Hvad er SAML?

Få mere at vide om hvordan branchens standardprotokol, Security Markup Language (SAML), styrker sikkerhedsforanstaltninger og forbedrer logonoplevelser.

Definition af SAML

SAML er den underliggende teknologi, der lader personer logge på én gang med et sæt logonoplysninger og dermed tilgå flere programmer. Identitetsudbydere, f.eks. Azure Active Directory (Azure AD), bekræfter brugere, når de logger på, og bruger derefter SAML til at videregive godkendelsesdata til tjenesteudbyderen, der driver webstedet, tjenesten eller appen, som brugerne vil opnå adgang til.

Hvad bruges SAML til?

SAML hjælper med at styrke sikkerheden for virksomheder og forenkle logonprocessen for medarbejdere, partnere og kunder. Organisationer bruger det til at aktivere enkeltlogon, som lader personer bruge ét brugernavn og én adgangskode til at få adgang til flere websteder, tjenester og apps. Når antallet af adgangskoder, som personer skal huske, reduceres, er det ikke kun nemmere for dem, men det reducerer også risikoen for, at en af disse adgangskoder bliver stjålet. Organisationer kan også angive sikkerhedsstandarder for godkendelser på tværs af deres apps, der har SAML aktiveret. De kan f.eks. kræve multifaktorgodkendelse, før personer får adgang til det lokale netværk og apps såsom Salesforce, Concur og Adobe. 

 

SAML hjælper organisationer med at adressere følgende brugsscenarier:

 

Forenkling af identitets- og adgangsstyring:

Når it-teams administrer godkendelse og autorisation i ét system, kan de betydeligt reducere den mængde tid, de bruger på brugerklargøring og identitetsberettigelse.

 

Aktivering af Nul tillid:

En Nul tillid-strategi kræver, at organisationer verificerer alle anmodninger om adgang og begrænser adgangen til følsomme oplysninger til udelukkende at være for de personer, der har brug for den. Tekniske teams kan bruge SAML til at angive politikker, f.eks. multifaktorgodkendelse og betinget adgang, for alle deres apps. De kan også aktivere strengere sikkerhedsforanstaltninger, f.eks. gennemtvingelse af nulstilling af en adgangskode, når en brugers risiko er forhøjet på grund af dennes adfærd, enhed eller placering.

 

Skab en bedre medarbejderoplevelse:

Ud over at forenkle medarbejdernes adgang kan it-teams også brande logonsider for at oprette en ensartet oplevelse på tværs af apps. Medarbejdere kan også spare tid med selvbetjeningsoplevelser, der let lader dem nulstille deres adgangskoder.

Hvad er en SAML-udbyder?

EN SAML-udbyder er et system, der deler identitetsgodkendelses- og autorisationsdata med andre udbydere. Der er to typer SAML-udbydere:

  • Identitetsudbydere godkender og autoriserer brugere. De leverer logonsiden, hvor personer indtaster deres logonoplysninger. De håndhæver også sikkerhedspolitikker, f.eks. ved at kræve multifaktorgodkendelse eller nulstilling af en adgangskode. Når brugeren er autoriseret, videresender identitetsudbydere dataene til tjenesteudbydere. 
  • Tjenesteudbydere er de apps og websider, som personer ønsker at få adgang til. I stedet for at kræve, at personer skal logge på deres apps hver for sig, konfigurerer tjenesteudbydere deres løsninger til at have tillid til SAML-godkendelse og benytte sig af identitetsudbyderne med hensyn til bekræftelse af identiteter og autorisation af adgang. 

Hvordan virker SAML-godkendelse?

Ved SAML-godkendelse deler tjenesteudbydere og identitetsudbydere logon- og brugerdata for at bekræfte, at alle personer der anmoder om adgang, er godkendt. Det følger normal disse trin:

  1. En medarbejder påbegynder arbejdet ved at logge på med logonsiden fra identitetsudbyderen.
  2. Identitetsudbyderen validerer, at medarbejderen er den, vedkommende giver sig ud for, ved at bekræfte en kombination af godkendelsesoplysninger, f.eks. et brugernavn, en adgangskode, en pinkode, en enhed eller biometriske data.
  3. Medarbejderen starter en tjenesteudbyderapp, f.eks. Microsoft Word eller Workday. 
  4. Tjenesteudbyderen kommunikerer med identitetsudbyderen for at bekræfte, at medarbejderen er autoriseret til at få adgang til pågældende app.
  5. Identitetsudbyderne sender autorisationen og godkendelsen tilbage.
  6. Medarbejderen kan få adgang til appen uden at skulle logge på igen.
     

Hvad er SAML-hævdelse?

SAML-hævdelse er XML-dokumentet, der indeholder data, der bekræfter over for tjenesteudbydere, at den person der logger på, er blevet godkendt.

 

Der er tre typer:

  • Hævdelse af godkendelse identificerer brugeren og inkluderer det tidspunkt, hvor personen loggede på, og den type godkendelse, vedkommende brugte, f.eks. en adgangskode eller multifaktorgodkendelse
  • Hævdelse af tilskrivning overfører SAML-tokenet til udbyderen. Denne hævdelse inkluderer specifikke data om brugeren.
  • En hævdelse af en autorisationsbeslutning fortæller tjenesteudbyderen, om brugeren er godkendt eller nægtet, enten på grund af et problem med logonoplysningerne eller fordi vedkommende ikke har tilladelser til pågældende tjeneste. 

SAML versus OAuth

Både SAML og OAuth gør det lettere for personer at få adgang til flere tjenester uden at logge på hver eneste tjeneste separat, men de to protokoller bruger forskellig teknologi og forskellige processer. SAML bruger XML til at lade personer bruge de samme logonoplysninger til at få adgang til flere tjenester, mens OAUTH overfører autorisationsdata ved hjælp af JWT eller JavaScript Object Notation.


