מהו SAML?

למד כיצד פרוטוקול תקן התעשייה, שפת סימון קביעת אבטחה (SAML) מחזק אמצעי אבטחה ומשפר חוויות כניסה.

הגדרת SAML

SAML היא הטכנולוגיה הבסיסית שמאפשרת לאנשים להיכנס פעם אחת באמצעות סדרה אחת של אישורים ולגשת לאפליקציות מרובות. ספקי זהות, כגון Azure Active Directory‏ (Azure AD),מאמתים משתמשים כשהם נכנסים ולאחר מכן משתמשים בטכנולוגיית SAML כדי להעביר את נתוני האימות לספק השירות שמפעיל את האתר, השירות או האפליקציה שאליהם המשתמשים רוצים לגשת.

למה משמש SAML?

טכנולוגיית SAML עוזרת לחזק את האבטחה בעסקים ולפשט את תהליך הכניסה עבור עובדים, שותפים ולקוחות. ארגונים משתמשים בה כדי להפעיל כניסה יחידה, המאפשרת לאנשים להשתמש בשם משתמש אחד ובסיסמה אחת כדי לגשת לאתרים, לשירותים ולאפליקציות מרובים. צמצום מספר הסיסמאות שאנשים חייבים לזכור הוא לא רק קל יותר עבורם, אלא גם מקטין את הסיכון לגניבה של אחת הסיסמאות. ארגונים יכולים גם להגדיר תקני אבטחה עבור אימותים באפליקציות התומכות ב- SAML. לדוגמה, הם יכולים לדרוש אימות רב-גורמי לפני שאנשים ניגשים לרשת המקומית ולאפליקציות, כגון Salesforce‏, Concur ו- Adobe. 

 

טכנולוגיית SAML עוזרת לארגונים להתמודד עם מקרי השימוש הבאים:

 

איחוד ניהול זהויות וגישה:

על ידי ניהול אימותים ואישורים במערכת אחת, צוותי IT יכולים לקצר באופן משמעותי את הזמן שהם משקיעים בהקצאת משאבים למשתמשים ובזכאות לזהויות.

 

הפוך את גישת "אפס אמון" לזמינה:

אסטרטגיית אבטחה מסוג "אפס אמון" מחייבת ארגונים לאמת כל בקשת גישה ולהגביל את הגישה למידע רגיש רק לאנשים שצריכים אותו. צוותים טכנולוגיים יכולים להשתמש ב- SAML כדי להגדיר פריטי מדיניות, כגון אימות רב-גורמי וגישה מותנית, בכל האפליקציות שלהם. הם יכולים גם להפעיל אמצעי אבטחה נוקשים יותר, כגון כפיית איפוס סיסמה, כאשר סיכון של משתמש מתגבר על סמך ההתנהגות, המכשיר או המיקום שלו.

 

העשרה של חוויית העובדים:

בנוסף לגישה פשוטה יותר עבור העובדים, צוותי IT יכולים גם לתייג דפי כניסה כדי ליצור חוויה עקבית באפליקציות שונות. עובדים גם חוסכים זמן עם חוויות שירות עצמי שמאפשרות להם לאפס בקלות את הסיסמאות שלהם.

מהו ספק SAML?

ספק SAML הוא מערכת שמשתפת אימות זהויות ונתוני אישור עם ספקים אחרים. ישנם שני סוגים של ספקי SAML:

  • ספקי זהויות מאמתים ומאשרים משתמשים. הם מספקים את דף הכניסה שבו אנשים מזינים את האישורים שלהם. הם גם אוכפים מדיניות אבטחה, למשל על ידי דרישה לאימות רב-גורמי או לאיפוס סיסמה. לאחר אישור המשתמש, ספקי זהות מעבירים את הנתונים לספקי שירות. 
  • ספקי שירות הם האפליקציות והאתרים שאנשים רוצים לגשת אליהם. במקום לדרוש מאנשים להיכנס לאפליקציות באופן נפרד, ספקי שירות מגדירים את הפתרונות שלהם כך שיתנו אמון באישור SAML ויסמכו על ספקי הזהויות לאימות זהויות ולאישור גישה. 

כיצד פועל אימות SAML?

