Vad är SAML?
Lär dig hur branschens standardprotokoll, Security Assertion Markup Language (SAML), förbättrar säkerhetsåtgärder och inloggningsupplevelser.
Definition av SAML
SAML är den underliggande tekniken som gör det möjligt för användare att logga in en gång med en uppsättning autentiseringsuppgifter och komma åt flera olika program. Identitetsleverantörer som Microsoft Entra ID verifierar användare när de loggar in och använder sedan SAML för att vidarebefordra autentiseringsuppgifterna till tjänstleverantören som driver sidan, tjänsten eller appen som användaren vill använda.
Vad används SAML för?
SAML förbättrar företagens säkerhet och förenklar inloggningsprocessen för anställda, partner och kunder. Organisationer använder det för att aktivera enkel inloggning, vilket gör att användare kan använda ett användarnamn och lösenord för att få åtkomst till flera webbplatser, tjänster och appar. Genom att minska mängden lösenord som användarna måste komma ihåg blir det inte bara enklare för dem, utan risken för att lösenorden blir stulna minskar också. Organisationer kan även konfigurera säkerhetsstandarder för autentisering på SAML-aktiverade appar. De kan till exempel kräva multifaktorautentisering innan personer får åtkomst till det lokala nätverket och appar som Salesforce, Concur och Adobe.
SAML hjälper företag hantera följande användningsfall :
Förena identitets- och åtkomsthantering:
Genom att hantera autentisering och auktorisering i ett system kan IT-team minska tiden de ägnar åt användarförsörjning och identitetsberättigande.
Aktivera Nolltillit:
En Säkerhetsstrategi med Nolltillit kräver att organisationen verifierar alla åtkomstförfrågningar och begränsar åtkomst till känslig information så att endast personer som behöver den kommer åt den. Teknikteam kan använda SAML för att skapa policyer som multifaktorautentisering och villkorsstyrd åtkomst i alla deras appar. De kan även implementera striktare säkerhetsåtgärder som att framtvinga återställning av lösenord när en användarens beteende, enhet eller plats leder till förhöjda risker.
Förbättra upplevelsen för medarbetarna:
IT-team kan inte bara göra det enklare för medarbetarna att komma åt resurser, utan även anpassa inloggningssidor för att skapa konsekventa upplevelser i alla appar. Medarbetarna kan även spara tid med självbetjäningsfunktioner som gör det enkelt för dem att återställa lösenord.
Vad är en SAML-leverantör?
En SAML-leverantör är ett system som delar identitetsautentisering och auktoriseringsdata med andra leverantörer. Det finns två typer av SAML-leverantörer:
- Identitetsleverantörer autentiserar och auktoriserar användare. De tillhandahåller inloggningssidan där användarna anger sina autentiseringsuppgifter. Det är även de som tillämpar säkerhetspolicyer, till exempel genom att kräva multifaktorautentisering eller återställning av lösenord. När användaren har fått behörighet skickar identitetsleverantören vidare data till tjänstleverantören.
- Tjänstleverantörer är de appar och webbplatser som användarna vill komma åt. Istället för att kräva att användarna loggar in på apparna individuellt kan tjänstleverantörerna konfigurera lösningar som litar på SAML-autentisering och som förlitar sig på att identitetsleverantörerna verifierar identiteter och ger åtkomst.
Hur fungerar SAML-autentisering?
När SAML-autentisering används delar tjänstleverantörer och identitetsleverantörer inloggnings- och användardata för att bekräfta att användarna som begär åtkomst är autentiserade. Vanligtvis går det till så här:
- En anställd börjar arbetet genom att logga in på inloggningssidan som tillhandahålls av identitetsprovidern.
- Identitetsprovidern verifierar att den anställda är personen de utger sig för att vara genom att bekräfta en mängd autentiseringsuppgifter, till exempel användarnamn, lösenord, PIN-kod, enhet eller biometrisk data.
- Den anställda startar en app från en tjänstleverantör, till exempel Microsoft Word eller Workday.
- Tjänstleverantören kommunicerar med identitetsleverantören för att bekräfta att den anställda har behörighet att komma åt appen.
