Τι είναι το SAML;
Μάθετε πώς το τυπικό πρωτόκολλο του κλάδου, η γλώσσα σήμανσης δήλωσης ασφαλείας (SAML), ενισχύει τα μέτρα ασφαλείας και βελτιώνει τις εμπειρίες εισόδου.
Ορισμός SAML
Το SAML είναι η υποκείμενη τεχνολογία που επιτρέπει στους χρήστες να πραγματοποιούν είσοδο μία φορά χρησιμοποιώντας ένα σύνολο διαπιστευτηρίων και να έχουν πρόσβαση σε πολλές εφαρμογές. Οι υπηρεσίες παροχής ταυτότητας, όπως το Microsoft Entra ID, επαληθεύουν τους χρήστες κατά την είσοδό τους και, στη συνέχεια, χρησιμοποιούν SAML για να μεταβιβάσουν αυτά τα δεδομένα ελέγχου ταυτότητας στην υπηρεσία παροχής που εκτελεί την τοποθεσία, την υπηρεσία ή την εφαρμογή στην οποία επιθυμούν να αποκτήσουν πρόσβαση οι χρήστες.
Για τι χρησιμοποιείται το SAML;
Το SAML συμβάλλει στην ενίσχυση της ασφάλειας για τις επιχειρήσεις και απλοποιεί τη διαδικασία εισόδου για υπαλλήλους, συνεργάτες και πελάτες. Οι οργανισμοί το χρησιμοποιούν για να ενεργοποιήσουν τη καθολική σύνδεση, , η οποία επιτρέπει στους χρήστες να χρησιμοποιούν ένα όνομα χρήστη και έναν κωδικό πρόσβασης για πρόσβαση σε πολλές τοποθεσίες, υπηρεσίες και εφαρμογές. Η μείωση του αριθμού των κωδικών πρόσβασης που πρέπει να απομνημονεύονται, δεν διευκολύνει μόνο τους χρήστες, αλλά μειώνει επίσης τον κίνδυνο κλοπής κάποιου από αυτούς τους κωδικούς πρόσβασης. Οι οργανισμοί μπορούν επίσης να ορίσουν πρότυπα ασφαλείας για ελέγχους ταυτότητας στις εφαρμογές τους με δυνατότητα SAML. Για παράδειγμα, μπορούν να απαιτούν έλεγχο ταυτότητας πολλαπλών παραγόντων πριν από την πρόσβαση των ατόμων στο δίκτυο και τις εφαρμογές εσωτερικής εγκατάστασης, όπως Salesforce, Concur και Adobe.
Το SAML βοηθά τους οργανισμούς να αντιμετωπίσουν τις ακόλουθες περιπτώσεις χρήσης:
Ενοποίηση διαχείρισης ταυτότητας και πρόσβασης:
Με τη διαχείριση του ελέγχου ταυτότητας και της εξουσιοδότησης σε ένα σύστημα, οι ομάδες IT μπορούν να μειώσουν σημαντικά τον χρόνο που αφιερώνουν στην προμήθεια χρηστών και στα δικαιώματα ταυτότητας.
Ενεργοποίηση μηδενικής εμπιστοσύνης:
Μια στρατηγικής ασφαλείας μηδενικής εμπιστοσύνης απαιτεί από τους οργανισμούς να επαληθεύουν κάθε αίτημα πρόσβασης και να περιορίζουν την πρόσβαση σε ευαίσθητες πληροφορίες μόνο στα άτομα που τη χρειάζονται. Οι ομάδες τεχνολογίας μπορούν να χρησιμοποιήσουν το SAML για να ορίσουν πολιτικές, όπως έλεγχο ταυτότητας πολλών παραγόντων και πρόσβαση υπό όρους, σε όλες τις εφαρμογές τους. Μπορούν επίσης να εφαρμόσουν πιο αυστηρά μέτρα ασφαλείας, όπως επιβολή επαναφοράς κωδικού πρόσβασης, όταν ο κίνδυνος για έναν χρήστη είναι αυξημένος με βάση τη συμπεριφορά, τη συσκευή ή την τοποθεσία του.
Βελτίωση της εμπειρίας των εργαζομένων:
Εκτός από την απλοποίηση της πρόσβασης για τους εργαζόμενους, οι ομάδες IT μπορούν επίσης να χρησιμοποιήσουν την επωνυμία της εταιρείας σε σελίδες εισόδου για να δημιουργήσουν μια συνεπή εμπειρία σε όλες τις εφαρμογές. Οι υπάλληλοι εξοικονομούν επίσης χρόνο με εμπειρίες αυτοεξυπηρέτησης που τους επιτρέπουν να επαναφέρουν εύκολα τους κωδικούς πρόσβασής τους.
