii comunică cu furnizorul de identitate pentru a confirma că angajatul este autorizat să acceseze aplicația respectivă.
- Furnizorii de identitate le returnează autorizarea și autentificarea.
- Angajatul accesează aplicația fără a se conecta a doua oară.
Ce este aserțiunea SAML?
Aserțiunea SAML este documentul XML ce conține date care îi confirmă furnizorului de servicii că persoana care se conectează a fost autentificată.
Există trei tipuri:
- Aserțiunea de autentificare identifică utilizatorul și include ora la care persoana s-a conectat și tipul de autentificare utilizat, precum o parolă sau autentificare multifactor.
- Aserțiunea de atribuire îi transmite furnizorului tokenul SAML. Această aserțiune include date specifice despre utilizator.
- O aserțiune pentru decizia de autorizare îi spune furnizorului de servicii dacă utilizatorul este autentificat sau dacă este refuzat din cauza unei probleme cu acreditările sau pentru că nu are permisiuni pentru acel serviciu.
SAML versus OAuth
Atât SAML, cât și OAuth ajută utilizatorii să acceseze mai multe servicii fără a se conecta la fiecare separat, dar cele două protocoale utilizează tehnologii și procese diferite. SAML utilizează XML pentru a permite utilizatorilor să folosească aceleași acreditări pentru a accesa mai multe servicii, în timp ce OAuth transmite datele de autorizare utilizând JWT sau JavaScript Object Notation.
În OAuth, utilizatorii aleg să se conecteze la un serviciu utilizând autorizarea terță parte, precum conturile Google sau Facebook, în loc să creeze un nume de utilizator sau o parolă nouă pentru serviciu. Autorizarea este transmisă în timp ce se protejează parola utilizatorului.
Rolul SAML pentru firme
SAML ajută firmele să susțină atât productivitatea, cât și securitatea în locurile de muncă hibride. Având mai multe persoane care lucrează de la distanță, este esențial să le permiteți să acceseze cu ușurință resursele firmei de oriunde, dar, fără controalele de securitate corecte, ușurința accesului mărește riscurile unei breșe. Cu SAML, organizațiile pot fluidiza procesul de conectare pentru angajați, impunând în același timp politici puternice, cum ar fi autentificarea multifactor și accesul condiționat, în aplicațiile pe care le utilizează angajații lor.
Pentru a începe, organizațiile ar trebui să facă investiții într-o soluție furnizor de identitate, cum ar fi ID Microsoft Entra. ID Microsoft Entra protejează utilizatorii și datele cu securitate încorporată și unifică gestionarea identităților într-o singură soluție. Prin autoservire și sign-on unic, este mai ușor și mai comod de menținut productivitatea angajaților. În plus, ID Microsoft Entra este livrat cu integrarea SAML predefinită în mii de aplicații, precum Zoom, DocuSign, SAP Concur, Workday și Amazon Web Services (AWS).
Aflați mai multe despre Microsoft Security
Identitate și acces Microsoft
Explorați soluțiile ample pentru identitate și acces de la Microsoft.
ID Microsoft Entra
Protejați-vă organizația cu o soluție de identitate fără întreruperi.
Sign-on unic
Simplificați accesul la aplicațiile software ca serviciu (SaaS), aplicațiile în cloud sau aplicațiile locale.
Autentificarea multifactor
Protejați-vă organizația împotriva breșelor determinate de acreditările pierdute sau furate.
Acces condiționat
Impuneți controlul accesului granular cu politici adaptabile în timp real.
Integrări cu aplicații predefinite
Utilizați integrări predefinite pentru ca utilizatorii să se conecteze în siguranță la aplicațiile lor.
Blogul de identitate și acces
Rămâneți la curent cu cele mai recente idei despre gestionarea identității și accesului.
Întrebări frecvente
-
SAML include următoarele componente:
- Furnizorii de servicii de identitate autentifică și autorizează utilizatorii. Acestea furnizează pagina de conectare în care utilizatorii își introduc acreditările și impun politici de securitate, cum ar fi solicitarea autentificării multifactor sau o resetare a parolei. După ce utilizatorul este autorizat, furnizorii de identitate transmit datele furnizorilor de servicii.
- Furnizorii de servicii sunt aplicațiile și site-urile web pe care utilizatorii doresc să le acceseze. În loc de a solicita utilizatorilor să se conecteze individual la aplicațiile lor, furnizorii de servicii își configurează soluțiile pentru a avea încredere în autorizarea SAML și se bazează pe furnizorii de identitate pentru a verifica identitățile și a autoriza accesul.
