Was ist SAML?
Erfahren Sie, wie das branchenübliche SAML-Protokoll (Security Assertion Markup Language) die Sicherheitsmaßnahmen verstärkt und die Anmelderoutine verbessert.
Einfach erklärt: SAML
SAML ist die Basistechnologie, die es Benutzern ermöglicht, sich einmalig mit ihren Anmeldeinformationen anzumelden und dann auf mehrere Anwendungen zuzugreifen. Eine Identitätsanbieterlösung wie Microsoft Entra ID bestätigt die Benutzeridentität bei der Anmeldung und gibt die Authentifizierungsdaten anschließend mithilfe von SAML an den Dienstanbieter weiter, der die angeforderte Website oder Anwendung bzw. den angeforderten Dienst bereitstellt.
Wofür wird SAML verwendet?
SAML stärkt die Sicherheit im Unternehmen und vereinfacht den Anmeldeprozess für Beschäftigte, Partner und Kunden. Unternehmen nutzen die Technologie zur Umsetzung von Single Sign-On, damit der Zugriff auf mehrere Websites, Dienste und Apps über einen Benutzernamen und ein Kennwort möglich ist. Dass sich die Benutzer weniger Kennwörter merken müssen, macht ihren Alltag nicht nur leichter, sondern verringert auch das Diebstahlsrisiko von Kennwörtern. Darüber hinaus können Unternehmen Sicherheitsstandards für Authentifizierungen in ihren SAML-fähigen Apps festlegen. Beispielsweise können Beschäftigte zur Multi-Faktor-Authentifizierung aufgefordert werden, bevor sie auf das lokale Netzwerk und Apps wie Salesforce, Concur und Adobe zugreifen dürfen.
Mithilfe von SAML meistern Unternehmen die folgenden Anwendungsfälle:
Identity & Access Management vereinheitlichen:
Durch die Bündelung der Authentifizierung und Autorisierung in einem System können IT-Teams den Zeitaufwand für die Benutzerbereitstellung und den Identitätsnachweis erheblich verringern.
Zero Trust umsetzen:
Eine Zero-Trust-Sicherheitsstrategie sieht vor, dass Unternehmen jede Zugriffsanforderung überprüfen müssen und den Zugriff auf vertrauliche Informationen nur Personen erlauben dürfen, die sie tatsächlich benötigen. Technikteams können SAML verwenden, um Richtlinien wie etwa Multi-Faktor-Authentifizierung und bedingten Zugriff für alle ihre Apps festzulegen. Aber auch strengere Sicherheitsmaßnahmen sind realisierbar, wie z. B. das erzwungene Zurücksetzen von Kennwörtern, wenn ein Benutzer aufgrund seines Verhaltens, Geräts oder Standorts ein erhöhtes Risiko darstellt.
Mitarbeitererfahrung verbessern:
IT-Teams können nicht nur den Mitarbeiterzugriff konfigurieren, sondern Anmeldeseiten auch an das Firmen-Branding anpassen, damit das Erscheinungsbild für alle Anwendungen einheitlich ist. Darüber hinaus profitieren Mitarbeitende von zeitsparenden Self-Service-Funktionen, die ihnen die Zurücksetzung ihrer Kennwörter erleichtern.
Was ist ein SAML-Anbieter?
Ein SAML-Anbieter ist ein System, das Daten zur Authentifizierung und Autorisierung von Identitäten für andere Anbieter freigibt. Es gibt zwei Arten von SAML-Anbietern:
- Identitätsanbieter sind für die Authentifizierung und Autorisierung von Benutzern zuständig. Sie stellen die Anmeldeseite bereit, auf der man seine Anmeldeinformationen eingibt. Außerdem setzen diese Anbieter Sicherheitsrichtlinien durch, indem sie z. B. die Multi-Faktor-Authentifizierung oder Kennwortzurücksetzung verlangen. Nachdem der Benutzer autorisiert wurde, werden seine Daten vom Identitätsanbieter an den Dienstanbieter weitergegeben.