Τι είναι μια υπηρεσία παροχής SAML;
Μια υπηρεσία παροχής SAML είναι ένα σύστημα που μοιράζεται δεδομένα ελέγχου ταυτότητας και εξουσιοδότησης με άλλες υπηρεσίες παροχής. Υπάρχουν δύο τύποι υπηρεσιών παροχής SAML:
- ΟιΥπηρεσίες παροχής ταυτότητας πραγματοποιούν έλεγχο ταυτότητας και εξουσιοδοτούν χρήστες. Παρέχουν τη σελίδα εισόδου όπου οι χρήστες εισάγουν τα διαπιστευτήριά τους. Επιβάλλουν επίσης πολιτικές ασφαλείας, όπως απαιτώντας έλεγχο ταυτότητας πολλών παραγόντων ή επαναφορά κωδικού πρόσβασης. Αφού εξουσιοδοτηθεί ο χρήστης, οι υπηρεσίες παροχής ταυτότητας διαβιβάζουν τα δεδομένα στις υπηρεσίες παροχής.
- ΟιΥπηρεσίες παροχής είναι οι εφαρμογές και οι τοποθεσίες web στις οποίες θέλουν να έχουν πρόσβαση οι χρήστες. Αντί να απαιτούν από τους χρήστες να πραγματοποιούν είσοδο στις εφαρμογές τους μεμονωμένα, οι υπηρεσίες παροχής ρυθμίζουν τις λύσεις τους για να εμπιστεύονται την εξουσιοδότηση SAML και βασίζονται στις υπηρεσίες παροχής ταυτότητας για την επαλήθευση ταυτοτήτων και την εξουσιοδότηση πρόσβασης.
Πώς λειτουργεί ο έλεγχος ταυτότητας SAML;
Στον έλεγχο ταυτότητας SAML, οι υπηρεσίες παροχής και οι υπηρεσίες παροχής ταυτότητας μοιράζονται δεδομένα εισόδου και χρήστη για να επιβεβαιώσουν ότι πραγματοποιείται έλεγχος ταυτότητας για κάθε άτομο που ζητά πρόσβαση. Συνήθως η διαδικασία περιλαμβάνει τα παρακάτω βήματα:
- Ένας υπάλληλος ξεκινά την εργασία του πραγματοποιώντας είσοδο χρησιμοποιώντας τη σελίδα σύνδεσης που παρέχεται από την υπηρεσία παροχής ταυτότητας.
- Η υπηρεσία παροχής ταυτότητας επικυρώνει ότι ο υπάλληλος είναι αυτός που λέει ότι είναι, επιβεβαιώνοντας έναν συνδυασμό λεπτομερειών ελέγχου ταυτότητας, όπως όνομα χρήστη, κωδικό πρόσβασης, PIN, συσκευή ή βιομετρικά δεδομένα.
- Ο υπάλληλος εκκινεί μια εφαρμογή υπηρεσίας παροχής, όπως το Microsoft Word ή το Workday.
- Η υπηρεσία παροχής υπηρεσιών επικοινωνεί με την υπηρεσία παροχής ταυτότητας για να επιβεβαιώσει ότι ο υπάλληλος είναι εξουσιοδοτημένος για πρόσβαση σε αυτήν την εφαρμογή.
- Οι υπηρεσίες παροχής ταυτότητας αποστέλλουν ξανά εξουσιοδότηση και έλεγχο ταυτότητας.
- Ο υπάλληλος αποκτά πρόσβαση στην εφαρμογή χωρίς να εισέλθει για δεύτερη φορά.
Τι είναι η δήλωση SAML;
Η δήλωση SAML είναι το έγγραφο XML που περιέχει δεδομένα που επιβεβαιώνει στην υπηρεσία παροχής ότι έχει ελεγχθεί ο έλεγχος ταυτότητας του ατόμου που πραγματοποιεί είσοδο.
Υπάρχουν τρεις τύποι:
- Ηδήλωση ελέγχου ταυτότητας προσδιορίζει τον χρήστη και περιλαμβάνει τον χρόνο εισόδου του ατόμου και τον τύπο ελέγχου ταυτότητας που χρησιμοποίησε, όπως κωδικό πρόσβασης ή έλεγχο ταυτότητας πολλαπλών παραγόντων.
- Ηδήλωση απόδοσης μεταβιβάζει το διακριτικό SAML υπηρεσία παροχής. Αυτή η δήλωση περιλαμβάνει συγκεκριμένα δεδομένα σχετικά με τον χρήστη.
