Co to jest protokół SAML?

Dowiedz się, jak standardowy protokół branżowy SAML (Security Assertion Markup Language) wzmacnia zabezpieczenia i usprawnia obsługę logowania.

Definicja protokołu SAML

Protokół SAML to podstawowa technologia, która umożliwia jednokrotne logowanie się przy użyciu jednego zestawu poświadczeń oraz uzyskiwanie dostępu do wielu aplikacji. Dostawcy tożsamości, tacy jak usługa Azure Active Directory (Azure AD), weryfikują użytkowników podczas logowania, a następnie używają protokołu SAML w celu przekazywania danych uwierzytelniających do usługodawcy obsługującego witrynę, usługę lub aplikację, do której użytkownicy chcą uzyskać dostęp.

Do czego służy protokół SAML?

Protokół SAML pomaga wzmocnić bezpieczeństwo firm oraz uprościć proces logowania dla pracowników, partnerów i klientów. Organizacje używają go, aby umożliwić logowanie jednokrotne, które pozwala uzyskiwać dostęp do wielu witryn, usług i aplikacji za pomocą jednej nazwy użytkownika i hasła. Zmniejszenie liczby haseł, które muszą zapamiętywać użytkownicy, jest nie tylko łatwiejsze dla nich, ale też zmniejsza ryzyko kradzieży tych haseł. Organizacje mogą też ustalić standardy zabezpieczeń dotyczące uwierzytelniania w swoich aplikacjach z obsługą protokołu SAML. Na przykład mogą wymagać uwierzytelniania wieloskładnikowego, zanim użytkownicy uzyskają dostęp do lokalnej sieci i aplikacji, takich jak Salesforce, Concur i Adobe. 

 

Protokół SAML pomaga organizacjom w następujących przypadkach użycia:

 

Ujednolicenie zarządzania tożsamościami i dostępem:

Zarządzając uwierzytelnianiem i autoryzacją w jednym systemie, zespoły IT mogą znacznie zmniejszyć czas, jaki poświęcają na autoryzację użytkowników i nadawanie uprawnień tożsamości.

 

Udostępnienie modelu Zero Trust:

Strategia zabezpieczeń Zero Trust wymaga, aby organizacje weryfikowały każde żądanie dostępu i ograniczały dostęp do informacji poufnych tylko do osób, które go potrzebują. Zespoły techniczne mogą używać protokołu SAML do konfigurowania zasad, takich jak uwierzytelnianie wieloskładnikowe i dostęp warunkowy, dla wszystkich swoich aplikacji. Mogą też stosować bardziej rygorystyczne środki zabezpieczeń, takie jak wymuszanie resetowania hasła, gdy ryzyko użytkownika jest podwyższone na podstawie jego zachowania, urządzenia lub lokalizacji.

 

Poprawa doświadczeń pracowników:

Oprócz uproszczenia dostępu dla pracowników, zespoły IT mogą oznaczać strony logowania elementami marki, aby zapewnić spójne środowisko w różnych aplikacjach. Pracownicy oszczędzają też czas dzięki samoobsłudze, która umożliwia im łatwe resetowanie haseł.

Co to jest dostawca SAML?

Dostawca SAML to system, który udostępnia dane uwierzytelniania i autoryzacji tożsamości innym dostawcom. Są dwa typy dostawców SAML:

  • Dostawcy tożsamości uwierzytelniają i autoryzują użytkowników. Udostępniają stronę logowania, na której użytkownicy wprowadzają swoje poświadczenia. Wymuszają też zasady zabezpieczeń, na przykład przez wymaganie uwierzytelniania wieloskładnikowego lub resetowania haseł. Po autoryzacji użytkownika dostawcy tożsamości przekazują dane do usługodawców. 
  • Usługodawcy udostępniają aplikacje i witryny internetowe, do których użytkownicy chcą uzyskiwać dostęp. Zamiast wymagać od użytkowników indywidualnego logowania się do aplikacji, usługodawcy konfigurują swoje rozwiązania tak, aby ufały autoryzacji SAML oraz polegały na dostawcach tożsamości w celu weryfikowania tożsamości i autoryzowania dostępu. 

Jak działa uwierzytelnianie przy użyciu protokołu SAML?

