Trace Id is missing
Перейти до основного
Захисний комплекс Microsoft

Що таке SAML?

Дізнайтеся, як стандартний галузевий протокол мови розмітки тверджень системи безпеки (SAML) підвищує ефективність заходів безпеки й покращує функціонал входу.

Визначення протоколу SAML

SAML – це базова технологія, завдяки якій користувачі отримують доступ до кількох програм з одного облікового запису, ввівши дані для входу лише один раз. Постачальник ідентичностей, наприклад, Ідентифікатор Microsoft Entra, перевіряє користувача, коли той входить у систему, а потім за допомогою SAML передає дані автентифікації постачальнику послуг, що керує сайтом, службою або програмою, до якої користувач хоче отримати доступ.

Для чого використовується SAML?

SAML допомагає посилити систему безпеки компанії та спростити процес входу для працівників, партнерів і клієнтів. Організації використовують його для ввімкнення єдиного входу,, який дає змогу користувачам використовувати одне ім’я користувача та пароль для доступу до кількох сайтів, служб і програм. Так користувачам доводиться запам’ятовувати меншу кількість паролів. Це не тільки зручніше, а й зменшує ризики крадіжки цих паролів. Також організації можуть встановлювати стандарти безпеки для автентифікації у своїх програмах із підтримкою SAML. Наприклад, вони можуть ввести обов’язкову процедуру  багатофакторної автентифікації , яку проходять користувачі, перш ніж отримати доступ до локальної мережі та програм, таких як Salesforce, Concur і Adobe. 

Організації використовують SAML для вирішення таких задач :

Централізоване керування ідентичностями й доступом.

Завдяки об’єднанню керування автентифікацією й авторизацією в одному рішенні, IT-фахівці витрачатимуть значно менше часу на підготовку користувачів і керування правами для ідентичностей.

Упровадження моделі нульової довіри:

 Стратегія безпеки за моделлю нульової довіри передбачає, що організації перевіряють кожен запит на вхід і надають доступ до делікатної інформації лише тим користувачам, яким це потрібно для роботи. За допомогою SAML технічні спеціалісти можуть налаштовувати політики, такі як багатофакторна автентифікація та умовний доступ, для всіх своїх програм. Вони також можуть запроваджувати більш суворі заходи безпеки, наприклад примусове скидання пароля, якщо ризики, пов’язані з користувачем, підвищуються через його поведінку, пристрій або розташування.

Краща взаємодія працівників:

На додачу до спрощення доступу для працівників, ІТ-фахівці також можуть додати фірмове оформлення сторінок входу, щоб створити єдиний інтерфейс для усіх програм компанії. А працівники можуть заощаджувати час завдяки можливостям самообслуговування, що дають їм змогу самостійно скидати паролі.

Що таке постачальник SAML?

Постачальник SAML – це система, яка надає іншим постачальникам доступ до даних автентифікації та авторизації ідентичності. Існує два типи постачальників SAML:

  • постачальники ідентичностей автентифікують та авторизують користувачів. Вони надають сторінку входу, де користувачі вводять свої облікові дані. Крім того, вони застосовують політики безпеки, наприклад вимагаючи здійснити багатофакторну автентифікацію або скинути пароль. Після авторизації користувача постачальники ідентичностей передають його дані постачальникам послуг. 

  • Постачальники послуг – це програми й веб-сайти, до яких користувачі хочуть отримати доступ. Замість того, щоб вимагати від користувачів входити в кожну програму окремо, постачальники послуг налаштовують свої рішення на авторизацію SAML і довіряють постачальникам ідентичностей їх перевірку, а потім приймають рішення щодо надання доступу. 

Як працює автентифікація SAML?

Під час автентифікації SAML постачальники послуг і постачальники ідентичностей обмінюються даними про вхід та користувача, який запитує доступ, щоб підтвердити, що він пройшов автентифікацію. Зазвичай це передбачає такі дії:

  1. Працівник вводить облікові дані на сторінці входу, наданій постачальником ідентичностей.

