Trace Id is missing
Preskoči na glavni sadržaj
Microsoft Security

Što je SAML?

Saznajte kako industrijski standardni protokol SAML (Security Assertion Markup Language) funkcionira kao dodatna sigurnosna mjera i kako poboljšava okruženje za prijavu.

Definicija SAML-a

SAML je temeljna tehnologija koja korisnicima omogućuje jedinstvenu prijavu pomoću jednog skupa vjerodajnica i pristup većem broju aplikacija. Davatelji identiteta, kao što je Microsoft Entra ID, provjeravaju korisnike prilikom prijave, a zatim pomoću SAML-a te podatke za provjeru autentičnosti prosljeđuju davatelju servisa na kojem se izvodi web-mjesto, servis ili aplikacija kojoj korisnici žele pristupiti.

Za što se SAML koristi?

SAML pridonosi većoj sigurnosti za tvrtke te pojednostavnjuje postupak prijave za zaposlenike, partnere i klijente. Tvrtke i ustanove koriste ga za omogućivanje jedinstvene prijave, koja osobama omogućuje korištenje jednog korisničkog imena i lozinke za pristup većem broju web-mjesta, servisa i aplikacija. Manji broj lozinki koje korisnici moraju pamtiti ne samo da je za njih lakše, nego i smanjuje rizik od krađe neke od tih lozinki. Tvrtke i ustanove mogu postaviti i sigurnosne standarde za provjere autentičnosti u svim aplikacijama s omogućenim SAML-om. Na primjer, mogu zatražiti višestruku provjeru autentičnosti za pristup lokalnoj mreži i aplikacijama kao što su Salesforce, Concur i Adobe. 

SAML tvrtkama i ustanovama pojednostavljuje sljedeće slučajeve:

Jedinstveno upravljanje identitetima i pristupom:

Upravljanjem provjerom autentičnosti i autorizacijom u istom sustavu IT timovi mogu znatno skratiti vrijeme koje troše na dodjelu resursa korisnicima i ovlasti za identitete.

Omogućivanje modela "svi su nepouzdani":

 Sigurnosna strategija "svi su nepouzdani" traži od tvrtki ili ustanova da provjere svaki zahtjev za pristup te da pristup povjerljivim podacima omoguće samo osobama kojima su potrebni. Tehnički timovi mogu koristiti SAML za postavljanje pravilnika, kao što su višestruka provjera autentičnosti i uvjetni pristup, za sve svoje aplikacije. Također mogu omogućiti strože sigurnosne mjere, kao što je zahtjev za ponovnim postavljanjem lozinke ako je korisnik rizičan u pogledu svog ponašanja, uređaja ili lokacije.

Poboljšajte korisničko okruženje:

Osim pojednostavljivanja pristupa za zaposlenike, IT timovi mogu i brendirati stranice za prijavu radi dosljednog okruženja u svim aplikacijama. Zaposlenici štede vrijeme i uz samoposlužna okruženja koja omogućuju jednostavno ponovno postavljanje lozinki.

Što je davatelj SAML-a?

Davatelj SAML-a sustav je koji zajednički koristi podatke o provjeri autentičnosti identiteta i autorizaciji s drugim davateljima. Postoje dvije vrste davatelja SAML-a:

  • Davatelji identiteta provjeravaju autentičnost korisnika i autoriziraju ih. Na njihovoj stranici za prijavu korisnici unose svoje vjerodajnice. Nameću i sigurnosne pravilnike, kao što su zahtjevi za višestruku provjeru autentičnosti ili ponovno postavljanje lozinke. Kada se korisnik autorizira, davatelji identiteta te podatke prosljeđuju davateljima usluga. 

  • Davatelji usluga aplikacije su i web-mjesta kojima korisnici žele pristupiti. Umjesto da od korisnika traže pojedinačnu prijavu u aplikacije, davatelji usluga konfiguriraju svoja rješenja tako da se autorizacija SAML-a smatra pouzdanom te se u pogledu potvrde identiteta i autorizacije pristupa oslanjaju na davatelje identiteta. 

Kako funkcionira SAML provjera autentičnosti?

U SAML provjeri autentičnosti davatelji usluga i davatelji identiteta zajednički koriste podatke za prijavu i korisničke podatke da bi potvrdili da je autentičnost svih osoba koje traže pristup provjerena. Tri su standardna koraka:

  1. Zaposlenik počinje raditi tako da se najprije prijavi putem stranice za prijavu davatelja identiteta.

  2. Davatelj identiteta provjerava je li zaposlenik osoba za koju se predstavlja potvrđivanjem kombinacije podataka za provjeru autentičnosti, kao što su korisničko ime, lozinka, PIN, uređaj ili biometrijski podaci.

