Wat is SAML?

Leer hoe SAML (Security Assertion Markup Language), het standaardprotocol van de branche, beveiligingsmaatregelen versterkt en aanmeldingservaringen verbetert.

SAML-gedefinieerd

SAML is de onderliggende technologie die personen de mogelijkheid biedt om zich één keer aan te melden met behulp van één set referenties, en toegang te krijgen tot meerdere toepassingen. Identiteitsproviders, zoals Azure AD (Azure Active Directory), verifiëren gebruikers wanneer ze zich aanmelden, en gebruiken vervolgens SAML om deze verificatiegegevens door te geven aan de serviceprovider die de site, service of app uitvoert waartoe de gebruiker toegang wil krijgen.

Waarvoor wordt SAML gebruikt?

SAML helpt de beveiliging van bedrijven te versterken en vereenvoudigt het aanmeldingsproces voor werknemers, partners en klanten. Organisaties gebruiken het om eenmalige aanmelding mogelijk te maken. Dit stelt personen in staat om één gebruikersnaam en wachtwoord te gebruiken voor toegang tot meerdere sites, services en apps. Als personen minder wachtwoorden hoeven te onthouden is dat niet alleen gemakkelijker voor hen, maar het verkleint ook het risico dat een van deze wachtwoorden wordt gestolen. Organisatie kunnen ook beveiligingsstandaarden instellen voor verificatie bij hun verschillende SAML-apps. Ze kunnen bijvoorbeeld meervoudige verificatie vereisen voordat mensen toegang krijgen tot het on-premises netwerk en apps zoals Salesforce, Concur en Adobe. 

 

SAML helpt organisaties om te volgende use cases aan te pakken:

 

Identiteits- en toegangsbeheer samenvoegen:

Door verificatie en autorisatie te beheren in één systeem kunnen IT-teams veel tijd besparen die ze anders moeten besteden aan gebruikersinrichting en identiteitsrecht.

 

Zero Trust inschakelen:

Een Zero Trust-beveiligingsstrategie vereist dat organisaties elke toegangsaanvraag verifiëren en toegang tot gevoelige informatie beperken tot slechts de personen die het nodig hebben. Technische teams kunnen SAML gebruiken om beleid, zoals meervoudige verificatie en voorwaardelijke toegang, in te stellen voor al hun apps. Ze kunnen ook striktere beveiligingsmaatregelen, zoals het afdwingen van het opnieuw instellen van wachtwoorden, inschakelen wanneer het risico van een gebruiker is verhoogd op basis van gedrag, apparaat of locatie.

 

De werknemerservaring verrijken:

Naast eenvoudigere toegang voor werknemers krijgen IT-teams ook de mogelijkheid om aanmeldingspagina's aan te passen, om een consistente ervaring te creëren voor alle apps. Werknemers besparen ook tijd met selfservice-ervaringen die hen in staat stellen hun wachtwoorden eenvoudig opnieuw in te stellen.

Wat is een SAML-provider?

Een SAML-provider is een systeem dat gegevens over de verificatie en autorisatie van identiteiten deelt met andere providers. Er zijn twee typen SAML-providers:

  • Id-providers: deze verifiëren en autoriseren gebruikers. Ze bieden de aanmeldingspagina's waar gebruikers hun referenties kunnen invoeren. Ze dwingen ook beveiligingsbeleid af, bijvoorbeeld door meervoudige verificatie of het opnieuw instellen van een wachtwoord te vereisen. Zodra de gebruiker is geautoriseerd, geven id-providers de gegevens door aan serviceproviders .
  • Serviceproviders: dit zijn de apps en websites waartoe personen toegang willen krijgen. In plaats van te vereisen dat personen zich afzonderlijk aanmelden bij hun apps, configureren serviceproviders hun oplossingen zodat deze SAML-autorisatie vertrouwen. Ze zijn afhankelijk van id-providers om identiteiten te verifiëren en toegang te autoriseren. 

Hoe werkt SAML-verificatie?