- Μια δήλωση απόφασης εξουσιοδότησης ενημερώνει την υπηρεσία παροχής εάν ο χρήστης είναι πιστοποιημένος ή εάν απορρίφθηκε είτε λόγω προβλήματος με τα διαπιστευτήριά του είτε επειδή δεν έχει δικαιώματα για αυτήν την υπηρεσία.
SAML έναντι OAuth
Τόσο το SAML όσο και το OAuth διευκολύνουν τους χρήστες να έχουν πρόσβαση σε πολλές υπηρεσίες χωρίς να πραγματοποιούν είσοδο σε καθεμία ξεχωριστά, αλλά τα δύο πρωτόκολλα χρησιμοποιούν διαφορετική τεχνολογία και διεργασίες. Το SAML χρησιμοποιεί XML για να επιτρέπει στους χρήστες να χρησιμοποιούν τα ίδια διαπιστευτήρια για πρόσβαση σε πολλές υπηρεσίες, ενώ το OAuth διαβιβάζει δεδομένα εξουσιοδότησης χρησιμοποιώντας JWT ή Σημειογραφία αντικειμένων JavaScript.
Στο OAuth, οι χρήστες επιλέγουν να εισέλθουν σε μια υπηρεσία χρησιμοποιώντας εξουσιοδότηση τρίτου μέρους, όπως τους λογαριασμούς Google ή Facebook, αντί να δημιουργήσουν ένα νέο όνομα χρήστη ή κωδικό πρόσβασης για την υπηρεσία. Η εξουσιοδότηση μεταβιβάζεται ενώ προστατεύεται ο κωδικός πρόσβασης του χρήστη.
Ο ρόλος της λύσης SAML στις επιχειρήσεις
Το SAML βοηθά τις επιχειρήσεις να υποστηρίζουν τόσο την παραγωγικότητα όσο και την ασφάλεια στους υβριδικούς χώρους εργασίας τους. Καθώς περισσότερα άτομα εργάζονται από απόσταση, είναι σημαντικό να παρέχετε εύκολη πρόσβαση σε εταιρικούς πόρους από οπουδήποτε, αλλά χωρίς τους κατάλληλους ελέγχους ασφαλείας, η εύκολη πρόσβαση αυξάνει τους κινδύνους παραβίασης. Με το SAML, οι οργανισμοί μπορούν να βελτιστοποιήσουν τη διαδικασία εισόδου για τους υπαλλήλους, επιβάλλοντας παράλληλα ισχυρές πολιτικές, όπως ο έλεγχος ταυτότητας πολλών παραγόντων και η πρόσβαση υπό όρους, σε όλες τις εφαρμογές που χρησιμοποιούν οι υπάλληλοί τους.
Για να ξεκινήσουν, οι οργανισμοί θα πρέπει να επενδύουν σε μια λύση υπηρεσίας παροχής ταυτότητας, όπως το Microsoft Entra ID. Το Microsoft Entra ID προστατεύει τους χρήστες και τα δεδομένα με ενσωματωμένη ασφάλεια και ενοποιεί τη διαχείριση ταυτοτήτων σε μία μόνο λύση. Η αυτοεξυπηρέτηση και η καθολική σύνδεση διευκολύνουν τους υπαλλήλους να παραμένουν παραγωγικοί. Επιπλέον, το Microsoft Entra ID συνοδεύεται από έτοιμη ενοποίηση SAML με χιλιάδες εφαρμογές, όπως Zoom, DocuSign, SAP Concur, Workday και Amazon Web Services (AWS).
Μάθετε περισσότερα για την Ασφάλεια της Microsoft
Ταυτότητα και πρόσβαση Microsoft
Εξερευνήστε ολοκληρωμένες λύσεις ταυτότητας και πρόσβασης από τη Microsoft.
Καθολική σύνδεση
Απλοποιήστε την πρόσβαση στις εφαρμογές λογισμικού ως υπηρεσία (SaaS), τις εφαρμογές cloud ή τις εφαρμογές εσωτερικής εγκατάστασης που διαθέτετε.
Έλεγχος ταυτότητας πολλών παραγόντων
Προστατέψτε την εταιρεία σας από παραβιάσεις λόγω απολεσθέντων ή κλεμμένων διαπιστευτηρίων.
Πρόσβαση υπό όρους
Εφαρμόστε λεπτομερή έλεγχο πρόσβασης με προσαρμόσιμες πολιτικές σε πραγματικό χρόνο.
