Какво представлява SAML?

Научете как стандартният за отрасъла протокол SAML (security assertion markup language – език за потвърждаване на защита) подобрява мерките за защита и подобрява средата за влизане.

Дефиниране на SAML

SAML е основната технология, която позволява на хората да влизат веднъж, като използват един набор от идентификационни данни, и да получават достъп до няколко приложения. Доставчици на самоличности, като например Azure Active Directory (Azure AD), проверяват потребителите, когато влизат, и след това използват SAML, за да предават тези данни за удостоверяване на доставчика на услуги, който управлява сайта, услугата или приложението, до които потребителите искат да получат достъп.

За какво се използва SAML?

SAML помага за подсилване на защитата за фирмите и опростява процеса на влизане за служителите, партньорите и клиентите. Организациите го използват, за да разрешат еднократната идентификация, която позволява на хората да използват едно потребителско име и парола за достъп до множество сайтове, услуги и приложения. Намаляването на броя пароли, които хората трябва да запомнят, не само е по-лесно за тях, но също така намалява риска една от тези пароли да бъде открадната. Организациите могат също да задават стандарти за защита за удостоверяванията в своите приложения с разрешен SAML. Например те могат да изискват многофакторно удостоверяване, преди хората да получат достъп до локалната мрежа и приложения, като например Salesforce, Concur и Adobe. 

 

SAML помага на организациите да адресират следните случаи на употреба:

 

Унифициране на управлението на самоличности и достъп:

Чрез управление на удостоверяването и упълномощаването в една система ИТ екипите могат значително да намалят времето, което прекарват в осигуряване на потребители и правомощия за самоличности.

 

Разрешаване на Zero Trust:

Стратегията за защита Zero Trust изисква от организациите да проверяват всяка заявка за достъп и да ограничават достъпа до чувствителна информация само до хората, които се нуждаят от нея. Технологичните екипи могат да използват SAML, за да задават правила, като например многофакторно удостоверяване и условен достъп, до всички свои приложения. Те също така могат да разрешат по-строги мерки за защита, като например налагане на нулиране на паролата, когато рискът за потребителя е увеличен въз основа на поведението, устройството или местоположението му.

 

Обогатяване на средата за работа на служителите:

В допълнение към опростяването на достъпа за работниците, ИТ екипите могат също така да брандират страниците за влизане, за да създадат съгласувана среда за работа в различните приложения. Служителите също така спестяват време със среди за самообслужване, което им позволява лесно да нулират паролите си.

Какво представлява доставчикът на SAML?

Доставчикът на SAML е система, която споделя данни за удостоверяването и упълномощаването на самоличности с други доставчици. Има два типа доставчици на SAML:

  • Доставчиците на самоличности удостоверяват и упълномощават потребителите. Те предоставят страницата за влизане, където хората въвеждат своите идентификационни данни. Те също така налагат правила за защита, като например чрез изискване на многофакторно удостоверяване или нулиране на парола. След като потребителят бъде упълномощен, доставчиците на самоличности предават данните на доставчиците на услуги. 
  • Доставчиците на услуги са приложенията и уеб сайтовете, до които хората искат да имат достъп. Вместо да изискват от хората да влизат в своите приложения поотделно, доставчиците на услуги конфигурират своите решения да се доверяват на SAML удостоверяването и да разчитат на доставчиците на самоличности, за да проверяват самоличности и да упълномощават достъпа. 

Как работи SAML удостоверяването?

При SAML удостоверяване доставчиците на услуги и доставчиците на самоличности споделят данни за влизане и потребители, за да потвърдят, че всяко лице, което иска достъп, е удостоверено. Обикновено то следва следните стъпки:

  1. Служител започва работа, като влиза с помощта на страницата за влизане, предоставена от доставчика на самоличности.
  2. Доставчикът на самоличности проверява дали служителят е този, който казва, като потвърждава комбинация от подробни данни за удостоверяване, като например потребителско име, парола, ПИН код, устройство или биометрични данни.
  3. Служителят стартира приложение на доставчик на услуги, като например Microsoft Word или Workday. 
  4. Доставчикът на услуги комуникира с доставчика на самоличности, за да потвърди, че служителят е упълномощен за достъп до това приложение.
  5. Доставчиците на самоличности изпращат удостоверяването и упълномощаването обратно.
  6. Служителят осъществява достъп до приложението, без да влиза втори път.
     

Какво представлява потвърждаването на SAML?

Потвърждаването на SAML е XML документът, съдържащ данните, които потвърждават на доставчика на услуги, че лицето, което влиза, е удостоверено.

 

Има три типа:

  • Потвърждаването на удостоверяването идентифицира потребителя и включва часа, в който лицето е влязло, и типа удостоверяване, което е използвало, като например парола или многофакторно удостоверяване
  • Потвърждаването на правомощията предава SAML маркера на доставчика. Това потвърждаване включва конкретни данни за потребителя.
  • Потвърждаването на решението за упълномощаване уведомява доставчика на услуги дали потребителят е удостоверен, или му е отказано поради проблем с идентификационните му данни или защото няма разрешения за тази услуга. 

Сравнение на SAML с OAuth

Както SAML, така и OAuth улесняват достъпа на хората до множество услуги, без да влизат във всяка една поотделно, но двата протокола използват различни технологии и процеси. SAML използва XML, за да позволи на хората да използват едни и същи идентификационни данни за достъп до множество услуги, докато OAuth предава данните за удостоверяване чрез JWT или обектова нотация на Javascript.