- Unter Dienstanbieter versteht man die Apps und Websites, für die jemand Zugriff anfordert. Dienstanbieter verlangen nicht, dass sich Benutzer bei jeder App separat anmelden. Stattdessen konfigurieren sie ihre Lösungen für die vertrauenswürdige SAML-Autorisierung und überlassen den Identitätsnachweis und die Zugriffsautorisierung den Identitätsanbietern.
Wie funktioniert die SAML-Authentifizierung?
Bei der SAML-Authentifizierung tauschen Dienst- und Identitätsanbieter Anmelde- und Benutzerdaten aus, um die Autorisierung jeder Person sicherzustellen, die den Zugriff anfordert. Dies erfolgt in der Regel anhand folgender Schritte:
- Eine Person beginnt mit der Arbeit, indem sie sich auf der vom Identitätsanbieter bereitgestellten Anmeldeseite anmeldet.
- Der Identitätsanbieter überprüft, ob der Mitarbeitende die Person ist, für die er sich ausgibt. Dazu werden verschiedene Authentifizierungsdaten wie Benutzername, Kennwort, PIN, Gerät oder biometrische Daten bestätigt.
- Der Mitarbeitende startet eine Dienstanbieter-App wie z. B. Microsoft Word oder Workday.
- Der Dienstanbieter kommuniziert mit dem Identitätsanbieter, um zu bestätigen, dass der Mitarbeitende berechtigterweise auf die App zugreift.
- Der Identitätsanbieter sendet Autorisierungs- und Authentifizierungsdaten zurück.
- Die Person darf jetzt auf die App zugreifen, ohne sich ein zweites Mal anmelden zu müssen.
Was ist eine SAML-Assertion?
Die SAML-Assertion ist ein XML-Dokument mit Daten, über die gegenüber dem Dienstanbieter bestätigt wird, dass die sich anmeldende Person authentifiziert wurde.
Es gibt drei verschiedene Arten:
- Die Authentifizierungs-Assertion dient zum Identifizieren des Benutzers. Sie enthält die Uhrzeit, zu der sich die Person angemeldet hat, sowie die Art der Authentifizierung, z. B. per Kennwort oder Multi-Faktor-Authentifizierung.
- Durch die Zuordnungs-Assertion wird das SAML-Token an den Anbieter weitergegeben. Diese Assertion enthält genaue Daten zum Benutzer.
- Durch die Assertion der Autorisierungsentscheidung wird dem Dienstanbieter mitgeteilt, ob der Benutzer authentifiziert oder aufgrund eines Problems abgewiesen wurde. Dies können entweder ungültige Anmeldeinformationen oder unzureichende Berechtigungen für den Dienst sein.
SAML vs. OAuth
Sowohl SAML als auch OAuth sorgen für den einfachen Zugriff auf mehrere Dienste, ohne dass die Benutzer sich bei jedem Dienst separat anmelden müssen. Allerdings basieren die beiden Protokolle auf unterschiedlichen Technologien und Verfahren. SAML verwendet XML, damit Benutzer über dieselben Anmeldeinformationen auf mehrere Dienste zugreifen können, während OAuth Autorisierungsdaten über JWT oder JSON (JavaScript Object Notation) weitergibt.
Bei OAuth melden sich die Benutzer über eine Drittanbieter-Autorisierung wie z. B. ihr Google- oder Facebook-Konto bei einem Dienst an, statt einen neuen Benutzernamen oder ein neues Kennwort für den Dienst anzulegen. Die Autorisierungsdaten werden weitergegeben, wobei das Benutzerkennwort geschützt ist.
Die Rolle von SAML für Unternehmen
Mit SAML können Unternehmen ihre hybride Arbeitsumgebung auf hohe Sicherheit und Produktivität hin optimieren. Je mehr Personen remote arbeiten, desto wichtiger ist der reibungslose Ressourcenzugriff von praktisch jedem Ort. Fehlt es dabei an geeigneten Sicherheitsmechanismen, dann steigt mit dem vereinfachten Zugriff auch das Risiko einer Sicherheitsverletzung. Mit SAML können Unternehmen den Anmeldeprozess im Arbeitsalltag verbessern und gleichzeitig strenge Richtlinien wie Multi-Faktor-Authentifizierung und bedingten Zugriff für die von ihren Mitarbeitenden genutzten Apps durchsetzen.