Med OAuth vælger personer at logge på en tjeneste med tredjepartsautorisation, f.eks. deres Google- eller Facebook-konti, i stedet for at oprette et nyt brugernavn eller en ny adgangskode til tjenesten. Autorisationen overføres, samtidig med at brugerens adgangskode beskyttes.

SAMLs rolle for virksomheder

SAML hjælper virksomheder med at være både produktive og sikre i deres hybride arbejdsområder. Når flere personer arbejder hjemmefra, er det afgørende at give dem let adgang til virksomhedsressourcer, uanset hvor de er, men uden de rigtige sikkerhedskontroller øger nem adgang risiciene for et brud. Med SAML kan organisationer strømline logonprocessen for medarbejdere, samtidig med at de håndhæver stærke politikker, f.eks. multifaktorgodkendelse og betinget adgang, på tværs af de apps, deres medarbejdere bruger.


For at komme i gang skal organisationer investere i en identitetsudbyderløsning, f.eks. Azure AD. Azure AD beskytter brugere og data med indbygget sikkerhed og samler identitetsstyring i én løsning. Selvbetjening og enkeltlogon gør det nemt og bekvemt for medarbejdere at forblive produktive. Desuden kommer Azure AD med forhåndsudviklet SAML-integration med tusindvis af apps, f.eks. Zoom, DocuSign, SAP Concur, Workday og Amazon Web Services (AWS).

Få mere at vide om Microsoft Security

Ofte stillede spørgsmål

|

SAML inkluderer følgende komponenter:

  • Identitetstjenesteudbydere godkender og autoriserer brugere. De leverer logonsiden, hvor personer indtaster deres logonoplysninger, og de håndhæver sikkerhedspolitikker, f.eks. krav om multifaktorgodkendelser eller nulstilling af en adgangskode. Når brugeren er autoriseret, videresender identitetsudbyderne dataene til tjenesteudbydere.
  • Tjenesteudbydere er de apps og websider, som personer ønsker at få adgang til. I stedet for at kræve, at personer skal logge på deres apps hver for sig, konfigurerer tjenesteudbydere deres løsninger til at have tillid til SAML-godkendelse og benytte sig af identitetsudbyderne med hensyn til bekræftelse af identiteter og autorisation af adgang.
  • Metadata beskriver hvordan identitetsudbydere og tjenesteudbydere vil udveksle hævdelser, herunder slutpunkter og teknologi.
  • Hævdelse er de godkendelsesdata, der bekræfter over for tjenesteudbyderen, at den person der logger på, er blevet godkendt.
  • Signeringscertifikater etablerer tillid mellem identitetsudbyderen og tjenesteudbyderen ved at bekræfte, at der ikke blev manipuleret med hævdelsen, mens den rejste mellem de to udbydere.
  • Systemuret bekræfter, at tjenesteudbyderen og identitetsudbyderen har samme tid for at beskytte mod genafspilningsangreb.

SAML giver organisationer og deres medarbejdere og partnere følgende fordele:

  • Forbedret brugeroplevelse. SAML lader organisationer oprette en enkeltlogonoplevelse, så medarbejdere og partnere logger på én gang og får adgang til alle deres apps. Dette gør arbejdet nemmere og mere bekvemt, fordi der skal huskes færre adgangskoder, og medarbejderne skal ikke logge på, hver gang de skifter til et andet værktøj.
  • Forbedret sikkerhed. Færre adgangskoder reducerer risikoen for kompromitterede konti. Desuden kan sikkerhedsteams bruge SAML til at anvende en stærk sikkerhedspolitik på alle deres apps. De kan f.eks. kræve multifaktorgodkendelse ved logon eller anvende politikker for betinget adgang, der begrænser hvilke apps og data, personer kan få adgang til.
  • Samlet administration. Når tekniske teams bruger SAML, kan de administrere identiteter og sikkerhedspolitikker med én løsning i stedet for at bruge separate administrationskonsoller for hver app. Det gør brugerklargøringen meget enklere.

SAML er en XML-teknologi og en åben standard, der lader identitetsudbydere, f.eks. Azure Active Directory (Azure AD), overføre godkendelsesdata til en tjenesteudbyder, f.eks. en Software som en service-app.

 

Enkeltlogon er når personer logger på én gang og derefter får adgang til flere forskellige websteder og apps. SAML åbner op for enkeltlogon, men det er muligt at installere enkeltlogon med andre teknologier.

Lightweight Directory Access Protocol (LDAP) er en protokol til identitetsstyring, der bruges til godkendelse og autorisation af brugeridentiteter. Mange tjenesteudbydere understøtter LDAP, så det kan være en god løsning til enkeltlogon, men fordi det er en ældre teknologi, virker det ikke altid lige så godt med webprogrammer.

 

SAML er en nyere teknologi, der er tilgængelig i de fleste webprogrammer og programmer i skyen, og derfor er det et populært valg til centraliseret identitetsstyring.

Multifaktorgodkendelse er en sikkerhedsforanstaltning, der kræver at personer skal bruge mere end en godkendelsesfaktor til at bevise deres identitet. Det kræver normalt noget, en person har, f.eks. en enhed, og noget vedkommende ved, f.eks. en adgangskode eller pinkode. SAML gør tekniske teams i stand til at anvende multifaktorgodkendelse på flere websteder og apps. De kan vælge at anvende dette godkendelsesniveau for alle apps, der er integreret med SAML, eller de kan håndhæve multifaktorgodkendelse for nogle apps uden at gøre det for andre.