Что такое SAML?

Узнайте, как отраслевой стандарт под названием "язык разметки заявлений системы безопасности (SAML)" усиливает корпоративную защиту и упрощает вход в службы.

О SAML в двух словах

Язык разметки заявлений системы безопасности (SAML) — это базовая технология, позволяющая работать с несколькими разными приложениями под одним набором учетных данных. Вход в учетную запись требуется выполнить только один раз. Azure Active Directory (Azure AD) и другие поставщики удостоверений сначала проверяют подлинность пользователя при входе, а затем посредством SAML передают эти данные поставщику услуг, управляющему сайтом, службой или приложением, доступ к которым интересует пользователя.

Зачем используется SAML?

SAML помогает компаниям усилить безопасность инфраструктуры, а сотрудникам, партнерам и клиентам — легко входить во все нужные приложения. Этот язык нужен для единого входа на разные корпоративные сайты, в службы и приложения под одним именем пользователя и паролем. Так людям придется запоминать намного меньше паролей. Это и проще, и безопаснее: ведь так ниже риск, что пароль украдут. В корпоративных приложениях с SAML также можно настраивать стандарты безопасности проверок подлинности. Например, так можно ввести обязательную многофакторную проверку подлинности перед входом в локальные сети и приложения: Salesforce, Concur, Adobe и т. д. 

 

В корпоративной среде SAML используется для следующих задач.

 

Унификация управления идентификацией и доступом

Когда проверка подлинности и авторизация администрируются централизованно, в одной системе, это заметно ускоряет подготовку пользователей и управление правами для удостоверений. Такая система ощутимо экономит время сотрудников ИТ-отделов.

 

Внедрение стратегии "Никому не доверяй"

Стратегия безопасности "Никому не доверяй" требует проверять каждый запрос на доступ в корпоративных сетях и предоставлять доступ к конфиденциальной информации только людям, которым она действительно нужна. Технические специалисты используют SAML при настройке политик многофакторной проверки подлинности, условного доступа и т. д. для всех своих приложений. Таким образом можно и усиливать меры безопасности: например, если система оценивает уровень риска как повышенный из-за устройства, расположения или действий пользователя, она может требовать сброса пароля.

 

Комфорт сотрудников

Ваши ИТ-специалисты смогут не только упростить сотрудникам вход в службы, но и настроить для всех приложений страницу входа в едином корпоративном стиле. А самостоятельный сброс паролей сэкономит сотрудникам много времени.

Что такое поставщик SAML?

Поставщик SAML — это система, передающая другим поставщикам данные о проверке подлинности и авторизации удостоверений. Существует два типа поставщиков SAML:

  • Поставщики удостоверений проверяют подлинность пользователей и авторизуют их. Такой поставщик предоставляет страницу входа, на которой люди вводят учетные данные. Он же обеспечивает обязательное применение политик безопасности — например, требует пройти многофакторную проверку подлинности или сбросить пароль. После авторизации пользователя поставщик удостоверений передает эти данные поставщикам услуг. 
  • Поставщики услуг управляют приложениями и сайтами. Обычно для входа в каждую такую службу нужно отдельно вводить учетные данные. Но поставщики услуг могут настроить свои решения так, чтобы те доверяли SAML-авторизации. Тогда проверять удостоверения и авторизовать доступ будут поставщики удостоверений. 

Как работает проверка подлинности с помощью SAML?

Когда подлинность проверяется с помощью SAML, поставщики услуг и удостоверений обмениваются учетными и пользовательскими данными, проверяя, прошел ли проверку подлинности каждый человек, запрашивающий доступ. Обычно этот процесс состоит из следующих этапов.

  1. Сотрудник входит на предоставленной поставщиком удостоверений странице.
  2. Для проверки того, действительно ли сотрудник тот, за кого себя выдает, поставщик удостоверений оценивает разные параметры: имя пользователя, пароль, ПИН-код, устройство, биометрические данные.
  3. Сотрудник открывает приложение, предоставленное поставщиком услуг: Microsoft Word, Workday и т. д. 
  4. Поставщик услуг обменивается данными с поставщиком удостоверений, проверяя, есть ли у сотрудника права на доступ к этому приложению.
  5. Поставщики удостоверений присылают данные об авторизации и проверке подлинности.
  6. Сотрудник начинает работать в приложении, не вводя учетные данные лишний раз.
     

Что такое проверочные утверждения SAML?

Проверочное утверждение SAML — это XML-документ с данными, подтверждающими поставщику услуг, что входящий пользователь прошел проверку подлинности.

 

Существуют три типа таких утверждений.

  • Утверждение о проверке подлинности идентифицирует пользователя, показывает время входа и тип проверки (парольная, многофакторная и т. д.).
  • Утверждение об атрибуции передает поставщику токен SAML и содержит конкретные данные о пользователе.
  • Утверждение об итогах авторизации информирует поставщика услуг о том, удалось пользователю пройти проверку подлинности или нет (из-за проблем с учетными данными или отсутствия разрешений для соответствующей службы). 