Für den Anfang sollten Unternehmen in eine Identitätsanbieterlösung wie Microsoft Entra ID investieren. Microsoft Entra ID schützt Benutzer und Daten mit integrierter Sicherheit und bündelt die Identitätsverwaltung in einer einheitlichen Lösung. Self-Service und Single Sign-On sorgen dafür, dass Mitarbeitende auf einfache und bequeme Weise produktiv bleiben. Darüber hinaus ist die SAML-Integration, durch die Tausende von Apps wie Zoom, DocuSign, SAP Concur, Workday und Amazon Web Services (AWS) unterstützt werden, bereits in Microsoft Entra ID angelegt.
Mehr erfahren über Microsoft Security
Microsoft Identität und Zugriff
Erkunden Sie die umfassenden Lösungen für Identität und Zugriff von Microsoft.
Single Sign-On
Vereinfachen Sie den Zugriff auf Ihre SaaS-Apps (Software-as-a-Service), Cloud-Apps oder lokalen Apps.
Multi-Faktor-Authentifizierung
Schützen Sie Ihr Unternehmen vor Sicherheitsverletzungen, die durch verlorene oder gestohlene Anmeldeinformationen verursacht werden.
Bedingter Zugriff
Setzen Sie die präzise Zugriffssteuerung mithilfe adaptiver Echtzeitrichtlinien durch.
Vordefinierte App-Integrationen
Verbinden Sie Benutzer über vordefinierte Integrationen sicher mit ihren Apps.
Blog zu Identitäts- und Zugriffslösungen
Bleiben Sie auf dem Laufenden über die neuesten Entwicklungen im Bereich Identity & Access Management.
Häufig gestellte Fragen
-
SAML umfasst die folgenden Komponenten:
- Identitätsdienstanbieter sind für die Authentifizierung und Autorisierung von Benutzern zuständig. Sie stellen die Anmeldeseite bereit, auf der man seine Anmeldeinformationen eingibt, und setzen Sicherheitsrichtlinien durch, indem sie z. B. die Multi-Faktor-Authentifizierung oder Kennwortzurücksetzung verlangen. Nachdem der Benutzer autorisiert wurde, werden seine Daten vom Identitätsanbieter an den Dienstanbieter weitergegeben.
- Unter Dienstanbieter versteht man die Apps und Websites, für die jemand Zugriff anfordert. Dienstanbieter verlangen nicht, dass sich Benutzer bei jeder App separat anmelden. Stattdessen konfigurieren sie ihre Lösungen für die vertrauenswürdige SAML-Autorisierung und überlassen den Identitätsnachweis und die Zugriffsautorisierung den Identitätsanbietern.
- Metadaten beschreiben, wie Identitäts- und Dienstanbieter Assertionen austauschen, einschließlich Angaben zu Endpunkten und Technologie.
- Die Assertion entspricht den Authentifizierungsdaten, über die gegenüber dem Dienstanbieter bestätigt wird, dass die sich anmeldende Person authentifiziert wurde.
- Signaturzertifikate fördern das Vertrauen zwischen Identitäts- und Dienstanbieter, indem sie bestätigen, dass die Assertion bei der Übermittlung zwischen den beiden Anbietern nicht manipuliert wurde.
- Durch die Systemuhr wird bestätigt, dass Dienst- und Identitätsanbieter die gleiche Systemzeit haben, damit sie sich gegen Replay-Angriffe schützen können.
