Mikä SAML on?

Tutustu siihen, miten toimialan vakioprotokolla, eli SAML (Security Assertion Markup Language), vahvistaa tietoturvatoimintoja ja parantaa sisäänkirjautumiskokemuksia.

SAML:n määritelmä

SAML on pohjateknologia, jonka avulla ihmiset voivat kirjautua sisään kerran käyttämällä yhtä tunnistetietosarjaa ja käyttää sitten monia sovelluksia. Käyttäjätietojen toimittajat, kuten Azure Active Directory (Azure AD), varmentavat käyttäjät, kun he kirjautuvat sisään. Sitten ne välittävät kyseiset todentamistiedot SAML:n avulla palvelulle, joka hoitaa käyttäjien käyttöönsä haluamaa sivustoa, palvelua tai sovellusta.

Mihin SAML:ää käytetään?

SAML auttaa vahvistamaan yritysten tietoturvaa ja helpottamaan käyttäjien, kumppaneiden ja asiakkaiden kirjautumisprosessia. Organisaatiot ottavat sen avulla käyttöön kertakirjautumisen, jonka avulla ihmiset voivat käyttää useita sivustoja, palveluja ja sovelluksia yhdellä käyttäjänimellä ja salasanalla. Ihmisten muistettavien salasanojen määrän vähentäminen on helpotus heille, mutta se myös vähentää jonkin salasanan varastamiseen riskiä. Organisaatiot voivat myös asettaa todennusten tietoturvastandardit kaikkia SAML-yhteensopivia sovelluksiaan varten. Ne voivat esimerkiksi vaatia monimenetelmäistä todentamista, ennen kuin ihmiset voivat käyttää paikallista verkkoa ja paikallisia sovelluksia, kuten Salesforcea, Concuria Adobea. 

 

SAML auttaa organisaatioita käsittelemään seuraavat käyttötapaukset:

 

Yhdenmukaista käyttäjätietojen ja käyttöoikeuksien hallinta:

Todentamisen ja valtuuttamisen hallinnan ansiosta IT-tiimit voivat lyhentää huomattavasti aikaa, joka heiltä kuluu käyttäjien valmisteluun ja käyttäjätietojen valtuuttamiseen.

 

Ota Zero Trust -suojausmalli käyttöön:

Zero Trust -suojausmallistrategia edellyttää, että organisaatiot vahvistavat jokaisen käyttöoikeuspyynnön ja rajoittavat arkaluonteisten tietojen käytön vain niihin ihmisiin, jotka tarvitsevat niitä. Tekniset tiimit voivat SAML:n avulla määrittää käytäntöjä, kuten monimenetelmäisen todentamisen ja ehdolliset käyttöoikeudet, kaikkiin sovelluksiinsa. Ne voivat myös ottaa käyttöön aiempaa ankarammat tietoturvatoiminnot, kuten salasanan palauttamisen pakottamisen, kun käyttäjän riski on kohonnut hänen toimintansa, laitteensa tai sijaintinsa perusteella.

 

Paranna työntekijöiden käyttökokemusta:

Työntekijöiden käyttöoikeuksien yksinkertaistamisen lisäksi IT-tiimit voivat myös brändätä sisäänkirjautumissivut ja luoda siten yhdenmukaisen kokemuksen kaikkiin sovelluksiin. Työntekijätkin säästävät aikaa itsepalvelutoiminnoilla, joiden avulla he voivat heloposti palauttaa salasanansa.

Mikä SAML-palvelu on?

SAML-palvelu on järjestelmän, joka jakaa käyttäjien todennus- ja valtuutustiedot muille palveluille. SAML-palvelutyyppejä on kaksi:

  • Käyttäjätietojen toimittajat todentavat ja valtuuttavat käyttäjät. Ne tarjoavat sisäänkirjautumissivun, jolla ihmiset antavat tunnistetietonsa. Ne myös valvovat tietoturvakäytäntöjä, kuten vaativat monimenetelmäisen tunnistamisen tai salasanan palautuksen. Kun käyttäjä on valtuutettu, käyttäjätietojen toimittajat välittävät tiedot palveluntarjoajille. 
  • Palveluntarjoajat ovat sovelluksia ja sivustoja, joita ihmiset haluavat käyttää. Sen sijaan, että ihmisten pitäisi kirjautua sisään sovelluksiinsa yksitellen, palveluntarjoajat määrittävät ratkaisunsa luottamaan SAML-valtuutukseen, ja käyttäjätietojen toimittajat varmentavat käyttäjätiedot ja valtuuttavat käytön. 

Miten SAML-todentaminen toimii?

