Co je SAML?

Zjistěte, jak protokol SAML (Security Assertion Markup Language), který je standardním oborovým protokolem, posiluje opatření v oblasti zabezpečení a zlepšuje prostředí přihlašování.

Definice protokolu SAML

SAML je základní technologie, která umožňuje uživatelům přihlásit se jednou pomocí jedné sady přihlašovacích údajů a přistupovat k více aplikacím. Zprostředkovatelé identit, jako je Azure Active Directory (Azure AD), ověřují uživatele, když se přihlásí, a pak pomocí SAML předají tato ověřovací data poskytovateli služeb, který provozuje web, službu nebo aplikaci, ke které chtějí tito uživatelé získat přístup.

K čemu se SAML používá?

SAML pomáhá posílit zabezpečení pro firmy a zjednodušit proces přihlašování pro zaměstnance, partnery a zákazníky. Organizace tento protokol používají k zavedení jednotného přihlašování, které umožňuje uživatelům používat jedno uživatelské jméno a heslo pro přístup k více webům, službám a aplikacím. Snížení počtu hesel, která si lidé musí zapamatovat, je nejen jednodušší, ale snižuje také riziko, že některé z těchto hesel bude odcizeno. Organizace také můžou nastavit standardy zabezpečení pro ověřování pro všechny své aplikace s podporou protokolu SAML. Před přístupem uživatelů k místní síti a aplikacím, jako jsou Salesforce, Concur a Adobe, můžou například vyžadovat vícefaktorové ověřování

 

SAML pomáhá organizacím řešit následující případy použití:

 

Sjednocení správy identit a přístupu:

Díky správě ověřování a autorizace v jednom systému můžou IT týmy výrazně zkrátit čas, který tráví zřizováním uživatelů a přidělováním identit.

 

Zavedení modelu nulové důvěra (Zero Trust):

Strategie zabezpečení nulová důvěra (Zero Trust) vyžaduje, aby organizace ověřovaly všechny žádosti o přístup a omezily přístup k citlivým informacím jenom na uživatele, kteří je potřebují. Technické týmy můžou pomocí protokolu SAML nastavit zásady, jako je vícefaktorové ověřování a podmíněný přístup, pro všechny aplikace. Můžou také zavést přísnější opatření zabezpečení, jako je vynucení resetování hesla, když se zvýší riziko u určitých uživatelů na základě jejich chování, zařízení nebo polohy.

 

Obohacení prostředí pro zaměstnance:

Kromě zjednodušení přístupu pro pracovníky můžou IT týmy také přidávat na přihlašovací stránky firemní branding a vytvořit konzistentní prostředí napříč aplikacemi. Zaměstnanci také šetří čas díky samoobslužným funkcím, které jim umožňují snadno resetovat hesla.

Co je zprostředkovatel SAML?

Zprostředkovatel SAML je systém, který sdílí data ověřování a autorizace identity s jinými zprostředkovateli. Existují dva typy zprostředkovatelů SAML:

  • Zprostředkovatelé identity ověřují a autorizují uživatele. Poskytují přihlašovací stránku, na které uživatelé zadávají své přihlašovací údaje. Vynucují také zásady zabezpečení, jako je vyžadování vícefaktorového ověřování nebo resetování hesla. Jakmile je uživatel autorizován, předávají zprostředkovatelé identity data poskytovatelům služeb. 
  • Poskytovatelé služeb jsou aplikace a weby, ke kterým chtějí uživatelé přistupovat. Místo toho, aby se uživatelé museli přihlašovat k aplikacím jednotlivě, nakonfigurují poskytovatelé služeb svá řešení tak, aby důvěřovala autorizaci SAML, a spoléhají na zprostředkovatele identity, aby ověřili identity a autorizovali přístup. 

Jak ověřování SAML funguje?

