Что такое SAML?
Узнайте, как отраслевой стандарт под названием "язык разметки заявлений системы безопасности (SAML)" усиливает корпоративную защиту и упрощает вход в службы.
О SAML в двух словах
SAML — это базовая технология, позволяющая работать с несколькими разными приложениями, используя один набор учетных данных. Вход в учетную запись требуется выполнить только один раз. Microsoft Entra ID и другие поставщики удостоверений сначала проверяют подлинность пользователя при входе, а затем посредством SAML передают эти данные поставщику услуг, управляющему сайтом, службой или приложением, доступ к которым интересует пользователя.
Зачем используется SAML?
SAML помогает компаниям усилить безопасность инфраструктуры, а сотрудникам, партнерам и клиентам — легко входить во все нужные приложения. Этот язык нужен для единого входа, на разные корпоративные сайты, в службы и приложения под одним именем пользователя и паролем. Так людям придется запоминать намного меньше паролей. Это и проще, и безопаснее: ведь так ниже риск, что пароль украдут. В корпоративных приложениях с SAML также можно настраивать стандарты безопасности проверок подлинности . Например, так можно ввести обязательную многофакторную проверку подлинности перед входом в локальные сети и приложения: Salesforce, Concur, Adobe и т. д.
В корпоративной среде SAML используется для следующих задач.
Унификация управления идентификацией и доступом.
Когда проверка подлинности и авторизация администрируются централизованно, в одной системе, это заметно ускоряет подготовку пользователей и назначение прав для удостоверений. Такая система ощутимо экономит время сотрудников ИТ-отделов.
Внедрение стратегии "Никому не доверяй".
Стратегия безопасности "Никому не доверяй" требует проверять каждый запрос на доступ в корпоративных сетях и предоставлять доступ к конфиденциальной информации только людям, которым она действительно нужна. Технические специалисты используют SAML при настройке политик многофакторной проверки подлинности, условного доступа и т. д. для всех своих приложений. Таким образом можно и усиливать меры безопасности: например, если система считает, что уровень риска как повышен из-за устройства, расположения или действий пользователя, она может требовать сброса пароля.
Комфорт сотрудников.
Ваши ИТ-специалисты смогут не только упростить сотрудникам вход в службы, но и настроить для всех приложений страницу входа в едином корпоративном стиле. А самостоятельный сброс паролей сэкономит сотрудникам много времени.
Что такое поставщик SAML?
Поставщик SAML — это система, передающая другим поставщикам данные о проверке подлинности и авторизации удостоверений. Существует два типа поставщиков SAML:
- Поставщики удостоверений проверяют подлинность пользователей и авторизуют их. Такой поставщик предоставляет страницу входа, на которой люди вводят учетные данные. Он же обеспечивает обязательное применение политик безопасности — например, требует пройти многофакторную проверку подлинности или сбросить пароль. После авторизации пользователя поставщик удостоверений передает эти данные поставщикам услуг.
- Поставщики услуг управляют приложениями и веб-сайтами, доступ к которым требуется пользователям. Обычно для входа в каждую такую службу нужно отдельно вводить учетные данные. Но поставщики услуг могут настроить свои решения так, чтобы те доверяли SAML-авторизации. Тогда проверять удостоверения и авторизовать доступ будут поставщики удостоверений.
Как работает проверка подлинности с помощью SAML?
Когда подлинность проверяется с помощью SAML, поставщики услуг и удостоверений обмениваются учетными и пользовательскими данными, проверяя, прошел ли проверку подлинности каждый человек, запрашивающий доступ. Обычно этот процесс состоит из следующих этапов.
- Сотрудник входит на предоставленной поставщиком удостоверений странице.
- Чтобы убедиться, что сотрудник тот, за кого себя выдает, поставщик удостоверений оценивает комплекс сведений, используемых для проверки подлинности: имя пользователя, пароль, PIN-код, устройство или биометрические данные.
