O que é SAML?

Saiba como o protocolo padrão do setor, SAML (Security Assertion Markup Language), fortalece as medidas de segurança e melhora as experiências de logon.

Definição de SAML

O SAML é a tecnologia subjacente que permite que as pessoas façam logon uma vez usando um conjunto de credenciais e acessem vários aplicativos. Provedores de identidade, como o Azure AD (Azure Active Directory), verificam os usuários quando eles entram e usam SAML para passar esses dados de autenticação para o provedor de serviços que executa o site, serviço ou aplicativo que os usuários desejam acessar.

Para que serve o SAML?

O SAML ajuda a fortalecer a segurança das empresas e simplifica o processo de logon para funcionários, parceiros e clientes. As organizações o usam para habilitar o logon único, que permite que as pessoas usem um nome de usuário e senha para acessar vários sites, serviços e aplicativos. Diminuir o número de senhas que as pessoas devem memorizar não só facilita o trabalho delas como também reduz o risco de que uma dessas senhas seja roubada. As organizações também podem definir padrões de segurança para autenticações nos aplicativos habilitados para SAML. Por exemplo, elas podem exigir autenticação multifator antes que as pessoas acessem a rede e os aplicativos locais, como Salesforce, Concur e Adobe. 

 

O SAML ajuda as organizações a abordar os seguintes casos de uso:

 

Unifique o gerenciamento de identidade e acesso:

Ao gerenciar a autenticação e a autorização em um sistema, as equipes de TI podem reduzir significativamente o tempo gasto no provisionamento de usuários e direitos de identidade.

 

Habilite a Confiança Zero:

Uma estratégia de segurança de Confiança Zero exige que as organizações verifiquem todas as solicitações e limitem o acesso a informações confidenciais apenas às pessoas que precisam delas. As equipes de tecnologia podem usar o SAML para definir políticas, como autenticação multifator e acesso condicional, para todos os aplicativos. Elas também podem habilitar medidas de segurança mais rígidas, como forçar uma redefinição de senha, quando o risco de um usuário é elevado com base no comportamento, no dispositivo ou na localização dele.

 

Enriqueça a experiência do funcionário:

Além de simplificar o acesso para os funcionários, as equipes de TI também podem marcar páginas de logon para criar uma experiência consistente em todos os aplicativos. Os funcionários também economizam tempo com experiências de autoatendimento que permitem redefinir facilmente suas senhas.

O que é um provedor de SAML?

Um provedor de SAML é um sistema que compartilha dados de autenticação e autorização de identidade com outros provedores. Há dois tipos de provedores de SAML:

  • Provedores de identidade autenticam e autorizam usuários. Eles fornecem a página de logon na qual as pessoas inserem as credenciais. Eles também impõem políticas de segurança, como autenticação multifator ou redefinição de senha. Uma vez que o usuário é autorizado, os provedores de identidade passam os dados para os provedores de serviços. 
  • Provedores de serviço são os aplicativos e sites que as pessoas desejam acessar. Em vez de exigir que as pessoas façam logon em seus aplicativos individualmente, os provedores de serviços configuram suas soluções para confiar na autorização de SAML e contar com os provedores de identidade para verificá-las de modo a autorizar o acesso. 

Como funciona a autenticação SAML?

Na autenticação de SAML, provedores de serviços e de identidade compartilham dados de logon e de usuário para confirmar se cada pessoa que solicita acesso está autenticada. Ela normalmente segue os seguintes passos:

  1. Um funcionário começa a trabalhar fazendo logon usando a página fornecida pelo provedor de identidade.
  2. O provedor de identidade valida se o funcionário é quem diz ser, confirmando uma combinação de detalhes de autenticação, como nome de usuário, senha, PIN, dispositivo ou dados biométricos.
  3. O funcionário inicia um aplicativo de provedor de serviços, como Microsoft Word ou Workday. 
  4. O provedor de serviços se comunica com o provedor de identidade para confirmar se o funcionário está autorizado a acessar esse aplicativo.
  5. Os provedores de identidade enviam autorização e autenticação de volta.
  6. O funcionário acessa o aplicativo sem fazer logon uma segunda vez.
     

O que é declaração de SAML?

A declaração de SAML é o documento XML que contém dados que confirmam ao provedor de serviços que a pessoa que está entrando foi autenticada.

 

Há três tipos:

  • Declaração de autenticação identifica o usuário e inclui a hora em que a pessoa fez logon e o tipo de autenticação usada, como uma senha ou autenticação multifator
  • Declaração de atribuição passa o token de SAML para o provedor. Essa declaração inclui dados específicos sobre o usuário.
  • Uma declaração de decisão de autorização informa ao provedor de serviços se o usuário está autenticado ou se foi negado devido a um problema com suas credenciais ou porque não tem permissões para esse serviço. 

SAML vs. OAuth

Tanto o SAML quanto o OAuth facilitam o acesso das pessoas a vários serviços sem que elas precisem fazer logon em cada um separadamente, mas os dois protocolos usam tecnologia e processos diferentes. O SAML usa o XML para permitir que as pessoas usem as mesmas credenciais para acessar vários serviços, enquanto o OAuth passa dados de autorização usando JWT ou JavaScript Object Notation.