- Identitätsdienstanbieter sind für die Authentifizierung und Autorisierung von Benutzern zuständig. Sie stellen die Anmeldeseite bereit, auf der man seine Anmeldeinformationen eingibt, und setzen Sicherheitsrichtlinien durch, indem sie z. B. die Multi-Faktor-Authentifizierung oder Kennwortzurücksetzung verlangen. Nachdem der Benutzer autorisiert wurde, werden seine Daten vom Identitätsanbieter an den Dienstanbieter weitergegeben.
-
SAML bietet Unternehmen sowie deren Mitarbeitenden und Partnern folgende Vorteile:
- Verbessertes Benutzererlebnis. SAML ermöglicht Unternehmen die Umsetzung einer Single Sign-On-Lösung, damit sich Beschäftigte und Partner nur einmal anzumelden brauchen, um auf alle ihre Apps zuzugreifen. Das macht die Arbeit besonders einfach und bequem, weil sich die Mitarbeitenden nicht jedes Mal neu anmelden müssen, wenn sie zu einem anderen Tool wechseln.
- Verbesserte Sicherheit. Durch die Beschränkung von Kennwörtern sinkt auch das Risiko kompromittierter Konten. Außerdem profitieren Sicherheitsteams von SAML, da sie strengere Sicherheitsrichtlinien auf alle Apps anwenden können. Beispielsweise können sie bei der Anmeldung Multi-Faktor-Authentifizierung verlangen oder Richtlinien für den bedingten Zugriff anwenden, um den Zugriff auf Apps und Daten zu beschränken.
- Einheitliche Verwaltung. Dank SAML verwalten Technikteams Identitäten und Sicherheitsrichtlinien in einer Lösung, anstatt für jede App eine andere Verwaltungskonsole zu verwenden. Dadurch wird die Benutzerbereitstellung deutlich vereinfacht.
- Verbessertes Benutzererlebnis. SAML ermöglicht Unternehmen die Umsetzung einer Single Sign-On-Lösung, damit sich Beschäftigte und Partner nur einmal anzumelden brauchen, um auf alle ihre Apps zuzugreifen. Das macht die Arbeit besonders einfach und bequem, weil sich die Mitarbeitenden nicht jedes Mal neu anmelden müssen, wenn sie zu einem anderen Tool wechseln.
-
SAML ist eine Open-Standard-XML-Technologie, über die Identitätsanbieterlösungen wie Microsoft Entra ID Authentifizierungsdaten an einen Dienstanbieter wie eine SaaS-App (Software-as-a-Service) übermitteln können.
Bei Single Sign-On melden sich die Benutzer einmal an und erhalten dann Zugriff auf mehrere Websites und Anwendungen. SAML unterstützt Single Sign-On, aber das SSO-Verfahren lässt sich auch mit anderen Technologien bereitstellen. -
LDAP (Lightweight Directory Access Protocol) ist ein Identitätsverwaltungsprotokoll, das zur Authentifizierung und Autorisierung von Benutzeridentitäten eingesetzt wird. Da LDAP von vielen Dienstanbietern unterstützt wird, ermöglicht es meist reibungsloses Single Sign-On. Allerdings handelt es sich um eine ältere Technologie, die für Webanwendungen nicht so gut geeignet ist.
SAML ist eine neuere Technologie, die in den meisten Web- und Cloudanwendungen zur Verfügung steht. Deshalb wird sie immer häufiger für die zentralisierte Identitätsverwaltung eingesetzt.
-
Bei der Multi-Faktor-Authentifizierung handelt es sich um eine Sicherheitsmaßnahme, bei der für den Identitätsnachweis mehr als ein Faktor geprüft werden muss. Üblicherweise wird etwas, was die Person besitzt (z. B. ein Gerät) mit etwas kombiniert, was die Person weiß (z. B. ein Kennwort oder eine PIN). Über SAML können Technikteams die Multi-Faktor-Authentifizierung auf mehrere Websites und Anwendungen anwenden. Sie können diese Authentifizierungsstufe für alle Apps verwenden, die in SAML integriert sind, oder die Multi-Faktor-Authentifizierung für einige Apps erzwingen (und für andere nicht).
Microsoft folgen