Προκατασκευασμένες ενοποιήσεις εφαρμογών
Χρησιμοποιήστε προκατασκευασμένες ενοποιήσεις για να συνδέσετε τους χρήστες σας στις εφαρμογές τους με μεγαλύτερη ασφάλεια.
Ιστολόγιο ταυτότητας και πρόσβασης
Παραμείνετε ενημερωμένοι σχετικά με τις κορυφαίες εξελίξεις όσον αφορά τη διαχείριση ταυτοτήτων και πρόσβασης.
Συνήθεις ερωτήσεις
-
Το SAML περιλαμβάνει τα ακόλουθα στοιχεία:
- ΟιΥπηρεσίες παροχής πραγματοποιούν έλεγχο ταυτότητας και εξουσιοδοτούν χρήστες. Παρέχουν τη σελίδα εισόδου όπου οι χρήστες εισάγουν τα διαπιστευτήριά τους και επιβάλλουν πολιτικές ασφαλείας, όπως απαίτηση ελέγχου ταυτότητας πολλών παραγόντων ή επαναφορά κωδικού πρόσβασης. Αφού εξουσιοδοτηθεί ο χρήστης, οι υπηρεσίες παροχής ταυτότητας διαβιβάζουν τα δεδομένα στις υπηρεσίες παροχής.
- ΟιΥπηρεσίες παροχής είναι οι εφαρμογές και οι τοποθεσίες web στις οποίες θέλουν να έχουν πρόσβαση οι χρήστες. Αντί να απαιτούν από τους χρήστες να πραγματοποιούν είσοδο στις εφαρμογές τους μεμονωμένα, οι υπηρεσίες παροχής ρυθμίζουν τις λύσεις τους για να εμπιστεύονται την εξουσιοδότηση SAML και βασίζονται στις υπηρεσίες παροχής ταυτότητας για την επαλήθευση ταυτοτήτων και την εξουσιοδότηση πρόσβασης.
- Ταμετα-δεδομένα περιγράφουν πώς οι υπηρεσίες παροχής ταυτότητας και οι υπηρεσίες παροχής θα ανταλλάσσουν ισχυρισμούς, συμπεριλαμβανομένων των τελικών σημείων και της τεχνολογίας.
- ΗΔήλωση είναι τα δεδομένα ελέγχου ταυτότητας που επιβεβαιώνουν στην υπηρεσία παροχής ότι το άτομο που συνδέεται έχει πιστοποιηθεί.
- ΤαΠιστοποιητικά υπογραφής δημιουργούν αξιοπιστία μεταξύ την υπηρεσία παροχής ταυτότητας και την υπηρεσία παροχής, επιβεβαιώνεται ότι η διεκδίκηση δεν χειρίστηκε κατά τη μετακίνηση μεταξύ των δύο υπηρεσιών παροχής.
- Το ρολόι συστήματος επιβεβαιώνει ότι η υπηρεσία παροχής και η υπηρεσία παροχής ταυτότητας έχουν τον ίδιο χρόνο για προστασία από επιθέσεις επανάληψης.
- ΟιΥπηρεσίες παροχής πραγματοποιούν έλεγχο ταυτότητας και εξουσιοδοτούν χρήστες. Παρέχουν τη σελίδα εισόδου όπου οι χρήστες εισάγουν τα διαπιστευτήριά τους και επιβάλλουν πολιτικές ασφαλείας, όπως απαίτηση ελέγχου ταυτότητας πολλών παραγόντων ή επαναφορά κωδικού πρόσβασης. Αφού εξουσιοδοτηθεί ο χρήστης, οι υπηρεσίες παροχής ταυτότητας διαβιβάζουν τα δεδομένα στις υπηρεσίες παροχής.
-
Το SAML προσφέρει τα ακόλουθα πλεονεκτήματα για τους οργανισμούς, τους υπαλλήλους και τους συνεργάτες τους:
- Βελτιωμένη εμπειρία χρήστη. Το SAML δίνει τη δυνατότητα στους οργανισμούς να δημιουργήσουν μια εμπειρία καθολικής σύνδεσης, ώστε οι υπάλληλοι και οι συνεργάτες να εισέλθουν μία φορά και να αποκτήσουν πρόσβαση σε όλες τις εφαρμογές τους. Αυτό διευκολύνει την εργασία, επειδή υπάρχουν λιγότεροι κωδικοί πρόσβασης για απομνημόνευση και οι υπάλληλοι δεν χρειάζεται να πραγματοποιούν είσοδο κάθε φορά που αλλάζουν εργαλεία.
