ما المقصود بـ SAML؟
تعرّف على مدى إسهام البروتوكول القياسي للصناعة (SAML) في تعزيز إجراءات الأمان وتحسين تجارب تسجيل الدخول.
تعريف SAML
يشير بروتوكول المصادقة SAML إلى التقنية الأساسية التي تسمح للأشخاص بتسجيل الدخول مرة واحدة باستخدام مجموعة واحدة من بيانات الاعتماد والوصول إلى تطبيقات متعددة. يتحقق موفرو الهوية، مثل Microsoft Entra ID، من المستخدمين عند تسجيل الدخول ثم يستخدمون بروتوكول مصادقة SAML لتمرير بيانات المصادقة إلى موفر الخدمة الذي يدير الموقع أو الخدمة أو التطبيق الذي يرغب المستخدمون في الوصول إليه.
ما هي استخدامات SAML؟
يساعد SAML على تعزيز الأمان للشركات وتبسيط عملية تسجيل الدخول للموظفين والشركاء والعملاء. تستخدم المؤسسات SAML لتمكين تسجيل الدخول الأحادي، مما يسمح للأشخاص باستخدام اسم مستخدم واحد وكلمة مرور واحدة للوصول إلى مواقع وخدمات وتطبيقات متعددة. لا تقتصر منافع تقليل عدد كلمات المرور التي يجب على الأشخاص حفظها على تسهيل عمليات تسجيل الدخول فحسب، بل إنه يحد من مخاطر سرقة إحدى كلمات المرور هذه أيضاً. يمكن للمؤسسات أيضاً تعيين معايير الأمان للمصادقة عبر التطبيقات التي تدعم SAML. على سبيل المثال، يمكنهم طلب مصادقة متعددة العوامل قبل وصول الأشخاص إلى الشبكة والتطبيقات المحلية، مثل Salesforce وConcur وAdobe.
يساعد SAML المؤسسات في معالجة حالات الاستخدام التالية:
توحيد إدارة الهوية والوصول:
من خلال إدارة المصادقة والتخويل في نظام واحد، يمكن لفرق تكنولوجيا المعلومات تقليل الوقت الذي يقضونه في تكوين إعدادات التشغيل للمستخدم واستحقاق الهوية بشكل كبير.
تمكين نموذج أمان الثقة المعدومة:
تتطلب استراتيجية أمان الثقة المعدوم أن تقوم المؤسسات بالتحقق من كل طلب وصول وقصر الوصول إلى المعلومات الحساسة على الأشخاص الذين يحتاجون إليها فقط. يمكن للفرق التقنية استخدام SAML لتعيين نُهج، مثل المصادقة متعددة العوامل والوصول المشروط، إلى جميع تطبيقاتهم. يمكنهم أيضاً تمكين إجراءات أمان أكثر صرامة، مثل فرض إعادة تعيين كلمة المرور، عندما ترتفع مخاطر المستخدم استناداً إلى سلوكه أو جهازه أو موقعه.
إثراء تجربة الموظف:
بالإضافة إلى تبسيط الوصول للعمال، يمكن لفرق تكنولوجيا المعلومات أيضاً إضافة علامة مميزة إلى صفحات تسجيل الدخول لإنشاء تجربة متسقة عبر التطبيقات. يوفر الموظفون أيضاً الوقت من خلال تجارب الخدمة الذاتية التي تتيح لهم إعادة تعيين كلمات المرور الخاصة بهم بسهولة.
ما هو موفر SAML؟
موفر SAML هو نظام يشارك مصادقة الهوية وبيانات التفويض مع موفرين آخرين. هناك نوعان من موفري SAML:
- موفرو الهوية ويقومون بمصادقة المستخدمين وتفويضهم. ويوفرون صفحة تسجيل الدخول التي يقوم الأشخاص بإدخال بيانات اعتمادهم بها. كما أنهم يفرضون نُهج أمان، مثل طلب المصادقة متعددة العوامل أو إعادة تعيين كلمة المرور. بمجرد أن يتم التصريح للمستخدم، يقوم موفرو الهوية بتمرير البيانات إلى موفري الخدمة.