  2. Постачальник ідентичностей підтверджує особу працівника, перевіряючи дані автентифікації, такі як ім’я користувача, пароль, PIN-код, пристрій або біометричні дані.

  3. працівник запускає програму постачальника послуг, наприклад Microsoft Word або Workday. 

  4. Постачальник послуг зв’язується з постачальником ідентичностей, щоб підтвердити право працівника на доступ до цієї програми.

  5. Постачальник ідентичностей повертає дані про авторизацію та автентифікацію.

  6. Працівник отримує доступ до програми без потреби здійснювати вхід у неї повторно.

Що таке твердження SAML?

Твердження SAML – це XML-документ із даними, які слугують для постачальника послуг підтвердженням того, що користувач, який входить у систему, пройшов автентифікацію.

Існує три типи тверджень:

  • твердження автентифікації дає змогу ідентифікувати користувача й містить дані про час входу та метод автентифікації, наприклад за допомогою пароля або багатофакторної автентифікації;

  • твердження атрибутів  передає маркер SAML постачальнику й містить певні дані про користувача;

  • твердження рішення про авторизацію вказує постачальнику послуг, чи користувач пройшов автентифікацію, або йому було відмовлено в доступі через проблему з його обліковими даними чи відсутність у нього дозволів для цієї служби. 

Різниця між SAML і OAuth

І SAML, і OAuth спрощують користувачам отримання доступу до кількох служб без потреби входити в кожну окремо, але ці протоколи використовують різні технології та процеси. SAML використовує XML, щоб користувачі могли використовувати ті самі облікові дані для доступу до кількох служб, тоді як OAuth передає дані авторизації за допомогою JWT або JavaScript Object Notation.


OAuth передбачає, що користувачі входять у службу за допомогою сторонніх засобів авторизації, наприклад облікових записів Google або Facebook, а не створюють нове ім’я користувача чи пароль для служби. Під час авторизації пароль користувача захищено.

Переваги SAML для компаній

SAML допомагає компаніям забезпечувати продуктивність і безпеку працівників в умовах гібридної роботи. Зараз усе більше людей починає працювати віддалено, і дуже важливо дати їм змогу легко отримувати доступ до ресурсів компанії звідусіль. Однак без належних засобів керування захистом такий легкий доступ збільшує ризики порушення безпеки даних. За допомогою SAML організації можуть спростити процес входу в програми, які використовують працівники, застосовуючи надійні політики, як-от багатофакторну автентифікацію й умовний доступ.
Найперше організаціям слід придбати рішення для керування ідентичностями й доступом, наприклад Microsoft Entra ID. Microsoft Entra ID захищає користувачів і дані за допомогою вбудованої системи безпеки й об’єднує засоби керування ідентичностями в одному рішенні. Самообслуговування та система єдиного входу допомагають працювати зручніше й ефективніше. Крім того, Ідентифікатор Microsoft Entra включає вбудовану інтеграцію SAML із тисячами програм, наприклад Zoom, DocuSign, SAP Concur, Workday і веб-службами Amazon Web Services (AWS).

Дізнайтеся більше про Захисний комплекс Microsoft

Рішення Microsoft для керування ідентичностями й доступом

Ознайомтеся з комплексними рішеннями Microsoft для керування ідентичностями й доступом.

Дізнатися більше

Ідентифікатор Microsoft Entra

Убезпечте свою організацію завдяки ефективному рішенню для захисту ідентичностей.

Дізнатися більше

Єдиний вхід

Спростіть доступ до програмного забезпечення, яке надається як послуга (SaaS), а також хмарних і локальних програм.

Дізнатися більше

Багатофакторна автентифікація

Захистіть свою організацію від порушень безпеки внаслідок утрати або крадіжки облікових даних.

Дізнатися більше

Умовний доступ

Точно керуйте доступом за допомогою політик, що адаптуються до змін у реальному часі.

Дізнатися більше

Інтеграція готових програм

Використовуйте готові інтеграції, щоб користувачі безпечніше підключалися до програм.

Дізнатися більше

Блоґ про ідентичності і доступ

Дізнавайтеся про передові ідеї в сфері керування ідентичностями й доступом.