באימות SAML, ספקי שירות וספקי זהויות משתפים את הכניסה ואת נתוני המשתמש כדי לאמת שכל אדם שמבקש גישה מאומת. הוא לרוב פועל בהתאם לשלבים הבאים:

  1. עובד מתחיל לעבוד על ידי כניסה באמצעות דף כניסה שסיפק ספק הזהויות.
  2. ספק הזהויות מאמת שהעובד הוא אכן מי שהוא אומר שהוא על ידי אישור שילוב של פרטי אימות, כגון שם משתמש, סיסמה, קוד PIN, מכשיר, או נתונים ביומטריים.
  3. העובד מפעיל אפליקציית ספק שירות, כגון Microsoft Word או Workday. 
  4. ספק השירות יוצר קשר עם ספק הזהויות כדי לאשר שלעובד יש אישור לגשת לאפליקציה.
  5. ספקי הזהויות שולחים אישור ואימות בחזרה.
  6. העובד מעריך את האפליקציה מבלי להיכנס פעם שנייה.
     

מהי קביעת SAML?

קביעת SAML היא מסמך ה- XML שמכיל נתונים המאשר לספק השירות שהאדם שנכנס אומת.

 

ישנם שלושה סוגים:

  • קביעת אימות מזהה את המשתמש וכוללת את משך הזמן שאדם נכנס ואת סוג האימות שבו הוא השתמש, כגון סיסמה או אימות רב-גורמי
  • קביעת ייחוס מעבירה את אסימון ה- SAML לספק. קביעה זו כוללת נתונים ספציפיים בנוגע למשתמש.
  • קביעת החלטת אישור מודיעה לספק השירות אם המשתמש אומת או אם הוא נדחה בגלל בעיה כלשהי באישורים שלו או מכיוון שאין לו הרשאות לשירות זה. 

SAML לעומת OAuth

הן SAML והן OAuth מאפשרים לאנשים לגשת בקלות לשירותים מרובים מבלי להיכנס לכל אחד בנפרד, אך שני הפרוטוקולים משתמשים בטכנולוגיות ובתהליכים שונים. SAML משתמש ב- XML כדי לאפשר לאנשים להשתמש באותם אישורים כדי לגשת לשירותים מרובים, בזמן ש- OAuth מעביר נתוני אישור באמצעות JWT או JavaScript Object Notation.


ב- OAuth, אנשים בוחרים להיכנס לשירות באמצעות אישור של צד שלישי, למשל חשבונות Google או Facebook, במקום ליצור שם משתמש או סיסמה חדשים עבור השירות. האישור מועבר תוך הגנה על סיסמת המשתמש.

התפקיד של SAML בעסקים

טכנולוגיית SAML עוזרת לעסקים להפעיל גם פרודוקטיביות וגם אבטחה בסביבות העבודה ההיברידיות שלהם. ככל שיותר ויותר אנשים עובדים מרחוק, חשוב לאפשר להם לגשת בקלות למשאבי החברה מכל מקום, אולם ללא פקדי האבטחה הנכונים, גישה קלה מגבירה את הסיכונים להפרה. עם SAML, ארגונים יכולים לייעל את תהליך הכניסה עבור עובדים במקביל לאכיפה של פריטי מדיניות חזקים כגון אימות רב-גורמי וגישה מותנית באפליקציות שבהן משתמשים העובדים.


כדי להתחיל בעבודה, ארגונים צריכים להשקיע בפתרון של ספק זהויות, כגון Azure AD. Azure AD מגן על משתמשים ונתונים עם אבטחה מוכללת ומאחד את ניהול הזהויות לכדי פתרון יחיד. שירות עצמי וכניסה יחידה מאפשרים לעובדים לשמור על פרודוקטיביות בצורה קלה ונוחה. כמו כן, Azure AD מגיע עם שילוב SAMLמוכן מראש עם אלפי אפליקציות, כגון Zoom‏, DocuSign‏, SAP Concur‏, Workday ו- Amazon Web Services (AWS).