V ověřování SAML poskytovatelé služeb a zprostředkovatelé identit sdílejí přihlašovací údaje a uživatelská data, aby si potvrdili, že každá osoba, která žádá o přístup, je ověřená. Obvykle se postupuje podle následujících kroků:

  1. Zaměstnanec začne tím, že se přihlásí pomocí přihlašovací stránky poskytnuté zprostředkovatelem identity.
  2. Zprostředkovatel identity ověří, že zaměstnanec je skutečně osobou, za kterou se vydává, tím, že potvrdí kombinaci podrobností ověření, jako je uživatelské jméno, heslo, PIN kód, zařízení nebo biometrická data.
  3. Zaměstnanec spustí příslušnou aplikaci poskytovatele služeb, například Microsoft Word nebo Workday. 
  4. Poskytovatel služeb komunikuje se zprostředkovatelem identity, aby si potvrdil, že tento zaměstnanec má oprávnění k přístupu k dané aplikaci.
  5. Zprostředkovatelé identity pošlou zpět autorizaci a ověření.
  6. Zaměstnanec získá přístup k dané aplikaci bez nutnosti se podruhé přihlašovat.
     

Co je kontrolní výraz SAML?

Kontrolní výraz SAML je dokument XML obsahující data, která poskytovali služeb potvrzují, že osoba, která se přihlašuje, byla ověřena.

 

Existují tři typy:

  • Ověřovací kontrolní výraz identifikuje uživatele a zahrnuje čas přihlášení tohoto uživatele a typ ověřování, které použil, například heslo nebo vícefaktorové ověřování.
  • Kontrolní výraz přiřazení předává token SAML poskytovali. Tento kontrolní výraz obsahuje konkrétní data o uživateli.
  • Kontrolní výraz rozhodnutí o autorizaci informuje poskytovatele služeb, jestli je uživatel ověřený nebo jestli mu byl přístup zamítnut kvůli problému s přihlašovacími údaji nebo kvůli tomu, že nemá oprávnění k dané službě. 

Porovnání protokolů SAML a OAuth

SAML i OAuth usnadňují uživatelům přístup k více službám, aniž by se k nim museli přihlašovat samostatně, ale tyto dva protokoly používají různé technologie a procesy. Protokol SAML používá XML k tomu, aby uživatelům umožnil používat stejné přihlašovací údaje pro přístup k více službám, zatímco OAuth předává autorizační data pomocí metody JWT nebo ve formátu JavaScript Object Notation.


V případě protokolu OAuth se uživatelé přihlašují k nějaké službě pomocí autorizace třetí strany, jako jsou jejich účty služeb Google nebo Facebook, a nevytváří pro danou službu nové uživatelské jméno nebo heslo. Autorizace se předává při současném zachování ochrany hesla uživatele.

Role protokolu SAML pro firmy

SAML pomáhá firmám zajistit produktivitu i zabezpečení na hybridních pracovištích. Když pracuje na dálku více lidí, je důležité jim umožnit snadný přístup k firemním prostředkům odkudkoli. Bez správných prvků zabezpečení však snadný přístup zvyšuje riziko porušení zabezpečení. Pomocí protokolu SAML můžou organizace zjednodušit proces přihlašování zaměstnanců a současně vynucovat silné zásady, jako je vícefaktorové ověřování a podmíněný přístup napříč aplikacemi, které zaměstnanci používají.


Na začátku by měly organizace investovat do některého řešení zprostředkovatele identity, jako je například Azure AD. Azure AD chrání uživatele a data pomocí integrovaného zabezpečení a sjednocuje správu identit do jediného řešení. Díky samoobslužnému režimu a jednotnému přihlašování můžou zaměstnanci snadno a pohodlně produktivně pracovat. Azure AD se navíc dodává s předem připravenou integrací protokolu SAML s velkým počtem aplikací, jako jsou Zoom, DocuSign, SAP Concur, Workday a Amazon Web Services (AWS).

