מהי SAML?
למד כיצד שפת סימון קביעת אבטחה (SAML) שהיא הפרוטוקול התקני בתעשייה, מחזקת אמצעי אבטחה ומשפרת חוויות כניסה.
SAML שהוגדרה
SAML היא הטכנולוגיה הבסיסית המאפשרת לאנשים להיכנס פעם אחת תוך שימוש בערכת אישורים אחת ולקבל גישה לאפליקציות רבות. ספקי זהות, כגון 'מזהה Microsoft Entra', מאמתים משתמשים כאשר הם נכנסים ולאחר מכן משתמשים בטכנולוגיית SAML לשם העברת נתוני האימות לספק השירות שמפעיל את האתר, השירות או האפליקציה שאליהם המשתמשים רוצים לגשת.
למה משמשת SAML?
טכנולוגיית SAML עוזרת לחזק את האבטחה בעסקים ולפשט את תהליך הכניסה עבור עובדים, שותפים ולקוחות. ארגונים משתמשים בה כדי לאפשר כניסה יחידה, המאפשרת לאנשים להשתמש בשם משתמש אחד ובסיסמה אחת לצורך גישה לאתרים, לשירותים ולאפליקציות מרובים. צמצום מספר הסיסמאות שאנשים נדרשים לזכור מקל עליהם ולא רק זאת, הוא גם מקטין את הסיכון שאחת הסיסמאות תיגנב. כמו כן, ארגונים יכולים להגדיר רוחבית תקני אבטחה עבור אימותים בכל האפליקציות שלהם המותאמות לשימוש ב- SAML. לדוגמה, באפשרותם לדרוש אימות רב-גורמי לפני שאנשים מקבלים גישה לרשת המקומית ולאפליקציות, כגון Salesforce, Concur ו- Adobe.
טכנולוגיית SAML עוזרת לארגונים לטפל ב מקרי השימוש הבאים:
איחוד ניהול זהויות וגישה:
ניהול אימותים ואישורים במערכת אחת מאפשר לצוותי IT לקצר באופן משמעותי את הזמן שהם משקיעים בהקצאת משאבים למשתמשים ובזכאות לזהויות.
הפוך את גישת "אפס אמון" לזמינה:
אסטרטגיית אבטחה הנוקטת בגישת "אפס אמון" מחייבת ארגונים לאמת כל בקשת גישה ולהגביל את הגישה למידע רגיש רק לאנשים שצריכים אותו. צוותים טכנולוגיים יכולים להשתמש ב- SAML לצורך הגדרת פריטי מדיניות, כגון אימות רב-גורמי וגישה מותנית, בכל האפליקציות שלהם. הם גם יכולים להפעיל אמצעי אבטחה נוקשים יותר, כגון כפיית איפוס סיסמה, כאשר סיכון של משתמש עולה דרגה על סמך התנהגותו, המכשיר או המיקום שלו.
העשרה של חוויית העובדים:
בנוסף לפישוט הגישה עבור העובדים, צוותי IT יכולים גם לתייג דפי כניסה כדי ליצור חוויה עקבית באפליקציות. עובדים גם חוסכים זמן עם חוויות שירות עצמי שמאפשרות להם לאפס בקלות את הסיסמאות שלהם.
מהו ספק SAML?
ספק SAML הוא מערכת שמשתפת אימות זהויות ונתוני אישור עם ספקים אחרים. ישנם שני סוגים של ספקי SAML:
- ספקי זהויות אשר מאמתים ומאשרים משתמשים. הם מספקים את דף הכניסה שבו אנשים מזינים את האישורים שלהם. הם גם אוכפים פריטי מדיניות אבטחה, למשל על ידי דרישה לאימות רב-גורמי או לאיפוס סיסמה. לאחר שהמשתמש מאומת, ספקי זהות מעבירים את הנתונים לספקי שירות.
- ספקי שירות הם האפליקציות והאתרים שאנשים רוצים לגשת אליהם. במקום לדרוש מאנשים להיכנס לכל אפליקציה בנפרד, ספקי שירות מגדירים את הפתרונות שלהם כך שיתנו אמון באישור SAML ויסמכו על אימות הזהויות ואישורי הגישה של ספקי הזהויות.
כיצד פועל אימות SAML?
באימות SAML, ספקי שירות וספקי זהויות משתפים ביניהם את הכניסה ואת נתוני המשתמש כדי לאשר שכל אדם המבקש גישה עובר אימות. הוא לרוב פועל בהתאם לשלבים הבאים:
- עובד מתחיל לעבוד על ידי כניסה באמצעות דף כניסה שסיפק ספק הזהויות.