- Βελτιωμένη ασφάλεια. Λιγότεροι κωδικοί πρόσβασης μειώνουν τον κίνδυνο παραβίασης λογαριασμών. Επιπλέον, οι ομάδες ασφαλείας μπορούν να χρησιμοποιήσουν το SAML για να εφαρμόσουν ισχυρή πολιτική ασφαλείας σε όλες τις εφαρμογές τους. Για παράδειγμα, μπορεί να απαιτούν έλεγχο ταυτότητας πολλών παραγόντων για την είσοδο ή την εφαρμογή πολιτικών πρόσβασης υπό όρους που περιορίζουν τις εφαρμογές και τα δεδομένα στα οποία μπορούν να έχουν πρόσβαση οι χρήστες.
- Ενιαία διαχείριση. Χρησιμοποιώντας το SAML, οι ομάδες τεχνολογίας διαχειρίζονται ταυτότητες και πολιτικές ασφάλειας σε μία λύση αντί να χρησιμοποιούν ξεχωριστές κονσόλες διαχείρισης για κάθε εφαρμογή. Αυτό απλοποιεί σημαντικά την προμήθεια χρηστών.
- Βελτιωμένη εμπειρία χρήστη. Το SAML δίνει τη δυνατότητα στους οργανισμούς να δημιουργήσουν μια εμπειρία καθολικής σύνδεσης, ώστε οι υπάλληλοι και οι συνεργάτες να εισέλθουν μία φορά και να αποκτήσουν πρόσβαση σε όλες τις εφαρμογές τους. Αυτό διευκολύνει την εργασία, επειδή υπάρχουν λιγότεροι κωδικοί πρόσβασης για απομνημόνευση και οι υπάλληλοι δεν χρειάζεται να πραγματοποιούν είσοδο κάθε φορά που αλλάζουν εργαλεία.
-
Το SAML είναι μια τεχνολογία XML ανοιχτού προτύπου που επιτρέπει σε υπηρεσίες παροχής ταυτότητας, όπως το Microsoft Entra ID, να μεταβιβάζουν δεδομένα ελέγχου ταυτότητας σε μια υπηρεσία παροχής, όπως ένα λογισμικό ως εφαρμογή υπηρεσίας.
Καθολική σύνδεση σημαίνει ότι οι χρήστες πραγματοποιούν είσοδο μία φορά και, στη συνέχεια, αποκτούν πρόσβαση σε πολλές διαφορετικές τοποθεσίες web και εφαρμογές. Το SAML δίνει τη δυνατότητα για καθολική σύνδεση, αλλά είναι δυνατή η υλοποίηση καθολικής σύνδεσης με άλλες τεχνολογίες. -
Το ελαφρύ πρωτόκολλο πρόσβασης καταλόγου (LDAP) είναι ένα πρωτόκολλο διαχείρισης ταυτότητας που χρησιμοποιείται για τον έλεγχο ταυτότητας και την εξουσιοδότηση ταυτότητας χρήστη. Πολλές υπηρεσίες παροχής υποστηρίζουν LDAP, επομένως μπορεί να είναι μια καλή λύση για καθολική σύνδεση, ωστόσο, επειδή πρόκειται για παλαιότερη τεχνολογία, δεν λειτουργεί τόσο καλά με τις εφαρμογές Web.
Το SAML είναι μια νεότερη τεχνολογία που είναι διαθέσιμη στις περισσότερες εφαρμογές web και cloud, καθιστώντας το πιο δημοφιλή επιλογή για κεντρική διαχείριση ταυτοτήτων.
-
Ο έλεγχος ταυτότητας πολλών παραγόντων είναι ένα μέτρο ασφαλείας που απαιτεί από τους χρήστες να χρησιμοποιούν περισσότερους από έναν παράγοντες για να αποδείξουν την ταυτότητά τους. Συνήθως, απαιτεί κάτι που διαθέτει ο χρήστης, όπως μια συσκευή, καθώς και κάτι που γνωρίζει, όπως έναν κωδικό πρόσβασης ή ένα PIN. Το SAML επιτρέπει στις ομάδες τεχνολογίας να εφαρμόζουν έλεγχο ταυτότητας πολλών παραγόντων σε πολλές τοποθεσίες web και εφαρμογές. Μπορούν να επιλέξουν να εφαρμόσουν αυτό το επίπεδο ελέγχου ταυτότητας σε όλες τις εφαρμογές που είναι ενσωματωμένες στο SAML ή μπορούν να επιβάλουν έλεγχο ταυτότητας πολλαπλών παραγόντων για ορισμένες εφαρμογές αλλά όχι για άλλες.
Ακολουθήστε την Ασφάλεια της Microsoft