- Identitetsprovidern skickar tillbaka auktorisering och autentisering.
- Den anställda kommer åt appen utan att behöva logga in igen.
Vad är SAML-kontroll?
SAML-kontroll är XML-dokumentet som skickas till tjänstleverantören för att bekräfta att användaren som försöker logga in har autentiserats.
Det finns tre typer:
- Autentiseringskontroll identifierar användare och innehåller en tidsangivelse om när användaren loggade in samt vilken typ av autentisering de använde – till exempel lösenord eller multifaktorautentisering.
- Attributkontroll skickar vidare SAML-token till leverantören. Den här kontrollen omfattar specifika data om användaren.
- En kontroll med auktoriseringsbeslut berättar för tjänstleverantören om användaren har autentiserats eller om användaren har nekats på grund av ett problem med autentiseringsuppgifterna eller eftersom användaren inte har behörigheterna som krävs för tjänsten.
SAML jämfört med OAuth
Både SAML och OAuth gör det enklare för användare att komma åt flera tjänster utan att logga in på var och en av tjänsterna separat, men de två protokollen använder olika tekniker och processer. SAML använder XML för att göra det möjligt för användarna att använda samma autentiseringsuppgifter för att komma åt flera tjänster medan OAuth skickar vidare auktoriseringsdata med JSON Web Token (JWT) eller JavaScript Object Notation.
I OAuth väljer användarna att logga in på en tjänst med auktorisering från en tredje part, till exempel Google eller Facebook, istället för att skapa en nytt användarnamn och lösenord för tjänsten. Auktoriseringen skickas vidare medan användarens lösenord skyddas.
SAML:s roll för företag
SAML hjälper företag förbättra produktiviteten och säkerheten på hybridarbetsplatser. När allt fler arbetar på distans är det viktigt att de får enkel åtkomst till företagets resurser oavsett var de befinner sig. Utan rätt säkerhetskontroller ökar dock riskerna för intrång om det är för enkelt att få behörighet. SAML gör det möjligt för företag att effektivisera inloggningsprocessen för anställda samtidigt som de kan använda strikta policyer som multifaktorautentisering och villkorsstyrd åtkomstkontroll i apparna som de anställda använder.
Företag bör investera i en identitetsproviderlösning som Microsoft Entra ID för att komma igång. Microsoft Entra ID skyddar användare och data med inbyggd säkerhet och förenar identitetshanteringen i samma lösning. Självbetjäning och enkel inloggning gör det enkelt och bekvämt för de anställda att fortsätta vara produktiva. Microsoft Entra ID innehåller dessutom inbyggd SAML-integrering med tusentals appar såsom Zoom, DocuSign, SAP Concur, Workday och Amazon Web Services (AWS).
Mer information om Microsoft Security
Microsofts identitets- och åtkomstlösningar
Utforska omfattande identitets- och åtkomstlösningar från Microsoft.
Enkel inloggning
Förenkla åtkomsten till dina SaaS-appar, molnappar och lokala appar.
Multifaktorautentisering
Skydda organisationen mot intrång som beror på förlorade eller stulna autentiseringsuppgifter.
Villkorsstyrd åtkomst
Använd detaljerad åtkomstkontroll med principer som kan anpassas i realtid.
Inbyggda appintegreringar
Använd inbyggda integreringar för att ansluta användare till appar på ett säkrare sätt.
Blogg om identitet och åtkomst
Håll dig informerad om det senaste inom identitets- och åtkomsthantering.
Vanliga frågor och svar
-
SAML omfattar följande delar:
- Identitetstjänstleverantörer autentiserar och auktoriserar användare. De tillhandahåller inloggningssidan där användarna anger sina autentiseringsuppgifter och tillämpar säkerhetspolicyer, till exempel genom att kräva multifaktorautentisering eller återställning av lösenord. När användaren har fått behörighet skickar identitetsleverantören vidare data till tjänstleverantören.