קבל מידע נוסף על האבטחה של Microsoft

שאלות נפוצות

|

SAML כולל את הרכיבים הבאים:

  • ספקי שירות זהויות מאמתים ומאשרים משתמשים. הם מספקים את דף הכניסה שבו אנשים מזינים את האישורים שלהם ואוכפים מדיניות אבטחה, למשל דרישה לאימות רב-גורמי או איפוס סיסמה. לאחר אישור המשתמש, ספקי הזהות מעבירים את הנתונים לספקי שירות.
  • ספקי שירות הם האפליקציות והאתרים שאנשים רוצים לגשת אליהם. במקום לדרוש מאנשים להיכנס לאפליקציות באופן נפרד, ספקי שירות מגדירים את הפתרונות שלהם כך שיתנו אמון באישור SAML ויסמכו על ספקי הזהויות לאימות זהויות ולאישור גישה.
  • מטה-נתונים מתאר כיצד ספקי זהות וספקי שירות יחליפו קביעות, כולל נקודות קצה וטכנולוגיה.
  • קביעה היא נתוני האימות שמאשרים לספק השירות שהאדם שנכנס אומת.
  • אישורי חתימה מבססים אמון בין ספק הזהויות לספק השירות על ידי אישור שהקביעה לא טופלה במהלך המעבר בין שני הספקים.
  • שעון המערכת מאשר שספק השירות וספק הזהויות זוכים לאותו זמן הגנה מפני מתקפות של הפעלה חוזרת.

SAML מציע את היתרונות הבאים לארגונים, לעובדים שלהם ולשותפים שלהם:

  • חוויית משתמש משופרת. SAML מאפשר לארגונים ליצור חוויית כניסה יחידה כדי שעובדים ושותפים ייכנסו פעם אחת וישיגו גישה לכל האפליקציות שלהם. כך העבודה קלה ונוחה יותר מכיוון שצריך לזכור פחות סיסמאות והעובדים אינם צריכים לבצע כניסה בכל פעם שהם מחליפים כלים.
  • אבטחה משופרת. מספר קטן יותר של סיסמאות מקטין את הסיכון לחשבונות הנחשפים לסכנה. כמו כן, צוותי אבטחה יכולים להשתמש ב- SAML כדי להחיל מדיניות אבטחה חזקה על כל האפליקציות שלהם. לדוגמה, הם יכולים לבקש אימות רב-גורמי כדי להיכנס או להחיל מדיניות גישה מותנית שמגבילה את האפליקציות והנתונים שאנשים יכולים לגשת אליהם.
  • ניהול מאוחד. באמצעות SAML, צוותים טכנולוגיים מנהלים פריטי מדיניות של זהויות ואבטחה בפתרון אחד במקום להשתמש במסופי ניהול נפרדים עבור כל אפליקציה. כך הופכת הקצאת המשאבים למשתמשים לפשוטה יותר.

SAML הוא טכנולוגיית XML בתקן פתוח שמאפשרת לספקי זהויות, כגון Azure Active Directory‏ (Azure AD) להעביר נתוני אימות לספק שירות, כגון אפליקציית תוכנה-כשירות.

 

כניסה יחידה מתרחשת כשאנשים מבצעים כניסה פעם אחת ולאחר מכן משיגים גישה לכמה אפליקציות ואתרים שונים. טכנולוגיית SAML מאפשרת כניסה יחידה, אך ניתן לפרוס כניסה יחידה עם טכנולוגיות אחרות.

פרוטוקול מסוג Lightweight Directory Access Protocol ‏(LDAP) הא פרוטוקול לניהול זהויות המשמש לצורך אימות ואישור של זהויות משתמש. ספקי שירות רבים תומכים בפרוטוקול LDAP, כך שהוא עשוי להיות פתרון טוב לכניסה יחידה, עם זאת, משום שמדובר בטכנולוגיה ישנה יותר, היא אינה עובדת טוב עם יישומי אינטרנט.

 

SAML הוא טכנולוגיה חדישה יותר שקיימת ברוב יישומי האינטרנט והענן, מה שהופך אותה לבחירה הפופולרית יותר לניהול זהויות מרוכז.

אימות רב-גורמי הוא אמצעי אבטחה שדורש מאנשים להשתמש ביותר מגורם אחד כדי להוכיח את הזהות שלהם. לרוב, הוא מחייב משהו שנמצא ברשות האדם, כמו מכשיר, בנוסף למשהו שהוא יודע, כמו סיסמה או קוד PIN. SAML מאפשר לצוותים טכנולוגיים להחיל אימות רב-גורמי על כמה אתרים ואפליקציות. הם יכולים לבחור להחיל את רמת האימות הזו על כל האפליקציות המשולבות עם SAML או לאכוף אימות רב-גורמי בחלק מהאפליקציות, אך לא באחרות.