- ספק הזהויות מתקף את הזהות שהעובד מוסר על ידי אישור שילוב של פרטי אימות, כגון שם משתמש, סיסמה, קוד PIN, מכשיר, או נתונים ביומטריים.
- העובד מפעיל אפליקציית ספק שירות, כגון Microsoft Word או Workday.
- ספק השירות יוצר קשר עם ספק הזהויות כדי לאשר שיש שלעובד הרשאה לגשת לאפליקציה.
- ספקי הזהויות שולחים בחזרה הרשאה ואימות.
- העובד ניגש אל האפליקציה מבלי להיכנס פעם נוספת.
מהי קביעת SAML?
קביעת SAML היא מסמך ה- XML המכיל נתונים שמאשר לספק השירות שהאדם שנכנס אומת.
ישנם שלושה סוגים:
- קביעת אימות מזהה את המשתמש וכוללת את שעת הכניסה של אדם ואת סוג האימות שבו השתמש, כגון סיסמה או אימות רב-גורמי.
- קביעת ייחוס מעבירה את אסימון ה- SAML לספק. קביעה זו כוללת נתונים ספציפיים לגבי המשתמש.
- קביעת החלטת אישור מודיעה לספק השירות אם המשתמש אומת או אם הוא נדחה אם בגלל בעיה כלשהי באישורים שלו ואם מכיוון שאין לו הרשאות לשירות זה.
SAML לעומת OAuth
הן SAML והן OAuth מאפשרים לאנשים לגשת בקלות לשירותים מרובים מבלי להיכנס לכל אחד בנפרד, אך כל פרוטוקול משתמש בטכנולוגיות ובתהליכים שונים. SAML משתמש ב- XML כדי לאפשר לאנשים להשתמש באותם אישורים לצורך גישה לשירותים מרובים, ואילו OAuth מעביר נתוני אישור באמצעות JWT או JavaScript Object Notation.
ב- OAuth, אנשים בוחרים להיכנס לשירות באמצעות אישור של צד שלישי, כגון חשבון Google או Facebook, במקום ליצור שם משתמש או סיסמה חדשים עבור השירות. האישור מועבר תוך הגנה על סיסמת המשתמש.
תפקידה של SAML בעסקים
טכנולוגיית SAML עוזרת לעסקים לאפשר גם פרודוקטיביות וגם אבטחה בסביבות העבודה ההיברידיות שלהם. ככל שיותר ויותר אנשים עובדים מרחוק, חשוב לאפשר להם לגשת בקלות למשאבי החברה מכל מקום, אולם ללא פקדי האבטחה הנכונים, גישה קלה מגבירה את הסיכונים להפרה. עם SAML, ארגונים יכולים לייעל את תהליך הכניסה עבור עובדים במקביל לאכיפה של פריטי מדיניות חזקים כגון אימות רב-גורמי וגישה מותנית באפליקציות שבהן משתמשים העובדים.
כדי להתחיל בעבודה, ארגונים צריכים להשקיע בפתרון של ספק זהויות, כגון 'מזהה Microsoft Entra'. 'מזהה Microsoft Entra' מגן על משתמשים ונתונים עם אבטחה מוכללת ומאחד את ניהול הזהויות לכדי פתרון יחיד. שירות עצמי וכניסה יחידה מאפשרים לעובדים לשמור על פרודוקטיביות בצורה קלה ונוחה. כמו כן, 'מזהה Microsoft Entra' מגיע עם שילוב בנוי מראש של SAML עם אלפי אפליקציות, כגון Zoom, DocuSign, SAP Concur, Workday ו- Amazon Web Services (AWS).
קבל מידע נוסף על האבטחה של Microsoft
כניסה יחידה
פשט את הגישה לאפליקציות תוכנה כשירות (SaaS), לאפליקציות ענן, או לאפליקציות מקומיות.
שאלות נפוצות
-
SAML כוללת את הרכיבים הבאים:
- ספקי שירות זהויות מאמתים ומאשרים משתמשים. הם מספקים את דף הכניסה שבו אנשים מזינים את האישורים שלהם ואוכפים מדיניות אבטחה, למשל דרישה לאימות רב-גורמי או איפוס סיסמה. לאחר שהמשתמש מאומת, ספקי הזהות מעבירים את הנתונים לספקי שירות.
- ספקי שירות הם האפליקציות והאתרים שאנשים רוצים לגשת אליהם. במקום לדרוש מאנשים להיכנס לכל אפליקציה בנפרד, ספקי שירות מגדירים את הפתרונות שלהם כך שיתנו אמון באישור SAML ויסמכו על אימות הזהויות ואישורי הגישה של ספקי הזהויות.
- מטה-נתונים מתאר כיצד ספקי זהות וספקי שירות יחליפו ביניהם קביעות, כולל נקודות קצה וטכנולוגיה.
