Šta je to SAML?
Saznajte kako industrijski standardni protokol, jezik označavanja bezbednosne potvrde (SAML), ojačava bezbednosne mere i poboljšava utisak prilikom prijavljivanja.
Definicija usluge SAML
SAML je osnovna tehnologija koja omogućava ljudima da se prijave jednom pomoću jednog skupa akreditiva i pristupaju većem broju aplikacija. Dobavljači usluga identiteta, kao što je Microsoft Entra ID, verifikuju korisnike kada se prijave, a zatim koriste SAML da bi prosledili te podatke o potvrdi identiteta dobavljaču usluge koji pokreće sajt, uslugu ili aplikaciju kojoj korisnici žele da pristupe.
Za šta se koristi SAML?
SAML pomaže u jačanju bezbednosti za preduzeća i pojednostavljuje proces prijavljivanja za zaposlene, partnere i klijente. Organizacije ga koriste za omogućavanje jedinstvenog prijavljivanja , što omogućava ljudima da koriste jedno korisničko ime i lozinku za pristup većem broju sajtova, usluga i aplikacija. Smanjivanje broja lozinki koje ljudi moraju da pamte ne samo da je lakše za njih, već i smanjuje rizik da će neka od tih lozinki biti ukradena. Organizacije takođe mogu da postave bezbednosne standarde za potvrde identiteta u svim aplikacijama omogućenim za SAML. Na primer, one mogu da zahtevaju višestruku potvrdu identiteta pre nego što ljudi pristupe lokalnoj mreži i aplikacijama, kao što su Salesforce, Concur i Adobe.
SAML pomaže organizacijama da reše sledeće slučajeve upotrebe:
Objedinjavanje upravljanja identitetima i pristupom:
Upravljanjem potvrdom identiteta i autorizacijom u jednom sistemu, IT timovi mogu znatno da smanje vreme koje troše na dodeljivanje privilegija korisniku i prava na identitet.
Omogućavanje modela „Nulta pouzdanost“:
Bezbednosna strategija Nulte pouzdanosti zahteva da organizacije verifikuju svaki zahtev za pristup i ograniče pristup osetljivim informacijama samo na osobe kojima su one potrebne. Tehnički timovi mogu da koriste SAML za postavljanje smernica, kao što su višestruka potvrda identiteta i uslovni pristup u svim svojim aplikacijama. Oni mogu i da obezbede strože bezbednosne mere, kao što su nametanje vraćanja lozinke, kada se poveća rizik korisnika na osnovu njihovog ponašanja, uređaja ili lokacije.
Obogaćivanje iskustva zaposlenih:
Pored pojednostavljivanja pristupa za radnike, IT timovi takođe mogu da brendiraju stranice za prijavljivanje kako bi kreirali dosledno iskustvo u svim aplikacijama. Zaposleni takođe štede vreme uz samouslužna iskustva koja im omogućavaju da lako ponište lozinke.
Šta je to SAML dobavljač?
SAML dobavljač je sistem koji deli podatke o potvrdi identiteta i autorizaciji sa drugim dobavljačima. Postoje dva tipa SAML dobavljača:
- Dobavljači identiteta potvrđuju identitet korisnika i ovlašćuju ih. Oni obezbeđuju stranicu za prijavljivanje na kojoj ljudi unose akreditive. Pored toga, oni nameću bezbednosne smernice, kao što su zahtevanje višestruke potvrde identiteta ili vraćanja lozinke. Kada korisnik bude ovlašćen, dobavljači identiteta prosleđuju podatke dobavljačima usluga.
- Dobavljači usluga su aplikacije i veb sajtovi kojima ljudi žele da pristupe. Umesto da zahtevaju od ljudi da se pojedinačno prijavljuju u svoje aplikacije, dobavljači usluga konfigurišu rešenja da imaju poverenja u SAML autorizaciju i oslanjaju se na dobavljače identiteta da bi verifikovali identitete i ovlastili pristup.
Kako funkcioniše SAML potvrda identiteta?
U SAML potvrdi identiteta, dobavljači usluga i dobavljači identiteta dele podatke za prijavljivanje i korisničke podatke kako bi potvrdili da je potvrđen identitet svake osobe koja zahteva pristup. Ona obično prati sledeće korake:
- Zaposleni započinje rad tako što se prijavljuje pomoću stranice za prijavljivanje koju obezbeđuje dobavljač identiteta.
- Dobavljač usluga identiteta potvrđuje da je zaposleni taj za koga se predstavlja tako što potvrđuje kombinaciju detalja o potvrdi identiteta, kao što su korisničko ime, lozinka, PIN, uređaj ili biometrijski podaci.
- Zaposleni pokreće aplikaciju dobavljača usluga, kao što je Microsoft Word ili Workday.