Bij SAML-verificatie delen serviceproviders en id-providers aanmeldings- en gebruikersgegevens om te bevestigen dat elke persoon die toegang aanvraagt, is geverifieerd. Meestal gaat dat volgens deze stappen:

  1. Een werknemer begint met werken door zich aan te melden via de aanmeldingspagina die wordt aangeboden door de id-provider.
  2. De id-provider valideert de identiteit van de werknemer door een combinatie van verificatiegegevens te bevestigen, zoals gebruikersnaam, wachtwoord, pincode, apparaat of biometrische gegevens.
  3. De werknemer start een serviceprovider-app, zoals Microsoft Word of Workday. 
  4. De serviceprovider communiceert met de id-provider om te bevestigen dat de werknemer is gemachtigd voor toegang tot de app.
  5. De id-provider stuurt autorisatie en verificatie terug.
  6. De werknemer opent de app zonder zich nog een keer te hoeven aanmelden.
     

Wat is SAML-assertie?

SAML-assertie is het XML-document dat gegevens bevat die voor de serviceprovider bevestigen dat de persoon die zich wil aanmelden, is geverifieerd.

 

Er zijn drie soorten:

  • Verificatie-assertie: deze identificeert de gebruiker en omvat het tijdstip waarop deze zich heeft aangemeld en het type verificatie dat is gebruikt, zoals een wachtwoord of meervoudige verificatie
  • Attributie-assertie: deze geeft het SAML-token door aan de provider. Deze assertie omvat specifieke gegevens over de gebruiker.
  • Een assertie voor autorisatiebeslissing: deze laat de provider weten of de gebruiker is geverifieerd of dat deze is geweigerd, hetzij vanwege een probleem met de referenties of omdat de gebruiker niet is gemachtigd voor de service. 

SAML versus OAuth OAuth

Zowel SAML als OAuth maakt het gebruikers gemakkelijker om toegang te krijgen tot meerdere services, zonder zich te hoeven aanmelden bij elke afzonderlijke service. Maar de twee protocollen gebruiken verschillende technologieën en processen. SAML gebruikt XML om personen in staat te stellen dezelfde referenties te gebruiken voor toegang tot meerdere services, terwijl OAuth autorisatiegegevens doorgeeft met behulp van JWT of JavaScript Object Notation.


In OAuth kiezen mensen ervoor om zich aan te melden bij een service met behulp van autorisatie via derden, zoals een Google- of Facebook-account, in plaats van een nieuwe combinatie gebruikersnaam/wachtwoord te maken voor de service. Autorisatie wordt doorgegeven terwijl het wachtwoord van de gebruiker is beschermd.

De rol van SAML voor bedrijven

SAML helpt bedrijven om productiviteit en beveiliging mogelijk te maken op hun hybride werkplekken. Nu meer mensen extern werken is het essentieel dat zij eenvoudig vanaf elke locatie toegang kunnen krijgen tot bedrijfsresources. Zonder de juiste besturingselementen voor beveiliging verhoogt eenvoudige toegang echter het risico op een schending. Met SAML kunnen organisaties de aanmeldingsprocedure stroomlijnen voor werknemers, terwijl ze sterk beleid, zoals meervoudige verificatie en voorwaardelijke toegang, afdwingen voor alle apps die hun werknemers gebruiken.


Om aan de slag te gaan moeten organisaties investeren in een id-provider, zoals Azure AD. Azure AD beschermt gebruikers en gegevens met ingebouwde beveiliging en voegt alle identiteitsbeheer samen in één oplossing. Selfservice en eenmalige aanmelding maken het eenvoudig en handig voor werknemers om productief te blijven. Bovendien omvat Azure AD vooraf gebouwde SAML-integratie met duizenden apps, zoals Zoom, DocuSign, SAP Concur, Workday en AWS (Amazon Web Services).