  3. Zaposlenik pokreće neku aplikaciju davatelja usluga, kao što su Microsoft Word ili Workday. 

  4. Davatelj usluga komunicira s davateljem identiteta da bi potvrdio da je zaposlenik ovlašten za pristup toj aplikaciji.

  5. Davatelji identiteta potvrđuju autorizaciju i provjeru autentičnosti.

  6. Zaposlenik pristupa aplikaciji bez druge prijave.

Što je SAML potvrda?

SAML potvrda je XML dokument koji sadrži podatke koji davatelju usluga potvrđuju da je provjerena autentičnost osobe koja se prijavljuje.

Tri su vrste:

  • Potvrda o provjeri autentičnosti identificira korisnika, a bilježi vrijeme kada se osoba prijavila i vrstu provjere autentičnosti koju je koristila, kao što su lozinka ili višestruka provjera autentičnosti.

  • Potvrda o dodjeli prosljeđuje token za SAML davatelju. Ta potvrda obuhvaća određene podatke o korisniku.

  • Potvrda o autorizaciji davatelju usluga kazuje je li korisnik provjeren ili je pak odbijen zbog problema s vjerodajnicama ili jer nema dozvole za taj servis. 

SAML vs. OAuth

I SAML i OAuth korisnicima olakšavaju pristup većem broju servisa bez zasebne prijave na svaki od njih, no ta dva protokola koriste različite tehnologije i procese. SAML koristi XML kako bi korisnicima omogućio korištenje istih vjerodajnica za pristup većem broju servisa, a OAuth prosljeđuje podatke o autorizaciji u obliku zapisa JWT ili JavaScript Object Notation.


U sustavu OAuth korisnici se prijavljuju na servis pomoću autorizacije treće strane, kao što su računi za Google ili Facebook, bez stvaranja novog korisničkog imena ili lozinke za servis. Autorizacija se prosljeđuje dok se štiti korisnička lozinka.

Uloga SAML-a za tvrtke

SAML tvrtkama omogućuje produktivnost i sigurnost na hibridnim radnim mjestima. Kada više ljudi radi na daljinu, važno je da mogu jednostavno pristupiti resursima tvrtke s bilo kojeg mjesta, no bez odgovarajuće sigurnosne kontrole jednostavan pristup povećava rizik od kršenja sigurnosti. Uz SAML tvrtke i ustanove mogu pojednostavniti postupak prijave za zaposlenike uz istovremeno nametanje jakih pravilnika kao što su višestruka provjera autentičnosti i uvjetni pristup u svim aplikacijama koje koriste njihovi zaposlenici.
Na samom početku tvrtke i ustanove trebale bi investirati u rješenje davatelja identiteta, kao što je Microsoft Entra ID. Microsoft Entra ID štiti korisnike i podatke pomoću ugrađene sigurnosti i objedinjuje upravljanje identitetima u jedno jedino rješenje. Samoposluživanje i jedinstvena prijava zaposlenicima omogućuju veću produktivnost. Uz to, Microsoft Entra ID isporučuje se s unaprijed stvorenom SAML integracijom s tisućama aplikacija, kao što su Zoom, DocuSign, SAP Concur, Workday i Amazon Web Services (AWS).

Saznajte više o rješenju Microsoft Security

Microsoftova rješenja za identitete i pristup

Istražite sveobuhvatna Microsoftova rješenja za identitete i pristup.

Saznajte više

Microsoft Entra ID

Zaštitite tvrtku ili ustanovu besprijekorno integriranim rješenjem za identitete.

Saznajte više

Jedinstvena prijava

Pojednostavnite pristup softveru kao servisu (SaaS) aplikacijama u oblaku ili lokalnim aplikacijama.

Saznajte više

Višestruka provjera autentičnosti

Zaštitite svoju tvrtku ili ustanovu od sigurnosnih provala uslijed izgubljenih ili ukradenih vjerodajnica.

Saznajte više

Uvjetni pristup

Nametnite granularnu kontrolu pristupa pomoću prilagodljivih pravilnika u stvarnom vremenu.

Saznajte više

Gotove integracije aplikacija

Pomoću gotovih integracija sigurnije povežite korisnike s njihovim aplikacijama.

Saznajte više

Blog o identitetima i pristupu

Budite ažurni uz najmodernije vođenje u upravljanju identitetima i pristupom.