SAML-todentamisessa palveluntarjoajat jakavat sisäänkirjautumisen ja käyttäjätiedot ja varmistavat, että jokainen käyttöoikeuksia pyytävä henkilö todennetaan. Siinä noudatetaan yleensä seuraavia vaiheita:

  1. Työntekijä aloittaa työnsä kirjautumalla sisään käyttäjätietojen toimittajan tarjoaman sisäänkirjautumissivun avulla.
  2. Käyttäjätietojen toimittaja vahvistaa, että työntekijä on henkilö, joka hän ilmoittaa olevansa, varmistamalla todentamistietojen yhdistelmän, kuten käyttäjänimen, salasanan, PIN-koodin, laitteen tai biometriset tiedot.
  3. Työntekijä käynnistää palveluntarjoajan sovelluksen, kuten Microsoft Wordin tai Workdayn. 
  4. Palveluntarjoaja viestii käyttäjätietojen toimittajan kanssa ja varmistaa, että työntekijä on valtuutettu käyttämään kyseistä sovellusta.
  5. Käyttäjätietojen toimittajat lähettävät valtuutuksen ja todennuksen takaisin.
  6. Työntekijä käyttää sovellusta kirjautumatta sisään toista kertaa.
     

Mikä SAML-vahvistus on?

SAML -vahvistus on XML-tiedosto, joka sisältää todentamistiedot. Ne vahvistavat palvelulle, että sisäänkirjautuva käyttäjä on todennettu.

 

Tyyppejä on kolme:

  • Todentamisen vahvistus tunnistaa käyttäjän ja sisällyttää käyttäjän sisäänkirjautumisajan ja hänen käyttämänsä todentamisen, kuten salasanan tai monimenetelmäisen todentamisen
  • Määrityksen vahvistus välittää SAML-tunnuksen palvelulle. Tämä vahvistus sisältää tietyt tiedot käyttäjästä.
  • Valtuutuspäätöksen vahvistus kertoo palvelulle, onko käyttäjä todennettu vain onko hänet estetty tunnistetietojen ongelman takia tai siksi, ettei hänellä ole kyseisen palvelun käyttöoikeutta. 

SAML ja OAuth

Sekä SAML että OAuth tekevät ihmisille tavallista helpommaksi käyttää useita palveluja kirjautumatta erikseen sisään jokaiseen niistä. Nämä kaksi protokollaa käyttävät kuitenkin eri teknologiaa ja eri prosesseja. SAML mahdollistaa XML:n avulla, että ihmiset voivat käyttää samoja tunnistetietoja usean palvelun käytössä. OAuth taas välittää valtuutustiedot JWT:n tai JavaScript Object Notationin avulla.


OAuth-protokollaa käytettäessä ihmiset kirjautuvat palveluun kolmannen osapuolen valtuutuksen, kuten Google- tai Facebook-tilinsä, avulla sen sijaan, että he loisivat uuden käyttäjänimen tai salasanan palvelua varten. Valtuutus välitetään samalla, kun käyttäjän salasana suojataan.

SAML:n rooli yrityksissä

SAML auttaa yrityksiä tukemaan sekä tuottavuutta että tietoturvaa niiden hybridityöpaikoissa. Yhä useamman ihmisen tehdessä etätyötä on erittäin tärkeää mahdollistaa, että he voivat käyttää yrityksen resursseja mistä tahansa. Ilman oikeita tietoturvatoimintoja helppo käyttö lisää kuitenkin tietomurron riskiä. SAML:n avulla organisaatiot voivat yksinkertaistaa sisäänkirjautumisprosessia ja samalla valvoa vahvoja käytäntöjä, kuten monimenetelmäistä todentamista ja ehdollisia käyttöoikeuksia kaikissa työntekijöiden käyttämissä sovelluksissa.


Alkuun päästäkseen organisaatioiden tulisi investoida käyttäjätietojen toimittajaratkaisuun, kuten Azure AD:hen. Azure AD suojaa käyttäjät ja tiedot sisäisen tietoturvan avulla ja yhdistää käyttäjätietojen hallinnan yhdeksi ratkaisuksi. Itsepalvelun ja kertakirjautumisen ansiosta työntekijät voivat pysyä tuottavina helposti ja mukavasti. Lisäksi Azure AD sisältää käyttövalmiin SAML-integraation tuhansiin sovelluksiin, kuten Zoomiin, DocuSigniin, SAP Concuriin, Workdayhin ja Amazon Web Servicesiin (AWS).