Podczas uwierzytelniania przy użyciu protokołu SAML usługodawcy i dostawcy tożsamości wymieniają się danymi dotyczącymi logowania i danymi użytkowników, aby zapewnić, że każda osoba żądająca dostępu zostanie uwierzytelniona. Zazwyczaj przebiega to w następujących etapach:

  1. Pracownik rozpoczyna pracę od zalogowania się za pomocą strony logowania udostępnionej przez dostawcę tożsamości.
  2. Dostawca tożsamości weryfikuje, czy pracownik jest tym, za kogo się podaje, przez potwierdzenie kombinacji danych uwierzytelniania, takich jak nazwa użytkownika, hasło, numer PIN, urządzenie lub dane biometryczne.
  3. Pracownik uruchamia aplikację usługodawcy, taką jak Microsoft Word lub Workday. 
  4. Usługodawca komunikuje się z dostawcą tożsamości, aby potwierdzić, że pracownik ma autoryzację dostępu do tej aplikacji.
  5. Dostawca tożsamości odsyła dane autoryzacji i uwierzytelniania.
  6. Pracownik uzyskuje dostęp do aplikacji bez logowania się po raz drugi.
     

Co to jest asercja protokołu SAML?

Asercja protokołu SAML to dokument XML zawierający dane, które potwierdzają usługodawcy, że logująca się osoba została uwierzytelniona.

 

Istnieją trzy typy:

  • Asercja uwierzytelniania identyfikuje użytkownika oraz zawiera czas, w którym dana osoba się zalogowała, oraz typ uwierzytelniania, którego użyła, taki jak hasło lub uwierzytelnianie wieloskładnikowe
  • Asercja atrybutów przekazuje token SAML do dostawcy. Ta asercja zawiera określone dane o użytkowniku.
  • Asercja decyzji o autoryzacji informuje usługodawcę, czy użytkownik został uwierzytelniony, czy otrzymał odmowę z powodu problemu z jego poświadczeniami lub z powodu braku uprawnień do danej usługi. 

Protokół SAML a protokół OAuth

Zarówno protokół SAML, jak i protokół OAuth ułatwia użytkownikom dostęp do wielu usług bez logowania się do każdej z nich osobno, ale oba protokoły korzystają z różnych technologii i procesów. Protokół SAML używa języka XML, aby umożliwić używanie tych samych poświadczeń w celu uzyskiwania dostępu do wielu usług, natomiast protokół OAuth przekazuje dane autoryzacji w formacie JWT lub JavaScript Object Notation.


W protokole OAuth użytkownicy mogą logować się do usługi za pomocą autoryzacji innej firmy, na przykład konta Google lub Facebook, zamiast tworzyć nową nazwę użytkownika lub hasło do usługi. Autoryzacja jest przekazywana przy jednoczesnej ochronie hasła użytkownika.

Rola protokołu SAML w firmach

Protokół SAML pomaga firmom zapewnić zarówno wydajność, jak i bezpieczeństwo w hybrydowych miejscach pracy. Ponieważ coraz więcej ludzi pracuje zdalnie, niezwykle ważne jest umożliwienie im łatwego dostępu do zasobów firmy z dowolnego miejsca, ale bez odpowiednich mechanizmów kontroli zabezpieczeń łatwy dostęp zwiększa ryzyko naruszenia. Dzięki protokołowi SAML organizacje mogą usprawnić proces logowania pracowników, jednocześnie wymuszając silne zasady, takie jak uwierzytelnianie wieloskładnikowe i dostęp warunkowy w aplikacjach, z których korzystają ich pracownicy.


Aby rozpocząć, organizacje powinny zainwestować w rozwiązanie oparte na dostawcy tożsamości, takie jak usługa Azure AD. Usługa Azure AD chroni użytkowników i dane za pomocą wbudowanych zabezpieczeń oraz ujednolica zarządzanie tożsamościami w ramach jednego rozwiązania. Samoobsługa i logowanie jednokrotne sprawiają, że pracownicy mogą łatwo i wygodnie zapewnić produktywność. Ponadto usługa Azure AD ma wbudowaną integrację przy użyciu protokołu SAML z tysiącami aplikacji, takich jak Zoom, DocuSign, SAP Concur, Workday i Amazon Web Services (AWS).