- موفرو الخدمة ويتمثلون في التطبيقات والمواقع التي يرغب الأشخاص في الوصول إليها. بدلاً من مطالبة الأشخاص بتسجيل الدخول إلى تطبيقاتهم بشكل فردي، يقوم موفرو الخدمة بتكوين حلولهم للوثوق في تخويل مصادقة SAML والاعتماد على موفري الهوية للتحقق من الهويات وتخويل الوصول.
كيف تعمل مصادقة SAML؟
في مصادقة SAML، يشارك موفرو الخدمة وموفرو الهوية بيانات تسجيل الدخول والمستخدم للتأكد من توفر المصادقة لكل شخص يطلب الوصول. وعادة ما تتبع الخطوات التالية:
- يبدأ الموظف العمل عن طريق تسجيل الدخول باستخدام صفحة تسجيل الدخول المقدمة من موفر الهوية.
- يتحقق موفر الهوية من أن الموظف هو الشخص نفسه من خلال تأكيد مجموعة من تفاصيل المصادقة، مثل اسم المستخدم أو كلمة المرور أو رقم التعريف الشخصي أو الجهاز أو بيانات المقاييس الحيوية.
- يقوم الموظف بتشغيل تطبيق موفر الخدمة، مثل Microsoft Word أو Workday.
- يتواصل موفر الخدمة مع موفر الهوية للتأكد من أن الموظف مفوض للوصول إلى هذا التطبيق.
- يرسل موفرو الهوية التفويض والمصادقة مرة أخرى.
- يصل الموظف إلى التطبيق دون تسجيل الدخول مرة ثانية.
ما هو تأكيد SAML؟
تأكيد SAML هو مستند XML يحتوي على بيانات تؤكد لموفر الخدمة أنه قد تمت مصادقة الشخص الذي يقوم بتسجيل الدخول.
هناك ثلاثة أنواع:
- تأكيد المصادقة يحدد المستخدم ويتضمن الوقت الذي قام فيه الشخص بتسجيل الدخول ونوع المصادقة التي استخدمها، مثل كلمة المرور أو المصادقة متعددة العوامل.
- تأكيد السمة ويمرر رمز SAML المميز إلى الموفر. يتضمن هذا التأكيد بيانات محددة حول المستخدم.
- تأكيد قرار التفويض يخبر موفر الخدمة ما إذا كان المستخدم قد تمت مصادقته أو رفضه إما بسبب مشكلة في بيانات اعتماده أو لأنه ليس لديه أذونات لهذه الخدمة.
SAML مقابل OAuth
يسهّل كلاً من SAML وOAuth على الأشخاص الوصول إلى خدمات متعددة دون تسجيل الدخول إلى كل واحدة على حدة، لكن البروتوكولان يستخدمان تقنيات وعمليات مختلفة. يستخدم SAML لغة XML لتمكين الأشخاص من استخدام نفس بيانات الاعتماد للوصول إلى خدمات متعددة، بينما يقوم بروتوكول OAuth بتمرير بيانات التفويض باستخدام JWT أو JavaScript Object Notation.
في بروتوكول OAuth، يختار الأشخاص تسجيل الدخول إلى خدمة باستخدام تفويض من جهة خارجية، مثل حسابات Google أو Facebook، بدلاً من إنشاء اسم مستخدم أو كلمة مرور جديدة للخدمة. يتم تمرير التفويض مع توفير الحماية لكلمة مرور المستخدم.
دور بروتوكول مصادقة SAML للشركات
ساعد SAML الشركات على تمكين تحقيق عاملي الإنتاجية والأمان في أماكن العمل المختلطة. مع تزايد عدد الأشخاص الين يعملون عن بُعد، أصبح من الضروري تمكينهم من الوصول بسهولة إلى موارد الشركة من أي مكان، ولكن في حالة عدم تعيين ضوابط أمان مناسبة، سيؤدي الوصول السهل إلى زيادة مخاطر الاختراق. من خلال SAML، يمكن للمؤسسات تبسيط عملية تسجيل الدخول للموظفين مع تطبيق نُهج قوية مثل المصادقة متعددة العوامل والوصول المشروط عبر التطبيقات التي يستخدمها الموظفون.