No OAuth, as pessoas optam por fazer logon em um serviço usando autorização de terceiros, como contas do Google ou do Facebook, em vez de criar um novo nome de usuário ou senha para o serviço. A autorização é aprovada ao mesmo tempo que protege a senha do usuário.

A função do SAML para a empresa

O SAML ajuda as empresas a aumentar a produtividade e a segurança em seus locais de trabalho híbridos. Com cada vez mais pessoas trabalhando remotamente, é fundamental capacitá-las a acessar facilmente os recursos da empresa de qualquer lugar, mas se os controles de segurança de acesso corretos não estiverem implementados, os riscos de uma violação aumentarão. Com o SAML, as organizações podem agilizar o processo de entrada dos funcionários ao mesmo tempo em que aplicam políticas fortes, como autenticação multifator e acesso condicional nos aplicativos que seus funcionários usam.


Para começar, as organizações devem investir em uma solução de provedor de identidade, como o Azure AD. O Azure AD protege usuários e dados com segurança interna e unifica o gerenciamento de identidade em uma única solução. O autoatendimento e o logon único facilitam a produtividade dos funcionários de forma conveniente. Além disso, o Azure AD vem com integração ao SAML predefinida com milhares de aplicativos, como Zoom, DocuSign, SAP Concur, Workday e AWS (Amazon Web Services).

Saiba mais sobre a Segurança da Microsoft

Perguntas frequentes

|

O SAML inclui os seguintes componentes:

  • Provedores de serviço de identidade autenticam e autorizam usuários. Eles fornecem a página de logon na qual as pessoas inserem as credenciais e impõem políticas de segurança, como autenticação multifator ou redefinição de senha. Uma vez que o usuário é autorizado, os provedores de identidade passam os dados para os provedores de serviços.
  • Provedores de serviço são os aplicativos e sites que as pessoas desejam acessar. Em vez de exigir que as pessoas façam logon em seus aplicativos individualmente, os provedores de serviços configuram suas soluções para confiar na autorização de SAML e contar com os provedores de identidade para verificar identidades de modo a autorizar o acesso.
  • Metadados descrevem como provedores de identidade e de serviços trocarão declarações, incluindo pontos de extremidade e tecnologia.
  • Declaração consiste nos dados de autenticação que confirmam ao provedor de serviços que a pessoa que está entrando foi autenticada.
  • Certificado de autenticação estabelece confiança entre os provedores de identidade e de serviços, confirmando que a declaração não foi manipulada durante a viagem entre os dois provedores.
  • O relógio do sistema confirma que os provedores de serviços e de identidade têm o mesmo tempo para oferecer proteção contra ataques de repetição.

O SAML oferece os seguintes benefícios às organizações, seus funcionários e parceiros:

  • Experiência de usuário aprimorada. O SAML permite que as organizações criem uma experiência de logon único para que funcionários e parceiros façam logon uma vez e tenham acesso a todos os aplicativos. Isso facilita o trabalho e o torna conveniente porque há menos senhas para memorizar e os funcionários não precisam fazer logon sempre que trocarem de ferramenta.
  • Segurança aprimorada. Menos senhas reduzem o risco do comprometimento de contas. Além disso, as equipes de segurança podem usar o SAML para aplicar uma política de segurança forte a todos os seus aplicativos. Por exemplo, eles podem exigir autenticação multifator para fazer logon ou aplicar políticas de acesso condicional que limitem quais aplicativos e dados as pessoas podem acessar.
  • Gerenciamento unificado. Com o SAML, as equipes de tecnologia podem gerenciar identidades e políticas de segurança em uma única solução, em vez de usar consoles de gerenciamento separados para cada aplicativo. Isso simplifica significativamente o provisionamento de usuários.

O SAML é uma tecnologia em XML de padrão aberto que permite que provedores de identidade, como o Azure AD (Azure Active Directory), passem dados de autenticação para um provedor de serviços, como um aplicativo de software como serviço.

 

O logon único é quando as pessoas fazem login uma vez e obtêm acesso a vários sites e aplicativos diferentes. O SAML habilita o logon único, mas é possível implantá-lo com outras tecnologias.

O LDAP (Lightweight Directory Access Protocol) é um protocolo de gerenciamento de identidade usado para autenticação e autorização de identidades de usuários. Muitos provedores de serviços oferecem suporte a LDAP. Portanto, ele pode ser uma boa solução de logon único, no entanto, por ser uma tecnologia mais antiga, ele não funciona tão bem com aplicativos Web.

 

O SAML é uma tecnologia mais recente que está disponível na maioria dos aplicativos Web e em nuvem, o que faz dele a escolha mais popular para gerenciamento de identidade centralizado.

A autenticação multifator é uma medida de segurança que exige que as pessoas usem mais de um fator para provar a identidade delas. Normalmente, isso requer acesso a um objeto do usuário, como um dispositivo, e a um dado de conhecimento do usuário, como uma senha ou PIN. O SAML permite que as equipes de tecnologia apliquem a autenticação multifator a vários sites e aplicativos. Eles podem optar por aplicar esse nível de autenticação a todos os aplicativos integrados ao SAML ou podem aplicar a autenticação multifator para alguns aplicativos, mas não para outros.