- Dobavljač usluga komunicira sa dobavljačem usluga identiteta kako bi potvrdio da je zaposleni ovlašćen za pristup toj aplikaciji.
- Dobavljači identiteta šalju nazad autorizaciju i potvrdu identiteta.
- Zaposleni pristupa aplikaciji bez prijavljivanja po drugi put.
Šta je to SAML potvrda?
SAML potvrda je XML dokument koji sadrži podatke koji dobavljaču usluga potvrđuju da je potvrđen identitet osobe koja se prijavljuje.
Postoje tri tipa:
- Potvrda potvrde identiteta identifikuje korisnika i uključuje vreme kada se osoba prijavila i tip potvrde identiteta koji je koristila, kao što je lozinka ili višestruka potvrda identiteta.
- Potvrda atribucije prosleđuje SAML token dobavljaču. Ova potvrda sadrži konkretne podatke o korisniku.
- Potvrda odluke o autorizaciji govori dobavljaču usluge da li je korisniku potvrđen identitet ili je odbijen zbog problema sa akreditivima ili zbog toga što nema dozvole za tu uslugu.
SAML u odnosu na OAuth
SAML i OAuth olakšavaju ljudima da pristupe većem broju usluga bez zasebnog prijavljivanja u svaku od njih, ali ta dva protokola koriste različite tehnologije i procese. SAML koristi XML da bi omogućio ljudima da koriste iste akreditive za pristup većem broju usluga, dok OAuth prosleđuje podatke o autorizaciji koristeći JWT ili JavaScript Object Notation.
U usluzi OAuth, ljudi biraju da se prijave u uslugu pomoću autorizacije nezavisnih dobavljača usluga, kao što su Google ili Facebook nalozi, umesto pravljenja novog korisničkog imena ili lozinke za uslugu. Autorizacija se prosleđuje uz zaštitu lozinke korisnika.
Uloga usluge SAML za preduzeća
SAML pomaže preduzećima da omoguće produktivnost i bezbednost na hibridnim radnim mestima. Uz sve više ljudi koji rade na daljinu, važno je da ih podstaknete da lako pristupe resursima preduzeća sa bilo kog mesta, ali bez odgovarajućih bezbednosnih kontrola, lak pristup povećava rizike od proboja. Uz SAML, organizacije mogu da unaprede proces prijavljivanja za zaposlene i da nametnu stroge smernice kao što su višestruka potvrda identiteta i uslovni pristup u svim aplikacijama koje njihovi zaposleni koriste.
Kako bi počele sa korišćenjem, organizacije treba da ulože u rešenje dobavljača usluga identiteta, kao što je Microsoft Entra ID. Microsoft Entra ID štiti korisnike i podatke pomoću ugrađene bezbednosti i objedinjuje upravljanje identitetima u jedno rešenje. Samouslužno i jedinstveno prijavljivanje olakšavaju zaposlenima da budu produktivni. Pored toga, Microsoft Entra ID se dobija uz unapred napravljenu SAML integraciju sa hiljadama aplikacija, kao što su Zoom, DocuSign, SAP Concur, Workday i Amazon Web Services (AWS).
Saznajte više o Microsoft bezbednosti
Microsoft identitet i pristup
Istražite sveobuhvatna rešenja za identitet i pristup korporacije Microsoft.
Jedinstveno prijavljivanje
Pojednostavite pristup aplikacijama softvera kao usluge (SaaS), aplikacijama u oblaku ili lokalnim aplikacijama.
Višestruka potvrda identiteta
Zaštitite organizaciju od upada zbog izgubljenih ili ukradenih akreditiva.
Uslovni pristup
Nametnite granularnu kontrolu pristupa pomoću prilagodljivih smernica u realnom vremenu.
Unapred napravljene integracije aplikacija
Koristite unapred napravljene integracije da biste bezbednije povezali korisnike sa aplikacijama.
Blog o identitetu i pristupu
Budite u toku sa najnovijim liderima razvoja u upravljanju identitetima i pristupom.
Najčešća pitanja
-
SAML uključuje sledeće komponente:
- Dobavljači usluga identiteta potvrđuju identitet korisnika i ovlašćuju ih. Oni obezbeđuju stranicu za prijavljivanje na kojoj ljudi unose akreditive i nameću bezbednosne smernice, kao što je zahtevanje višestruke potvrde identiteta ili poništavanja lozinke. Kada korisnik bude ovlašćen, dobavljači identiteta prosleđuju podatke dobavljačima usluga.