Lue lisää Microsoft Securitysta

Usein kysytyt kysymykset

|

SAML sisältää seuraavat osat:

  • Käyttäjätietojen toimittajat todentavat ja valtuuttavat käyttäjät. Ne tarjoavat sisäänkirjautumissivun, jolla ihmiset antavat tunnistetietonsa, ja valvovat tietoturvakäytäntöjä, kuten vaativat monimenetelmäisen todentamisen tai salasanan palauttamisen. Kun käyttäjä on valtuutettu, käyttäjätietojen toimittajat välittävät tiedot palveluntarjoajille.
  • Palveluntarjoajat ovat sovelluksia ja sivustoja, joita ihmiset haluavat käyttää. Sen sijaan, että ihmisten pitäisi kirjautua sisään sovelluksiinsa yksitellen, palveluntarjoajat määrittävät ratkaisunsa luottamaan SAML-valtuutukseen, ja käyttäjätietojen toimittajat varmentavat käyttäjätiedot ja valtuuttavat käytön.
  • Metatiedot kuvaavat, miten käyttäjätietojen toimittajat ja palveluntarjoajat vaihtavat vahvistuksia, päätepisteet ja teknologia mukaan lukien.
  • Vahvistus ovat todentamistiedot, jotka vahvistavat palvelulle, että sisäänkirjautuva käyttäjä on todennettu.
  • Allekirjoitusvarmenteet luovat luottamuksen käyttäjätietojen toimittajan ja palveluntarjoajan välille varmistamalla, ettei vahvistusta ole muokattu niiden välisellä matkalla.
  • Järjestelmän kello varmistaa, että palvelulla ja käyttäjätietojen toimittajalla on sama kellonaika toistohyökkäyksiltä suojautumista varten.

SAML tarjoaa seuraavat edut organisaatioille sekä niiden työntekijöille ja kumppaneille:

  • Parannettu käyttökokemus. SAML:n avulla organisaatiot voivat luoda yhden kertakirjautumiskokemuksen, jolloin työntekijät ja kumppanit kirjautuvat sisään kerran ja saavat käyttöoikeuden kaikkiin sovelluksiinsa. Tämä helpottaa ja mukavoittaa työtä, koska muistettavien salasanojen määrä vähenee, eikä työntekijöiden tarvitse kirjautua sisään joka kerta työkalua vaihtaessaan.
  • Parannettu suojaus. Salasanojen määrän väheneminen vähentää tilien vaarantumisen riskiä. Lisäksi tietoturvatiimit voivat SAML:n avulla käyttää vahvaa tietoturvakäytäntöä kaikissa sovelluksissaan. Ne voivat esimerkiksi vaatia sisäänkirjautumisessa monimenetelmäistä todentamista tai käyttää ehdollisten käyttöoikeuksien käytäntöjä sen rajaamisen, mitä sovelluksia ja tietoja ihmiset voivat käyttää.
  • Yhdistetty hallinta. SAML:n avulla tekniset tiimit voivat hallita käyttäjätietoja ja tietoturvakäytäntöjä yhdessä sovelluksessa sen sijaan, että jokaista sovellusta varten käytettäisiin erillisiä halintakonsoleita. Tämä yksinkertaistaa käyttäjien valmistelua huomattavasti.

SAML on avoimen standardin XML-teknologia, jonka avulla käyttäjätietojen toimittajat, kuten Azure Active Directory (Azure AD) voivat välittää todentamistiedot palveluntarjoajalle, kuten ohjelmisto palveluna -sovellukselle.

 

Kertakirjautumista käytettäessä ihmiset kirjautuvat sisään kerran ja saavat sitten käyttöoikeuden useaan sivustoon ja sovellukseen. SAML mahdollistaa kertakirjautumisen, mutta kertakirjautumisen käyttöönotto on mahdollista muillakin teknologioilla.

LDAP (Lightweight Directory Access Protocol) on käyttäjätietojen hallinnan protokolla, jota käytetään käyttäjätietojen todentamisessa ja valtuuttamisessa. Monet palveluntarjoajat tukevat LDAP:tä, joten se voi olla hyvä ratkaisu kertakirjautumiseen. Se on kutienkin vanhempi teknologia, joten se ei toimi yhtä hyvin verkkosovellusten kanssa.

 

SAML on uudempi teknologia, joka on käytettävissä useimmissa verkko- ja pilvisovelluksissa, joten se on suosittu vaihtoehto keskitettyyn käyttäjätietojen hallintaan.

Monimenetelmäinen todentaminen on tietoturvatoiminto, joka vaatii ihmisiä käyttämään vähintään kahta tekijää käyttäjätietojensa todistamisessa. Yleensä se vaatii jotakin ihmisellä olevaa, kuten laitteen, ja jotakin, minkä hän tietää, kuten salasanan tai PIN-koodin. SAML:n avulla tekniset tiimit voivat käyttää monimenetelmäistä todentamista useissa sivustoissa ja sovelluksissa. Ne voivat valita tätä todentamistasoa kaikissa SAML:n kautta integroiduissa sovelluksissa, tai ne voivat valvoa monimenetelmäistä todentamista vain joissakin sovelluksissa.