- Сотрудник открывает приложение, предоставленное поставщиком услуг: Microsoft Word, Workday и т. д.
- Поставщик услуг обменивается данными с поставщиком удостоверений, проверяя, есть ли у сотрудника права на доступ к этому приложению.
- Поставщики удостоверений присылают данные об авторизации и проверке подлинности.
- Сотрудник получает доступ к приложению без повторного ввода учетных данных.
Что такое проверочное утверждение SAML?
Проверочное утверждение SAML — это XML-документ с данными, с помощью которых поставщик услуг может убедиться, что входящий пользователь прошел проверку подлинности.
Существуют три типа таких утверждений.
- Утверждение о проверке подлинности идентифицирует пользователя, показывает время входа и тип проверки (парольная, многофакторная и т. д.).
- Утверждение об атрибуции передает поставщику токен SAML и содержит конкретные данные о пользователе.
- Утверждение об итогах авторизации информирует поставщика услуг о том, удалось пользователю пройти проверку подлинности или нет (из-за проблем с учетными данными или отсутствия разрешений для соответствующей службы).
Чем SAML отличается от OAuth
И SAML, и OAuth позволяют автоматически входить в разные службы, упрощая людям работу. Но в этих двух протоколах используются разные технологии и процессы. В SAML применяется XML, что позволяет использовать для доступа к разным службам одни и те же учетные данные. А в OAuth для передачи данных авторизации используется JWT или нотация объектов JavaScript.
В случае с OAuth люди не создают для определенной службы новое имя пользователя и пароль, а входят в нее с помощью учетных записей сторонних служб, таких как Google или Facebook. Это обеспечивает и авторизацию, и защиту пароля пользователя.
Роль SAML в бизнесе
SAML обеспечивает безопасную и продуктивную работу сотрудников в гибридном режиме. Сейчас все больше людей работает удаленно, и крайне важно гарантировать им легкий доступ к корпоративным ресурсам. Однако без эффективных настроек безопасности легкость доступа превращается в риск утечки. SAML позволяет упростить процесс входа сотрудников и внедрить обязательные политики, которые надежно защитят корпоративные приложения от несанкционированного доступа: многофакторную проверку подлинности, условный доступ и т. д.
Сначала компании следует приобрести решение для поставки удостоверений, например Microsoft Entra ID. Microsoft Entra ID позволяет централизованно управлять удостоверениями и обладает встроенной системой защиты пользователей и данных. Простые и удобные средства самообслуживания и единого входа позволяют сотрудникам работать, не снижая продуктивности. Кроме того, в Microsoft Entra ID уже настроена SAML-интеграция с тысячами приложений: Zoom, DocuSign, SAP Concur, Workday, Amazon Web Services (AWS) и другими.
Подробнее о Microsoft Security
Управление идентификацией и доступом от Майкрософт
Комплексные решения для управления идентификацией и доступом от Майкрософт.
Microsoft Entra ID
Защитите свою организацию с помощью удобного решения для управления удостоверениями.
Единый вход
Упростите удаленный доступ к программному обеспечению, предоставляемому как услуга (SaaS), а также облачным и локальным приложениям.
Многофакторная проверка подлинности
Защитите свою организацию от уязвимостей, связанных с потерей и кражей учетных данных.
Условный доступ
Точно контролируйте доступ с помощью адаптивных политик в реальном времени.
Готовая интеграция с приложениями
Готовая интеграция помогает дополнительно обезопасить вход в приложения.
Блог об управлении идентификацией и доступом
Следите за новейшими идеями в сфере управления идентификацией и доступом.
Вопросы и ответы
-
SAML включает следующие компоненты:
- Поставщики удостоверений проверяют подлинность пользователей и авторизуют их. Такой поставщик предоставляет страницу входа, на которой люди вводят учетные данные. Он же обеспечивает обязательное применение политик безопасности — например, требует пройти многофакторную проверку подлинности или сбросить пароль. После авторизации пользователя поставщик удостоверений передает эти данные поставщикам услуг.