لبدء الاستخدام، يجب على المؤسسات الاستثمار في حل موفر هوية، مثل Microsoft Entra ID. يحمي Microsoft Entra ID المستخدمين والبيانات بأمان مضمن ويوحد إدارة الهوية في حل واحد. تعمل الخدمة الذاتية وميزة تسجيل الدخول الأحادي على تيسير ومواءمة مهام العمل للموظف دون التأثير على قدراته الإنتاجية. بالإضافة إلى ذلك، يتوفر Microsoft Entra ID مزوداً بتكامل SAML تم إنشاؤه مسبقاً مع آلاف التطبيقات، مثل Zoom وDocuSign وSAP Concur وWorkday وAmazon Web Services (AWS).
تعرّف على المزيد حول الأمان من Microsoft
تسجيل الدخول الأحادي
يمكنك تبسيط الوصول إلى تطبيقات خدمة تأجير البرامج (SaaS)، أو التطبيقات السحابية، أو التطبيقات المحلية.
المصادقة متعددة العوامل
يمكنك حماية مؤسستك من الانتهاكات بسبب فقدان أو سرقة بيانات الاعتماد.
الوصول المشروط
يمكنك تطبيق التحكم بالوصول متعدد المستويات من خلال النُهج التكيفية في الوقت الحقيقي.
عمليات تكامل التطبيقات التي تم إنشاؤها مسبقاً
استخدم عمليات التكامل التي تم إنشاؤها مسبقاً لتوصيل المستخدمين بتطبيقاتهم بشكل أكثر أماناً.
مدونة الوصول والهوية
ابق على اطلاع بأحدث مستجدات الريادة الفكرية في إدارة الهوية والوصول.
الأسئلة المتداولة
-
يتضمن SAML المكونات التالية:
- موفرو خدمة الهوية ويقومون بمصادقة المستخدمين وتفويضهم. فهم يوفرون صفحة تسجيل الدخول التي يقوم الأشخاص بإدخال بيانات الاعتماد بها ويفرضون نُهج الأمان، مثل طلب المصادقة متعددة العوامل أو إعادة تعيين كلمة المرور. بمجرد أن يتم التصريح للمستخدم، يقوم موفرو الهوية بتمرير البيانات إلى موفري الخدمة.
- موفرو الخدمة ويتمثلون في التطبيقات والمواقع التي يرغب الأشخاص في الوصول إليها. بدلاً من مطالبة الأشخاص بتسجيل الدخول إلى تطبيقاتهم بشكل فردي، يقوم موفرو الخدمة بتكوين حلولهم للوثوق في تخويل مصادقة SAML والاعتماد على موفري الهوية للتحقق من الهويات وتخويل الوصول.
- بيانات التعريف تصف كيف سيتبادل موفرو الهوية وموفرو الخدمة التأكيدات، بما في ذلك نقاط النهاية ووسائل التكنولوجيا.
- التأكيد هو بيانات المصادقة التي تؤكد لموفر الخدمة أن الشخص الذي قام بتسجيل الدخول قد تمت مصادقته.
- شهادات التسجيل ويرسخ مبدأ الثقة بين موفر الهوية وموفر الخدمة من خلال التأكيد على أنه لم يتم التلاعب في التأكيد أثناء التنقل بين موفري الخدمة.
- ساعة النظام وتؤكد أن موفر الخدمة وموفر الهوية يتمتعان بنفس وقت الحماية من الهجوم أثناء التنقل.
- موفرو خدمة الهوية ويقومون بمصادقة المستخدمين وتفويضهم. فهم يوفرون صفحة تسجيل الدخول التي يقوم الأشخاص بإدخال بيانات الاعتماد بها ويفرضون نُهج الأمان، مثل طلب المصادقة متعددة العوامل أو إعادة تعيين كلمة المرور. بمجرد أن يتم التصريح للمستخدم، يقوم موفرو الهوية بتمرير البيانات إلى موفري الخدمة.