- Metadatele descriu modul în care furnizorii de identitate și furnizorii de servicii vor face schimb de aserțiuni, inclusiv puncte finale și tehnologie.
- Aserțiunile sunt datele de autentificare care îi confirmă furnizorului de servicii că persoana care se conectează a fost autentificată.
- Semnarea certificatelor creează încredere între furnizorul de identitate și furnizorul de servicii, confirmând că aserțiunea nu a fost manipulată în timpul transmiterii între cei doi furnizori.
- Ceasul de sistem confirmă că furnizorul de servicii și furnizorul de identitate au același timp pentru a se proteja împotriva atacurilor prin repetare.
- Furnizorii de servicii de identitate autentifică și autorizează utilizatorii. Acestea furnizează pagina de conectare în care utilizatorii își introduc acreditările și impun politici de securitate, cum ar fi solicitarea autentificării multifactor sau o resetare a parolei. După ce utilizatorul este autorizat, furnizorii de identitate transmit datele furnizorilor de servicii.
-
SAML oferă următoarele beneficii organizațiilor, angajaților și partenerilor lor:
- Experiență de utilizator îmbunătățită. SAML permite organizațiilor să creeze o experiență de sign-on unic, astfel încât angajații și partenerii să se conecteze o singură dată și să obțină acces la toate aplicațiile lor. Aceasta face munca mai ușoară și mai comodă, deoarece există mai puține parole de memorat, iar angajații nu trebuie să se conecteze de fiecare dată când comută între instrumente.
- Securitate îmbunătățită. Mai puține parole reduc riscul de conturi compromise. În plus, echipele de securitate pot utiliza SAML pentru a aplica o politică de securitate puternică pentru toate aplicațiile. De exemplu, pot impune autentificarea multifactor pentru a se conecta sau a aplica politici de acces condiționat care limitează aplicațiile și datele pe care le pot accesa utilizatorii.
- Gestionare unificată. Utilizând SAML, echipele tehnice gestionează identitățile și politicile de securitate într-o singură soluție, în loc să utilizeze console de gestionare separate pentru fiecare aplicație. Acest lucru simplifică semnificativ asigurarea accesului pentru utilizatori.
- Experiență de utilizator îmbunătățită. SAML permite organizațiilor să creeze o experiență de sign-on unic, astfel încât angajații și partenerii să se conecteze o singură dată și să obțină acces la toate aplicațiile lor. Aceasta face munca mai ușoară și mai comodă, deoarece există mai puține parole de memorat, iar angajații nu trebuie să se conecteze de fiecare dată când comută între instrumente.
-
SAML este o tehnologie open standard XML care le permite furnizorilor de identitate, cum ar fi ID Microsoft Entra, să transmită date de autentificare unui furnizor de servicii, cum ar fi o aplicație software ca serviciu.
Caracteristica de sign-on unic înseamnă că utilizatorii se conectează o dată și obțin acces la mai multe site-uri web și aplicații diferite. SAML activează sign-on unic, dar este posibil să implementați sign-on unic și cu alte tehnologii. -
LDAP (Lightweight Directory Access Protocol) este un protocol de gestionare a identității utilizat pentru autentificarea și autorizarea identităților de utilizator. Mulți furnizori de servicii acceptă LDAP, deci poate fi o soluție bună pentru sign-on unic, însă, deoarece este o tehnologie mai veche, nu funcționează la fel de bine cu aplicațiile web.
SAML este o tehnologie mai nouă, disponibilă în majoritatea aplicațiilor web și cloud, ceea ce o face o alegere mai populară pentru gestionarea centralizată a identităților.
-
Autentificarea multifactor este o măsură de securitate care impune ca utilizatorii să utilizeze mai multe metode pentru a-și dovedi identitatea. De obicei, necesită ceva ce are persoana, cum ar fi un dispozitiv, plus ceva ce știe, cum ar fi o parolă sau un cod PIN. SAML permite echipelor tehnice să aplice autentificarea multifactor la mai multe site-uri web și aplicații. Acestea pot alege să aplice acest nivel de autentificare la toate aplicațiile integrate cu SAML sau pot impune autentificarea multifactor pentru unele aplicații, dar nu și pentru altele.
Urmăriți Microsoft Security