- Поставщики услуг управляют приложениями и веб-сайтами, доступ к которым требуется пользователям. Обычно для входа в каждую такую службу нужно отдельно вводить учетные данные. Но поставщики услуг могут настроить свои решения так, чтобы те доверяли SAML-авторизации. Тогда проверять удостоверения и авторизовать доступ будут поставщики удостоверений.
- Метаданные описывают, как поставщики удостоверений и услуг обмениваются проверочными утверждениями (в том числе относительно конечных точек и технологий).
- Проверочное утверждение — это данные, подтверждающие поставщику услуг, что входящий пользователь прошел проверку подлинности.
- Сертификаты для подписи создают доверительные отношения между поставщиком удостоверений и поставщиком услуг, подтверждая, что при пересылке между ними в утверждение не вносились изменения.
- Тактовый генератор подтверждает, что поставщики услуг и удостоверений работают по одному времени. Это защищает от атак повторного воспроизведения.
- Поставщики удостоверений проверяют подлинность пользователей и авторизуют их. Такой поставщик предоставляет страницу входа, на которой люди вводят учетные данные. Он же обеспечивает обязательное применение политик безопасности — например, требует пройти многофакторную проверку подлинности или сбросить пароль. После авторизации пользователя поставщик удостоверений передает эти данные поставщикам услуг.
-
Использование SAML дает организациям, их сотрудникам и партнерам следующие преимущества:
- Расширенные возможности пользователя. Благодаря единому входу на основе SAML сотрудники и партнеры смогут войти в учетную запись один раз и после этого свободно работать во всех нужных приложениях. Когда не требуется каждый раз заново входить в каждую службу, это делает работу намного проще и удобнее. К тому же чем меньше паролей, тем легче их запомнить.
- Повышенная безопасность. Чем меньше паролей, тем меньше риск компрометации учетных записей. А специалисты по информационной безопасности с помощью SAML могут внедрять надежные политики для защиты всех корпоративных приложений. Например, так можно ввести обязательную многофакторную проверку подлинности при входе или политики условного доступа, ограничивающие доступ к приложениям и данным.
- Единое управление. SAML дает техническим специалистам возможность управлять удостоверениями и политиками безопасности централизованно, а не в отдельных консолях для каждого приложения. Это намного упрощает подготовку пользователей.
- Расширенные возможности пользователя. Благодаря единому входу на основе SAML сотрудники и партнеры смогут войти в учетную запись один раз и после этого свободно работать во всех нужных приложениях. Когда не требуется каждый раз заново входить в каждую службу, это делает работу намного проще и удобнее. К тому же чем меньше паролей, тем легче их запомнить.
-
SAML — это XML-технология на основе открытых стандартов. Она позволяет поставщикам удостоверений, например Microsoft Entra ID, передавать данные о проверке подлинности поставщикам услуг (SaaS-приложениям и т. д.).
Единый вход — это когда человек входит в учетную запись только один раз и после этого получает доступ к нескольким разным веб-сайтам и приложениям. Для единого входа можно использовать как SAML, так и другие технологии. -
Протокол упрощенного доступа к каталогам (LDAP) используется для проверки подлинности и авторизации удостоверений пользователей. Многие поставщики услуг поддерживают протокол LDAP, поэтому его удобно использовать для единого входа. Но это старая технология, плохо работающая в веб-приложениях.
Технология SAML новее и работает с большинством облачных и веб-приложений, поэтому ее чаще используют для централизованного управления удостоверениями.
-
Многофакторная проверка подлинности — это мера безопасности, обязывающая людей подтверждать свою личность с помощью нескольких факторов. Обычно это фактор владения (устройство пользователя) и фактор знания (пароль или ПИН-код). Используя SAML, можно настраивать многофакторную проверку подлинности для нескольких сайтов и приложений. Например, технический специалист может сделать ее обязательной для всех приложений, интегрированных с SAML, или же только для отдельных приложений.
Следите за новостями Майкрософт