-
يوفر SAML المزايا التالية للمؤسسات وموظفيها وشركائها:
- تحسين تجربة مستخدم يُمكِّن SAML المؤسسات من إنشاء تجربة تسجيل دخول واحدة بحيث يقوم الموظفون والشركاء بتسجيل الدخول مرة واحدة والحصول على إمكانية للوصول إلى جميع تطبيقاتهم. وهذا يجعل العمل أسهل وأكثر ملاءمة نظراً لوجود عدد أقل من كلمات المرور التي يجب حفظها، ولا يتعين على الموظفين تسجيل الدخول في كل مرة يبدلون فيها الأدوات.
- تحسين الأمان. يعمل استخدام عدد كلمات مرور أقل على تقليل مخاطر الحسابات المخترقة. بالإضافة إلى ذلك، يمكن لفرق الأمان استخدام SAML لتطبيق نُهج أمان قوية على جميع تطبيقاتهم. على سبيل المثال، يمكنهم طلب إجراء المصادقة متعددة العوامل لتسجيل الدخول أو تطبيق نُهج الوصول المشروط التي تعمل على تحديد التطبيقات والبيانات التي يمكن للأشخاص الوصول إليها.
- الإدارة الموحدة. باستخدام SAML، تدير الفرق التقنية الهويات ونُهج الأمان في حل واحد بدلاً من استخدام وحدات تحكم إدارية منفصلة لكل تطبيق. هذا يبسط بشكل كبير من إدارة حسابات المستخدمين.
- تحسين تجربة مستخدم يُمكِّن SAML المؤسسات من إنشاء تجربة تسجيل دخول واحدة بحيث يقوم الموظفون والشركاء بتسجيل الدخول مرة واحدة والحصول على إمكانية للوصول إلى جميع تطبيقاتهم. وهذا يجعل العمل أسهل وأكثر ملاءمة نظراً لوجود عدد أقل من كلمات المرور التي يجب حفظها، ولا يتعين على الموظفين تسجيل الدخول في كل مرة يبدلون فيها الأدوات.
-
SAML هو تقنية XML قياسية مفتوحة تسمح لموفري الهوية، مثل Microsoft Entra ID بتمرير بيانات المصادقة إلى موفر الخدمة، مثل خدمة تأجير برامج.
يتم تسجيل الدخول الأحادي عندما يقوم الأشخاص بتسجيل الدخول مرة واحدة ثم الوصول إلى العديد من مواقع الويب والتطبيقات المختلفة. يتيح SAML تسجيل الدخول الأحادي، ولكن من الممكن نشر تسجيل الدخول الأحادي باستخدام تقنيات أخرى. -
البروتوكول الخفيف لتغيير بيانات الدليل (LDAP) هو بروتوكول إدارة هوية يُستخدم لمصادقة هويات المستخدم وتفويضها. يدعم العديد من موفري الخدمة بروتوكول LDAP، لذلك يمكن أن يكون حلاً جيداً لتسجيل الدخول الأحادي، ولكن نظراً لأنها تقنية قديمة، فإنها لا تعمل بشكل جيد مع تطبيقات الويب.
SAML هو تقنية حديثة متوفرة في معظم تطبيقات الويب والسحابة، مما يجعلها خياراً أكثر شيوعاً لإدارة الهوية الممركزة.
-
المصادقة متعددة العوامل هي إجراء أمني يتطلب من الأشخاص استخدام أكثر من عامل لإثبات هويتهم. عادةً ما يتطلب الأمر شيئاً يمتلكه الفرد، مثل الجهاز، بالإضافة إلى شيء يعرفه، مثل كلمة المرور أو رقم التعريف الشخصي. يُمكِّن SAML الفرق التقنية من تطبيق مصادقة متعددة العوامل على مواقع ويب وتطبيقات متعددة. يمكنهم اختيار تطبيق هذا المستوى من المصادقة على جميع التطبيقات المدمجة مع SAML أو يمكنهم فرض مصادقة متعددة العوامل لبعض التطبيقات دون غيرها.
متابعة الأمان من Microsoft