Saznajte više

Najčešća pitanja

  • SAML sadrži sljedeće komponente:

    • Davatelji usluge identiteta provjeravaju autentičnost korisnika i autoriziraju ih. Oni pružaju stranicu za prijavu na kojoj korisnici unose vjerodajnice i nameću sigurnosne pravilnike, kao što su obavezna višestruka provjera autentičnosti ili ponovno postavljanje lozinke. Kada se korisnik autorizira, davatelji identiteta te podatke prosljeđuju davateljima usluga.

    • Davatelji usluga aplikacije su i web-mjesta kojima korisnici žele pristupiti. Umjesto da od korisnika traže pojedinačnu prijavu u aplikacije, davatelji usluga konfiguriraju svoja rješenja tako da se autorizacija SAML-a smatra pouzdanom te se u pogledu potvrde identiteta i autorizacije pristupa oslanjaju na davatelje identiteta.

    • Metapodaci opisuju način na koji davatelji identiteta i davatelji usluga razmjenjuju potvrde, uključujući krajnje točke i tehnologiju.

    • Potvrda sadrži podatke za provjeru autentičnosti koji davatelju usluga potvrđuje da je provjerena autentičnost osobe koja se prijavljuje.

    • Potpisivanje certifikata uspostavlja pouzdanost između davatelja identiteta i davatelja usluga tako što potvrđuje da se potvrdom nije manipuliralo tijekom transfera između ta dva davatelja.

    • Sat sustava potvrđuje da davatelj usluge i davatelj identiteta imaju isto vrijeme radi zaštite od ponovnih napada.

  • SAML nudi sljedeće prednosti tvrtkama i ustanovama, njihovim zaposlenicima i partnerima:

    • Poboljšan korisnički doživljaj SAML tvrtkama i ustanovama omogućuje stvaranje sučelja za jedinstvenu prijavu kako bi se zaposlenici i partneri prijavili jedanput i dobili pristup svim svojim aplikacijama. To olakšava i čini rad praktičnijim jer ima manje lozinki za pamćenje, a zaposlenici se ne moraju prijavljivati pri svakom prijelazu iz jednog alata u drugi.

    • Poboljšana sigurnost. Manje lozinki smanjuje rizik od ugroženih računa. Osim toga, sigurnosni timovi mogu upotrebljavati SAML za primjenu jakog sigurnosnog pravilnika na sve svoje aplikacije. Tako, primjerice, mogu zatražiti višestruku provjeru autentičnosti kako bi se prijavili ili primijeniti pravilnike o uvjetnom pristupu kojima se određuje kojim točno aplikacijama i podacima korisnici mogu pristupiti.

    • Objedinjeno upravljanje. Korištenjem SAML-a, tehnički timovi upravljaju identitetima i sigurnosnim pravilnicima u jednom rješenju umjesto korištenja različitih konzola upravljanja za svaku aplikaciju. Time se znatno pojednostavnjuje dodjela resursa korisnicima.

  • SAML je XML tehnologija otvorenog koda koja davateljima identiteta, kao što je Microsoft Entra ID, omogućuje prijenos podataka za provjeru autentičnosti davatelju usluga, npr. aplikaciji softvera kao servisa.
    Jedinstvena prijava omogućuje korisnicima da samo jednom prijavom dobiju pristup za nekoliko različitih web-mjesta i aplikacija. SAML omogućuje jedinstvenu prijavu, ali je jedinstvenu prijavu moguće implementirati i u kombinaciji s drugim tehnologijama.

  • LDAP (Lightweight Directory Access Protocol) protokol služi za upravljanje identitetima, a koristi se za provjeru autentičnosti i autorizaciju identiteta korisnika. Mnogi davatelji usluga podržavaju LDAP pa to može biti dobro rješenje za jedinstvenu prijavu. No budući da je to starija tehnologija, ne funkcionira tako dobro s web-aplikacijama.

    SAML je novija tehnologija dostupna u većini web-aplikacija i aplikacija u oblaku, što ga čini popularnim odabirom za centralizirano upravljanje identitetima.

  • Višestruka provjera autentičnosti sigurnosna je mjera koja traži da korisnici za dokazivanje identiteta koriste više faktora. Obično je za to potrebno nešto što osoba ima, npr. uređaj, te nešto što zna, npr. lozinka ili PIN. SAML tehničkim timovima omogućuje primjenu višestruke provjere autentičnosti na više web-mjesta i aplikacija. Mogu odabrati primjenu te razine provjere autentičnosti na sve aplikacije integrirane sa SAML-om ili mogu nametnuti višestruku provjeru autentičnosti za samo neke aplikacije. 

Pratite Microsoft Security