- קביעה היא נתוני האימות שמאשרים לספק השירות שהאדם שנכנס אומת.
- אישורי חתימה מבססים אמון בין ספק הזהויות לספק השירות על ידי אישור שלא בוצע טפלול בקביעה במהלך המעבר בין שני הספקים.
- שעון המערכת מאשר שספק השירות וספק הזהויות זוכים לאותו זמן הגנה מפני מתקפות של הפעלה חוזרת.
- ספקי שירות זהויות מאמתים ומאשרים משתמשים. הם מספקים את דף הכניסה שבו אנשים מזינים את האישורים שלהם ואוכפים מדיניות אבטחה, למשל דרישה לאימות רב-גורמי או איפוס סיסמה. לאחר שהמשתמש מאומת, ספקי הזהות מעבירים את הנתונים לספקי שירות.
-
SAML מציעה לארגונים, לעובדים בהם ולשותפיהם את היתרונות הבאים:
- שיפור חווית המשתמש. SAML מאפשרת לארגונים ליצור חוויית כניסה יחידה כך שעובדים ושותפים ייכנסו פעם אחת וישיגו בגישה לכל האפליקציות שלהם. בזכות כך העבודה קלה ונוחה יותר מכיוון שצריך לזכור פחות סיסמאות והעובדים אינם צריכים לבצע כניסה בכל פעם שהם מחליפים כלים.
- אבטחה משופרת. מספר קטן יותר של סיסמאות מקטין את הסיכון לחשבונות הנחשפים לסכנה. כמו כן, צוותי אבטחה יכולים להשתמש ב- SAML להחלת מדיניות אבטחה חזקה על כל האפליקציות שלהם. לדוגמה, הם יכולים לדרוש אימות רב-גורמי כדי להיכנס או להחיל פריטי מדיניות גישה מותנית שמגבילים את האפליקציות והנתונים שאנשים יכולים לגשת אליהם.
- ניהול אחיד. באמצעות SAML, צוותים טכנולוגיים מנהלים פריטי מדיניות של זהויות ואבטחה בפתרון אחד במקום להשתמש במסופי ניהול נפרדים עבור כל אפליקציה. הדבר מפשט את הקצאת המשאבים למשתמשים במידה משמעותית.
- שיפור חווית המשתמש. SAML מאפשרת לארגונים ליצור חוויית כניסה יחידה כך שעובדים ושותפים ייכנסו פעם אחת וישיגו בגישה לכל האפליקציות שלהם. בזכות כך העבודה קלה ונוחה יותר מכיוון שצריך לזכור פחות סיסמאות והעובדים אינם צריכים לבצע כניסה בכל פעם שהם מחליפים כלים.
-
SAML היא טכנולוגיית XML בתקן פתוח המאפשרת לספקי זהויות, כגון 'מזהה Microsoft Entra', להעביר נתוני אימות לספק שירות כגון תוכנה כאפליקציית שירות.
כניסה יחידה מתרחשת כשאנשים מבצעים כניסה פעם אחת ולאחר מכן משיגים גישה לכמה אפליקציות ואתרים שונים. טכנולוגיית SAML מאפשרת כניסה יחידה, אך ניתן לפרוס כניסה יחידה באמצעות טכנולוגיות אחרות. -
פרוטוקול גישה למדריך כתובות Lightweight (LDAP) הא פרוטוקול לניהול זהויות המשמש לאימות ואישור של זהויות משתמש. ספקי שירות רבים תומכים ב- LDAP, כך שהוא עשוי להיות פתרון טוב לכניסה יחידה. עם זאת, מכיוון שזוהי טכנולוגיה ישנה יותר, היא אינה פועלת היטב עם יישומי אינטרנט.
SAML היא טכנולוגיה חדשה יותר שקיימת ברוב יישומי האינטרנט והענן, ובכך הופך אותה לבחירה הפופולרית יותר לניהול זהויות ריכוזי.
-
אימות רב-גורמי הוא אמצעי אבטחה שמחייב אנשים להשתמש ביותר מגורם אחד להוכחת זהותם. לרוב, הוא מחייב משהו שנמצא ברשות האדם, כמו מכשיר, בנוסף למשהו שהוא יודע, כמו סיסמה או קוד PIN. SAML מאפשרת לצוותים טכנולוגיים להחיל אימות רב-גורמי על אתרים ואפליקציות רבים. באפשרותם לבחור להחיל את רמת האימות הזו על כל האפליקציות המשולבות עם SAML או לאכוף אימות רב-גורמי על אפליקציות מסוימות, אך לא על אחרות.
עקוב אחר 'האבטחה של Microsoft'