Meer informatie over Microsoft Beveiliging

Veelgestelde vragen

|

SAML omvat de volgende onderdelen:

  • Id-serviceproviders: deze verifiëren en autoriseren gebruikers. Ze bieden de aanmeldingspagina waarop mensen hun referenties invoeren en ze dwingen beveiligingsbeleid af, zoals het vereisen van meervoudige verificatie of het opnieuw instellen van een wachtwoord. Zodra de gebruiker is geautoriseerd, geven de id-providers de gegevens door aan serviceproviders.
  • Serviceproviders: dit zijn de apps en websites waartoe personen toegang willen krijgen. In plaats van te vereisen dat personen zich afzonderlijk aanmelden bij hun apps, configureren serviceproviders hun oplossingen zodat deze SAML-autorisatie vertrouwen. Ze zijn afhankelijk van id-providers om identiteiten te verifiëren en toegang te autoriseren.
  • Metagegevens: beschrijft hoe id-providers en serviceproviders asserties uitwisselen, waaronder eindpunten en technologie.
  • Assertie: de verificatiegegevens die voor de serviceprovider bevestigen dat de persoon die zich wil aanmelden, is geverifieerd.
  • Handtekeningcertificaten: brengen vertrouwen tot stand tussen de id-provider en de serviceprovider, door te bevestigen dat de assertie niet is gemanipuleerd tijdens de overdracht tussen de twee providers.
  • Systeemklok: deze laat zien dat de serviceprovider en id-provider dezelfde tijd hebben, om te beveiligen tegen replay-aanvallen.

SAML biedt organisaties, hun werknemers en partners de volgende voordelen:

  • Verbeterde gebruikerservaring. SAML stelt organisaties in staat om een ervaring voor eenmalige aanmelding te creëren, zodat werknemers en partners zich maar één keer hoeven aan te melden om toegang te krijgen tot al hun apps. Dit maakt werken eenvoudiger en handiger, omdat er minder wachtwoorden zijn om te onthouden, en werknemers zich niet telkens opnieuw hoeven aan te melden wanneer ze schakelen tussen hulpprogramma's.
  • Verbeterde beveiliging. Minder wachtwoorden verkleinen het risico op gecompromitteerde accounts. Daarnaast kunnen beveiligingsteams SAML gebruiken om krachtig beveiligingsbeleid toe te passen op al hun apps. Ze kunnen bijvoorbeeld meervoudige verificatie voor aanmelden vereisen, of beleid voor voorwaardelijke toegang toepassen op basis waarvan wordt beperkt tot welke apps en gegevens personen toegang hebben.
  • Geïntegreerd beheer. Door gebruik te maken van SAML beheren technische teams identiteiten en beveiligingsbeleid in één oplossing, in plaats van afzonderlijke beheerconsoles te moeten gebruiken voor elke app. Dit vereenvoudigt de inrichting van gebruikers aanzienlijk.

SAML is een open standaard-XML-technologie die id-providers, zoals Azure AD (Azure Active Directory), in staat stelt om verificatiegegevens door te geven aan een serviceprovider, zoals een Software as a Service-app.

 

Bij eenmalige aanmelding melden personen zich één keer aan, en krijgen ze vervolgens toegang tot verschillende websites en apps. SAML maakt eenmalige aanmelding mogelijk, maar het is ook mogelijk om eenmalige aanmelding te implementeren met andere technologieën.

LDAP (Lightweight Directory Access Protocol) is een protocol voor identiteitsbeheer dat wordt gebruikt voor verificatie en autorisatie van gebruikersidentiteiten. Veel serviceproviders ondersteunen LDAP, daarom kan het een goede oplossing zijn voor eenmalige aanmelding. Omdat het echter een oudere technologie is, werkt het niet zo goed met webtoepassingen.

 

SAML is een nieuwere technologie die beschikbaar is voor de meeste web- en cloudtoepassingen, wat het een populairdere keuze maakt voor gecentraliseerd identiteitsbeheer.

Meervoudige verificatie is een beveiligingsmaatregel die vereist dat mensen meer dan één factor gebruiken om hun identiteit te bewijzen. Meestal vereist het iets wat de persoon heeft, zoals een apparaat, plus iets wat deze weet, zoals een wachtwoord of pincode. SAML stelt technische teams in staat om meervoudige verificatie toe te passen op meerdere websites en apps. Ze kunnen ervoor kiezen om dit verificatieniveau toe te passen op alle apps die zijn geïntegreerd met SAML of ze kunnen meervoudige verificatie wel afdwingen voor bepaalde apps maar niet voor andere.