Další informace o zabezpečení od Microsoftu

Časté otázky

|

SAML zahrnuje následující součásti:

  • Zprostředkovatelé služeb identity ověřují a autorizují uživatele. Poskytují přihlašovací stránku, na které uživatelé zadávají své přihlašovací údaje, a vynucují zásady zabezpečení, jako je vyžadování vícefaktorového ověřování nebo resetování hesla. Jakmile je uživatel autorizován, předávají zprostředkovatelé identity data poskytovatelům služeb.
  • Poskytovatelé služeb jsou aplikace a weby, ke kterým chtějí uživatelé přistupovat. Místo toho, aby se uživatelé museli přihlašovat k aplikacím jednotlivě, nakonfigurují poskytovatelé služeb svá řešení tak, aby důvěřovala autorizaci SAML, a spoléhají na zprostředkovatele identity, aby ověřili identity a autorizovali přístup.
  • Metadata popisují, jak si zprostředkovatelé identity a poskytovatelé služeb budou vyměňovat kontrolní výrazy – včetně koncových bodů a technologie.
  • Kontrolní výraz jsou data ověřování, která poskytovali služeb potvrzují, že osoba, která se přihlašuje, byla ověřena.
  • Podpisové certifikáty zřizují vztah důvěryhodnosti mezi zprostředkovatelem identity a poskytovatelem služeb tím, že potvrzují, že s kontrolním výrazem během cesty mezi těmito dvěma poskytovateli nebylo manipulováno.
  • Systémové hodiny potvrzují, že poskytovatel služeb a zprostředkovatel identity mají stejný čas, kvůli ochraně proti útokům přehráním.

SAML nabízí organizacím, jejich zaměstnancům a partnerům následující výhody:

  • Lepší uživatelské prostředí. SAML umožňuje organizacím vytvořit prostředí pro jednotné přihlašování, aby se zaměstnanci a partneři přihlásili jednou a získali přístup ke všem svým aplikacím. Díky tomu je práce jednodušší a pohodlnější, protože je potřeba si pamatovat méně hesel a zaměstnanci se nemusí přihlašovat pokaždé, když chtějí začít používat jiný nástroj.
  • Vylepšené zabezpečení. Menší počet hesel snižuje riziko napadení účtů. Týmy zodpovídající za zabezpečení můžou navíc pomocí protokolu SAML používat silné zásady zabezpečení u všech aplikací. Pro přihlášení můžou například vyžadovat vícefaktorové ověřování nebo můžou používat zásady podmíněného přístupu, které omezují přístup uživatelů ke konkrétním aplikacím a datům.
  • Sjednocená správa. Pomocí protokolu SAML technické týmy spravují identity a zásady zabezpečení v jednom řešení, místo aby pro každou aplikaci používaly samostatné konzoly pro správu. To výrazně zjednodušuje zřizování uživatelů.

SAML je technologie XML založená na otevřeném standardu, která umožňuje zprostředkovatelům identit, jako je Azure Active Directory (Azure AD), předávat data ověřování poskytovateli služeb, jako je například aplikace SaaS.

 

Jednotné přihlašování znamená, že se lidé přihlásí jednou a získají tím přístup k několika různým webům a aplikacím. SAML umožňuje jednotné přihlašování, ale jednotné přihlašování je možné nasadit i pomocí jiných technologií.

Protokol LDAP (Lightweight Directory Access Protocol) je protokol pro správu identit, který se používá k ověřování a autorizaci identit uživatelů. Mnoho poskytovatelů služeb protokol LDAP podporuje, takže může být dobrým řešením pro jednotné přihlašování. Jedná se však o starší technologii, která nefunguje tak dobře u webových aplikací.

 

SAML je novější technologie, která je dostupná ve většině webových a cloudových aplikací, a je proto oblíbenější volbou pro centralizovanou správu identit.

Vícefaktorové ověřování je opatření zabezpečení, které vyžaduje, aby lidé k prokázání své identity použili více než jeden faktor. Obvykle vyžaduje něco, co daný jednotlivec má, například zařízení, a něco, co zná, třeba heslo nebo PIN kód. SAML umožňuje technickým týmům používat vícefaktorové ověřování u více webů a aplikací. Můžou se rozhodnout používat tuto úroveň ověřování u všech aplikací integrovaných s protokolem SAML nebo můžou vynucovat vícefaktorové ověřování pro některé aplikace, a pro jiné ne.