Dowiedz się więcej o rozwiązaniach zabezpieczających firmy Microsoft

Często zadawane pytania

|

Protokół SAML obejmuje następujące składniki:

  • Dostawcy usług tożsamości uwierzytelniają i autoryzują użytkowników. Udostępniają oni stronę logowania, na której użytkownicy wprowadzają swoje poświadczenia, oraz wymuszają zasady zabezpieczeń, na przykład przez wymaganie uwierzytelniania wieloskładnikowego lub resetowania haseł. Po autoryzacji użytkownika dostawcy tożsamości przekazują dane do usługodawców.
  • Usługodawcy udostępniają aplikacje i witryny internetowe, do których użytkownicy chcą uzyskiwać dostęp. Zamiast wymagać od użytkowników indywidualnego logowania się do aplikacji, usługodawcy konfigurują swoje rozwiązania tak, aby ufały autoryzacji SAML oraz polegały na dostawcach tożsamości w celu weryfikowania tożsamości i autoryzowania dostępu.
  • Metadane opisują, w jaki sposób dostawcy tożsamości i usługodawcy wymieniają się asercjami, w tym punkty końcowe i technologię.
  • Asercja to dane uwierzytelniające, które potwierdzają usługodawcy, że logująca się osoba została uwierzytelniona.
  • Certyfikaty podpisywania ustanawiają zaufanie między dostawcą tożsamości a usługodawcą przez potwierdzenie, że asercja nie została zmanipulowana podczas przesyłania między tymi dwoma dostawcami.
  • Zegar systemowy potwierdza zgodność czasu u usługodawcy i dostawcy tożsamości, aby zapewnić ochronę przed atakami przez odtwarzanie.

Protokół SAML oferuje następujące korzyści dla organizacji oraz ich pracowników i partnerów:

  • Lepsza obsługa użytkowników. Protokół SAML pozwala organizacjom utworzyć środowisko logowania jednokrotnego, dzięki czemu pracownicy i partnerzy mogą logować się raz i uzyskiwać dostęp do wszystkich swoich aplikacji. Dzięki temu praca jest łatwiejsza i wygodniejsza, ponieważ jest mniej haseł do zapamiętania, a pracownicy nie muszą się logować za każdym razem, gdy zmieniają narzędzia.
  • Ulepszone zabezpieczenia. Mniejsza liczba haseł zmniejsza ryzyko naruszenia zabezpieczeń kont. Ponadto, zespoły ds. zabezpieczeń mogą używać protokołu SAML w celu stosowania silnych zasad zabezpieczeń do wszystkich swoich aplikacji. Mogą na przykład wymagać uwierzytelniania wieloskładnikowego przy logowaniu albo stosować zasady dostępu warunkowego ograniczające aplikacje i dane, do których mogą uzyskiwać dostęp użytkownicy.
  • Ujednolicone zarządzanie. Za pomocą protokołu SAML zespoły techniczne mogą zarządzać tożsamościami i zasadami zabezpieczeń w jednym rozwiązaniu, zamiast korzystać z oddzielnych konsol zarządzania dla każdej aplikacji. Znacznie upraszcza to aprowizację użytkowników.

Protokół SAML jest otwartym standardem technologii XML, który umożliwia dostawcom tożsamości, takim jak usługa Azure Active Directory (Azure AD), przekazywanie danych uwierzytelniania do usługodawcy, takiego jak aplikacja w modelu oprogramowanie jako usługa.

 

Logowanie jednokrotne polega na tym, że użytkownicy logują się raz, a następnie uzyskują dostęp do różnych witryn internetowych i aplikacji. Protokół SAML umożliwia logowanie jednokrotne, ale można wdrożyć taką funkcję przy użyciu innych technologii.

LDAP (Lightweight Directory Access Protocol) to protokół zarządzania tożsamościami, który służy do uwierzytelniania i autoryzacji tożsamości użytkowników. Wielu usługodawców obsługuje protokół LDAP, więc może to być dobre rozwiązanie do logowania jednokrotnego, jednak jest to starsza technologia, więc nie działa tak dobrze z aplikacjami internetowymi.

 

Protokół SAML to nowsza technologia, która jest dostępna w większości aplikacji internetowych i chmurowych, co czyni ją popularniejszą opcją do scentralizowanego zarządzania tożsamościami.

Uwierzytelnianie wieloskładnikowe to środek zabezpieczeń, który wymaga od użytkowników stosowania więcej niż jednego składnika w celu potwierdzenia tożsamości. Zazwyczaj wymaga ono czegoś, co dana osoba posiada (np. urządzenia), oraz czegoś, co ta osoba zna (np. hasła lub numeru PIN). Protokół SAML umożliwia zespołom technicznym stosowanie uwierzytelniania wieloskładnikowego w wielu witrynach internetowych i aplikacjach. Mogą one stosować taki poziom uwierzytelniania do wszystkich aplikacji zintegrowanych z protokołem SAML albo wymuszać uwierzytelnianie wieloskładnikowe tylko dla niektórych aplikacji.