При OAuth хората избират да влизат в услуга с помощта на упълномощаване на трети лица, като например техните акаунти за Google или Facebook, вместо да създават ново потребителско име или парола за услугата. Упълномощаването се подава, като същевременно се защитава паролата на потребителя.

Ролята на SAML за фирми

SAML помага на фирмите да осигурят възможности както за продуктивност, така и за защита в своите хибридни работни места. Когато повече хора работят дистанционно, е от решаващо значение да им предоставите лесен достъп до фирмените ресурси от всяко място, но без правилните контроли за защита, лесният достъп повишава рисковете от пробив. С помощта на SAML организациите могат да опростят процеса на влизане за служителите, като същевременно наложат строги правила, като многофакторно удостоверяване и условен достъп, в приложенията, които използват техните служители.


За да започнат, организациите трябва да инвестират в решение за доставчик на самоличности, като например Azure AD. Azure AD защитава потребителите и данните с вградена защита и обединява управлението на самоличности в едно решение. Самообслужването и еднократната идентификация правят лесно и удобно това служителите да бъдат продуктивни. Освен това Azure AD се предоставя с предварително изградена SAML интеграция с хиляди приложения, като например Zoom, DocuSign, SAP Concur, Workday и Amazon Web Services (AWS).

Научете повече за Microsoft Security

Често задавани въпроси

|

SAML включва следните компоненти:

  • Доставчиците на услуги за самоличности удостоверяват и упълномощават потребителите. Те предоставят страницата за влизане, където хората въвеждат своите идентификационни данни, и прилагат правила за защита, като например изискване на многофакторно удостоверяване или нулиране на паролата. След като потребителят бъде упълномощен, доставчиците на самоличности предават данните на доставчиците на услуги.
  • Доставчиците на услуги са приложенията и уеб сайтовете, до които хората искат да имат достъп. Вместо да изискват от хората да влизат в своите приложения поотделно, доставчиците на услуги конфигурират своите решения да се доверяват на SAML удостоверяването и да разчитат на доставчиците на самоличности, за да проверяват самоличности и да упълномощават достъпа.
  • Метаданните описват как доставчиците на самоличности и доставчиците на услуги ще обменят потвърждавания, включително крайни точки и технологии.
  • Потвърждаването представлява данните за удостоверяване, които потвърждават на доставчика на услуги, че лицето, което влиза, е удостоверено.
  • Сертификатите за подписване установяват доверие между доставчика на самоличности и доставчика на услуги, като потвърждават, че потвърждението не е било манипулирано, докато пътува между двамата доставчици.
  • Системният часовник потвърждава, че доставчикът на услуги и доставчикът на самоличности имат едно и също време за защита срещу атаки с повторение.

SAML предлага следните предимства на организациите, техните служители и партньори:

  • Подобрена среда за работа на потребителите. SAML позволява на организациите да създадат среда за еднократна идентификация, така че служителите и партньорите да влизат веднъж и да получават достъп до всички свои приложения. Това прави работата по-лесна и по-удобна, тъй като има по-малко пароли за запомняне, а служителите не трябва да влизат всеки път, когато сменят инструментите.
  • Подобрена защита. По-малкото пароли намаляват риска от компрометирани акаунти. Освен това екипите за защита могат да използват SAML, за да прилагат правила за сигурна защита към всички свои приложения. Например те могат да изискват многофакторно удостоверяване за влизане или да прилагат правила за условен достъп, които ограничават приложенията и данните, до които хора могат да осъществяват достъп.
  • Единно управление. Като използват SAML, технологичните екипи управляват самоличностите и правилата за защита в едно решение, а не използват отделни конзоли за управление за всяко приложение. Това значително опростява осигуряването на потребителите.

SAML е XML технология по отворен стандарт, която позволява на доставчиците на самоличности, като например Azure Active Directory (Azure AD), да предават данни за удостоверяване на доставчик на услуги, като например приложение от типа „софтуер като услуга“.

 

Еднократната идентификация е, когато хората влизат веднъж и след това получават достъп до няколко различни уеб сайта и приложения. SAML позволява еднократна идентификация, но е възможно да разположите еднократна идентификация с други технологии.

Lightweight directory access protocol (LDAP) е протокол за управление на самоличности, който се използва за удостоверяване и упълномощаване на самоличностите на потребителите. Много доставчици на услуги поддържат LDAP, така че може да бъде добро решение за еднократна идентификация. Но, тъй като това е по-стара технология, той не работи така добре с уеб приложенията.

 

SAML е по-нова технология, която е налична в повечето уеб приложения и приложения в облака, което го прави по-популярен избор за централизирано управление на самоличности.

Многофакторното удостоверяване е мярка за защита, която изисква хората да използват повече от един фактор, за да доказват самоличността си. Обикновено то изисква нещо, което лицето има, като например устройство, плюс нещо, което знае, като например парола или ПИН код. SAML позволява на технологичните екипи да прилагат многофакторно удостоверяване към множество уеб сайтове и приложения. Те могат да изберат да приложат това ниво на удостоверяване към всички приложения, интегрирани със SAML, или могат да наложат многофакторно удостоверяване за някои приложения, но не и за други.