- Dobavljači usluga su aplikacije i veb sajtovi kojima ljudi žele da pristupe. Umesto da zahtevaju od ljudi da se pojedinačno prijavljuju u svoje aplikacije, dobavljači usluga konfigurišu rešenja da imaju poverenja u SAML autorizaciju i oslanjaju se na dobavljače identiteta da bi verifikovali identitete i ovlastili pristup.
- Metapodaci opisuju kako će dobavljači identiteta i dobavljači usluga razmenjivati potvrde, uključujući krajnje tačke i tehnologiju.
- Potvrda predstavlja podatke o potvrdi identiteta koji dobavljaču usluga potvrđuju da je potvrđen identitet osobe koja se prijavljuje.
- Certifikati potpisa uspostavljaju poverenje između dobavljača identiteta i dobavljača usluga tako što potvrđuju da potvrdom nije manipulisano tokom putovanja između dva dobavljača.
- Sat sistema potvrđuje da dobavljač usluga i dobavljač identiteta imaju isto vreme da se zaštite od napada putem ponavljanja.
- Dobavljači usluga identiteta potvrđuju identitet korisnika i ovlašćuju ih. Oni obezbeđuju stranicu za prijavljivanje na kojoj ljudi unose akreditive i nameću bezbednosne smernice, kao što je zahtevanje višestruke potvrde identiteta ili poništavanja lozinke. Kada korisnik bude ovlašćen, dobavljači identiteta prosleđuju podatke dobavljačima usluga.
-
SAML nudi sledeće pogodnosti organizacijama, njihovim zaposlenima i partnerima:
- Poboljšano korisničko iskustvo. SAML omogućava organizacijama da kreiraju iskustvo jedinstvenog prijavljivanja kako bi se zaposleni i partneri prijavili jednom i dobili pristup svim aplikacijama. To olakšava rad zato što ima manje lozinki za pamćenje i zaposleni ne moraju da se prijavljujeju svaki put kada promene alatke.
- Poboljšana bezbednost. Manje lozinki smanjuje rizik od ugroženih naloga. Pored toga, bezbednosni timovi mogu da koriste SAML za primenu strogih bezbednosnih smernica na sve svoje aplikacije. Na primer, mogu da zahtevaju višestruku potvrdu identiteta za prijavljivanje ili da primene smernice za uslovni pristup koje ograničavaju kojim aplikacijama i podacima ljudi mogu da pristupe.
- Objedinjeno upravljanje. Koristeći SAML, tehnički timovi upravljaju identitetima i bezbednosnim smernicama u jednom rešenju umesto da koriste zasebne konzole za upravljanje za svaku aplikaciju. Ovo znatno pojednostavljuje dodeljivanje privilegija korisniku.
- Poboljšano korisničko iskustvo. SAML omogućava organizacijama da kreiraju iskustvo jedinstvenog prijavljivanja kako bi se zaposleni i partneri prijavili jednom i dobili pristup svim aplikacijama. To olakšava rad zato što ima manje lozinki za pamćenje i zaposleni ne moraju da se prijavljujeju svaki put kada promene alatke.
-
SAML je XML tehnologija otvorenog standarda koja dobavljačima identiteta, kao što je Microsoft Entra ID omogućava da proslede podatke o potvrdi identiteta dobavljaču usluga, kao što je aplikacija softvera kao usluge.
Jedinstveno prijavljivanje je kada se ljudi jednom prijave, a zatim dobiju pristup za nekoliko različitih veb sajtova i aplikacija. SAML omogućava jedinstveno prijavljivanje, ali je moguće primeniti jedinstveno prijavljivanje pomoću drugih tehnologija. -
Lightweight Directory Access Protocol (LDAP) je protokol za upravljanje identitetima koji se koristi za potvrdu identiteta i autorizaciju korisničkih identiteta. Mnogi dobavljači usluga podržavaju LDAP, tako da to može da bude dobro rešenje za jedinstveno prijavljivanje, ali pošto je to starija tehnologija, ona ne funkcioniše podjednako dobro sa veb aplikacijama.
SAML je novija tehnologija koja je dostupna u većini veb aplikacija i aplikacija u oblaku, što je čini popularnijim izborom za centralizovano upravljanje identitetima.
-
Višestruka potvrda identiteta je bezbednosna mera koja zahteva da ljudi koriste više faktora za dokaz identiteta. Obično zahteva nešto što pojedinci imaju, kao što je uređaj, kao i nešto što znaju, kao što su lozinka ili PIN kôd. SAML omogućava tehničkim timovima da primene višestruku potvrdu identiteta na više veb sajtova i aplikacija. Oni mogu da odaberu da primene ovaj nivo potvrde identiteta na sve aplikacije integrisane sa uslugom SAML ili mogu da nametnu višestruku potvrdu identiteta za neke aplikacije, a za neke ne.
Pratite Microsoft bezbednost