Чем SAML отличается от OAuth

И SAML, и OAuth позволяют автоматически входить в разные службы, упрощая людям работу. Но в этих двух протоколах используются разные технологии и процессы. В SAML применяется XML, что позволяет использовать для доступа к разным службам одни и те же учетные данные. А в OAuth для передачи данных авторизации используется JWT или нотация объектов JavaScript.


В случае с OAuth люди не создают для определенной службы отдельное имя пользователя и пароль, а входят в нее через учетные записи в сторонних сервисах, например Google или Facebook. Это обеспечивает и авторизацию, и защиту пароля.

Роль SAML в бизнесе

SAML обеспечивает безопасную и продуктивную работу сотрудников в гибридном режиме. Сейчас все больше людей работает удаленно, и крайне важно гарантировать им легкий доступ к корпоративным ресурсам. Однако без эффективных настроек безопасности легкость доступа превращается в риск утечки. SAML позволяет упростить процесс входа сотрудников и внедрить обязательные политики, которые надежно защитят корпоративные приложения от несанкционированного доступа: многофакторную проверку подлинности, условный доступ и т. д.


Сначала компании следует приобрести решение для управления идентификацией и доступом — например, Azure AD. Такое решение позволяет централизованно управлять удостоверениями и предусматривает встроенную систему защиты пользователей и данных. Самообслуживание и единый вход намного упрощают сотрудникам работу. Кроме того, служба Azure AD уже настроена для SAML-интеграции с тысячами приложений: Zoom, DocuSign, SAP Concur, Workday, Amazon Web Services (AWS) и другими.

Дополнительные сведения о Microsoft Security

Вопросы и ответы

|

SAML включает следующие компоненты:

  • Поставщики удостоверений проверяют подлинность пользователей и авторизуют их. Такой поставщик предоставляет страницу входа, на которой люди вводят учетные данные. Он же обеспечивает обязательное применение политик безопасности — например, требует пройти многофакторную проверку подлинности или сбросить пароль. После авторизации пользователя поставщик удостоверений передает эти данные поставщикам услуг.
  • Поставщики услуг управляют приложениями и сайтами. Обычно для входа в каждую такую службу нужно отдельно вводить учетные данные. Но поставщики услуг могут настроить свои решения так, чтобы те доверяли SAML-авторизации. Тогда проверять удостоверения и авторизовать доступ будут поставщики удостоверений.
  • Метаданные описывают, как поставщики удостоверений и услуг обмениваются проверочными утверждениями (в том числе относительно конечных точек и технологий).
  • Проверочное утверждение — это данные, подтверждающие поставщику услуг, что входящий пользователь прошел проверку подлинности.
  • Сертификаты для подписи создают доверительные отношения между поставщиком удостоверений и поставщиком услуг, подтверждая, что при пересылке между ними в утверждение не вносились изменения.
  • Системные часы подтверждают, что поставщики услуг и удостоверений работают по одному времени. Это защищает от атак повторного воспроизведения.

Использование SAML дает организациям, их сотрудникам и партнерам следующие преимущества:

  • Комфортная работа. Благодаря единому входу на основе SAML сотрудники и партнеры смогут войти в учетную запись один раз и после этого свободно работать во всех нужных приложениях. Когда не требуется каждый раз заново входить в каждую службу, это делает работу намного проще и удобнее. К тому же чем меньше паролей, тем легче их запомнить.
  • Повышенная безопасность. Чем меньше паролей, тем меньше риск компрометации учетных записей. А специалисты по информационной безопасности с помощью SAML могут внедрять надежные политики для защиты всех корпоративных приложений. Например, так можно ввести обязательную многофакторную проверку подлинности при входе или политики условного доступа, ограничивающие доступ к приложениям и данным.
  • Единая система управления. SAML дает техническим специалистам возможность управлять удостоверениями и политиками безопасности централизованно, а не в отдельных консолях для каждого приложения. Это намного упрощает подготовку пользователей.

SAML — это XML-технология на основе открытых стандартов. Она позволяет поставщикам удостоверений, например Azure Active Directory (Azure AD), передавать данные о проверке подлинности поставщикам услуг (SaaS-приложениям и т. д.).

 

Единый вход — это когда человек входит в учетную запись только один раз и после этого получает доступ к нескольким разным сайтам и приложениям. Для единого входа можно использовать как SAML, так и другие технологии.

Протокол упрощенного доступа к каталогам (LDAP) используется для проверки подлинности и авторизации удостоверений пользователей. Многие поставщики услуг поддерживают протокол LDAP, поэтому его удобно использовать для единого входа. Но это старая технология, плохо работающая в веб-приложениях.

 

Технология SAML новее и работает с большинством облачных и веб-приложений, поэтому ее чаще используют для централизованного управления удостоверениями.

Многофакторная проверка подлинности — это мера безопасности, обязывающая людей подтверждать свою личность с помощью нескольких факторов. Обычно это фактор владения (устройство пользователя) и фактор знания (пароль или ПИН-код). Используя SAML, можно настраивать многофакторную проверку подлинности для нескольких сайтов и приложений. Например, технический специалист может сделать ее обязательной для всех приложений, интегрированных с SAML, или же только для отдельных приложений.