Дізнатися більше

Запитання й відповіді

  • Далі наведено компоненти, які містить SAML.

    • Постачальники ідентичностей автентифікують і авторизують користувачів. Вони надають сторінку входу, де користувачі вводять свої облікові дані, й застосовують політики безпеки, наприклад вимагаючи пройти багатофакторну автентифікацію або скинути пароль. Після авторизації користувача постачальники ідентичностей передають його дані постачальникам послуг.

    • Постачальники послуг – це програми й веб-сайти, до яких користувачі хочуть отримати доступ. Замість того, щоб вимагати від користувачів входити в кожну програму окремо, постачальники послуг налаштовують свої рішення на авторизацію SAML і довіряють постачальникам ідентичностей їх перевірку, а потім приймають рішення щодо надання доступу.

    • Уметаданих описано, як постачальники ідентичностей і постачальники послуг обмінюватимуться твердженнями, а також зазначено, які кінцеві точки й технології вони використовуватимуть.

    • Твердження – це дані автентифікації, які слугують для постачальника послуг підтвердженням того, що користувач, який входить у систему, пройшов автентифікацію.

    • Сертифікати підпису узгоджують роботу постачальників ідентичностей і постачальників послуг, підтверджуючи, що над твердженням не виконували жодних маніпуляцій під час його передачі від одного постачальника до іншого.

    • Системний годинник підтверджує, що постачальник послуг і постачальник ідентичностей працюють за одним часом, що допомагає захиститися від атак повторного відтворення.

  • Далі наведено переваги, які SAML надає організаціям, їх працівникам і партнерам.

    • Покращена взаємодія з користувачем .Завдяки SAML організації можуть упровадити систему єдиного входу, щоб працівники й партнери могли отримувати доступ до всіх програм, увійшовши в систему всього один раз. Це спрощує та полегшує роботу, оскільки працівникам не доводиться запам’ятовувати безліч паролів і входити в кожну програму окремо.

    • Посилення безпеки .Менше паролів – менше ризиків ураження облікових записів. Крім того, завдяки SAML команди із захисту можуть застосовувати надійну політику безпеки до всіх програм організації. Наприклад, вони можуть вимагати пройти багатофакторну автентифікацію для входу або застосувати політики умовного доступу, що обмежують доступ користувачів до програм і даних.

    • Централізоване керування SAML дає змогу технічним спеціалістам керувати ідентичностями й політиками безпеки централізовано, а не використовувати окремі консолі управління для кожної програми. Це значно спрощує підготовку користувачів.

  • SAML – це відкритий XML-стандарт, що дає змогу постачальникам ідентичностей, таким я Ідентифікатор Microsoft Entra, передавати дані автентифікації постачальнику послуг (наприклад, SaaS-програмам).
    Система єдиного входу передбачає, що користувачам потрібно ввійти лише раз, щоб отримати доступ до кількох різних веб-сайтів і програм. SAML забезпечує роботу єдиного входу, але його можна розгорнути й за допомогою інших технологій.

  • Полегшений протокол доступу до каталогів (LDAP) – це протокол керування ідентичностями, що використовується для автентифікації та авторизації ідентичностей користувачів. Багато постачальників послуг підтримують протокол LDAP, тому він може бути оптимальним рішенням для єдиного входу, однак, оскільки це застаріла технологія, вона погано працює у веб-програмах.

    SAML – це новіша технологія, яка працює з більшістю хмарних і веб-програм, що робить її популярнішою серед рішень для централізованого керування ідентичностями.

  • Багатофакторна автентифікація – це захід безпеки, який дає змогу підтверджувати ідентичності користувачів кількома методами. Зазвичай для цього використовується річ користувача (наприклад, пристрій), а також інформація, яку він знає, як-от пароль або PIN-код. SAML дає змогу технічним спеціалістам застосовувати багатофакторну автентифікацію до кількох веб-сайтів і програм. Вони можуть застосовувати таку автентифікацію як до всіх програм, інтегрованих із SAML, так і лише до деяких із них. 

Підпишіться на Microsoft