- Tjänstleverantörer är de appar och webbplatser som användarna vill komma åt. Istället för att kräva att användarna loggar in på apparna individuellt kan tjänstleverantörerna konfigurera lösningar som litar på SAML-autentisering och som förlitar sig på att identitetsleverantörerna verifierar identiteter och ger åtkomst.
- Metadata beskriver hur identitetsleverantörer och tjänstleverantörer ger varandra kontroller, inklusive slutpunkter och teknik.
- Kontroll är autentiseringsdata som bekräftar för tjänstleverantören att användaren som försöker logga in har autentiserats.
- Certifikat för signering etablerar förtroende mellan identitetsleverantören och tjänstleverantören genom att bekräfta att kontrollen inte manipulerats under tiden som den skickats mellan dem.
- Systemklockan bekräftar att tiden som tjänstleverantören och identitetsleverantören har matchar för att skydda mot repetitionsattacker.
- Identitetstjänstleverantörer autentiserar och auktoriserar användare. De tillhandahåller inloggningssidan där användarna anger sina autentiseringsuppgifter och tillämpar säkerhetspolicyer, till exempel genom att kräva multifaktorautentisering eller återställning av lösenord. När användaren har fått behörighet skickar identitetsleverantören vidare data till tjänstleverantören.
-
SAML erbjuder följande fördelar för organisationer, deras anställda och partner:
- Förbättrad användarvänlighet. SAML gör det möjligt för organisationer att skapa en inloggningsupplevelse så att de anställda och partner kan logga in en gång och få åtkomst till alla appar. Detta underlättar deras arbete eftersom de inte behöver komma ihåg lika många lösenord och de inte heller behöver logga in varje gång de byter verktyg.
- Förbättrad säkerhet. Färre lösenord leder till minskad risk för komprometterade konton. Säkerhetsteam kan dessutom använda SAML för att implementera strikta säkerhetspolicyer för alla företagets appar. De kan till exempel kräva multifaktorautentisering för att logga in, eller tillämpa villkorsstyrda åtkomstpolicyer som begränsar vilka appar och data användarna kan komma åt.
- Enhetlig hantering. Genom att använda SAML kan teknikteam hantera identiteter och säkerhetspolicyer i en lösning istället för att använda separata hanteringskonsoler för varje app. Detta förenklar användarförsörjningen avsevärt.
- Förbättrad användarvänlighet. SAML gör det möjligt för organisationer att skapa en inloggningsupplevelse så att de anställda och partner kan logga in en gång och få åtkomst till alla appar. Detta underlättar deras arbete eftersom de inte behöver komma ihåg lika många lösenord och de inte heller behöver logga in varje gång de byter verktyg.
-
SAML är en XML-teknik med öppen standard som gör det möjligt för identitetsleverantörer som Microsoft Entra ID att vidarebefordra autentiseringsdata till en tjänstleverantör, till exempel en SaaS-app.
Vid enkel inloggning loggar en användare in en gång och får tillgång till flera olika webbplatser och appar. Du kan använda enkel inloggning med SAML, men enkel inloggning kan även distribueras med andra tekniker. -
Lightweight Directory Access Protocol (LDAP) är ett protokoll för identitetshantering som används för att autentisera och auktorisera användaridentiteter. Många tjänstleverantörer har stöd för LDAP, så det kan vara en bra lösning för enkel inloggning, men eftersom det är en äldre teknik fungerar det inte lika bra för webbappar.
SAML är en nyare teknik som är tillgänglig i de flesta webb- och molnprogram, vilket gör det till ett populärt val för centraliserad identitetshantering.
-
Multifaktorautentisering är en säkerhetsåtgärd som kräver att användarna använder fler än ett sätt att bevisa sin identitet. Vanligtvis kräver det något som en användare har, till exempel en enhet, plus något de känner till, som ett lösenord eller en PIN-kod. SAML gör det möjligt för teknikteam att tillämpa multifaktorautentisering på flera webbplatser och appar. De kan välja att tillämpa den här typen av autentisering på alla appar som är integrerade med SAML eller välja att endast tillämpa multifaktorautentisering för vissa appar.
Följ Microsoft Security