Čo je SAML?

Zistite, ako štandardný odvetvový protokol SAML (jazyk kontrolných výrazov zabezpečenia) posilňuje bezpečnostné opatrenia a zlepšuje prihlasovacie prostredia.

Definícia protokolu SAML

SAML je základná technológia, ktorá umožňuje ľuďom prihlasovať sa pomocou jednej množiny prihlasovacích údajov a pristupovať do viacerých aplikácií. Poskytovatelia identity, ako napríklad Azure Active Directory (Azure AD), overujú používateľov, keď sa prihlásia, a potom pomocou protokolu SAML odovzdávajú tieto overovacie údaje poskytovateľovi služieb prevádzkujúcemu lokalitu, službu alebo aplikáciu, ku ktorej chcú používatelia získať prístup.

Na čo sa používa SAML?

SAML pomáha posilňovať zabezpečenie podnikov a zjednodušovať proces prihlasovania zamestnancov, partnerov i zákazníkov. Organizácie SAML používajú na zabezpečenie jediné prihlásenie, ktoré umožňuje ľuďom používať jedno meno používateľa a jedno heslo na prístup k viacerým lokalitám, službám a aplikáciám. Zníženie počtu hesiel, ktoré si ľudia musia zapamätať, je nielen jednoduchšie, ale znižuje tiež riziko odcudzenia niektorého z týchto hesiel. Organizácie môžu tiež nastaviť bezpečnostné štandardy overovania v rámci svojich aplikácií s podporou protokolu SAML. Pred prístupom používateľov do lokálnych sietí a aplikácií, ako napríklad Salesforce, Concur a Adobe, môžu napríklad vyžadovať viacfaktorové overovanie

 

SAML pomáha organizáciám riešiť nasledujúce prípady použitia:

 

Zjednotenie správy identít a prístupu:

Spravovaním overovania a oprávnenia v jednom systéme môžu IT tímy výrazne skrátiť čas strávený zriaďovaním používateľov a udeľovaním nárokov na identitu.

 

Aktivovanie modelu nulovej dôvery (Zero Trust):

Stratégia zabezpečenia nulová dôvera (Zero Trust) vyžaduje, aby organizácie overovali každú žiadosť o prístup a obmedzovali prístup k citlivým informáciám len na ľudí, ktorí ich potrebujú. Technické tímy môžu používať SAML na nastavovanie politík, ako je napríklad viacfaktorové overovanie a podmienený prístup, do všetkých svojich aplikácií. Môžu tiež zaviesť prísnejšie bezpečnostné opatrenia, napríklad vynútenie resetovania hesla, keď je riziko používateľa väčšie na základe jeho správania, zariadenia alebo polohy.

 

Obohatenie prostredia zamestnancov:

Okrem zjednodušenia prístupu pracovníkov môžu tímy IT označovať prihlasovacie stránky a vytvárať tak konzistentné prostredie vo všetkých aplikáciách. Zamestnanci tiež ušetria čas vďaka samoobslužným funkciám, ktoré im umožňujú jednoducho resetovať heslá.

Čo je poskytovateľ SAML?

Poskytovateľ SAML je systém, ktorý zdieľa údaje overovania a oprávnenia identity s inými poskytovateľmi. Existujú dva typy poskytovateľov SAML:

  • Poskytovatelia identity overujú a oprávňujú používateľov. Poskytujú prihlasovaciu stránku, kde ľudia zadávajú svoje prihlasovacie údaje. Takisto presadzujú politiky zabezpečenia, napríklad vyžadovaním viacfaktorového overenia alebo resetovanie hesla. Keď už je používateľ oprávnený, poskytovateľ identity odovzdá údaje poskytovateľom služieb. 
  • Poskytovatelia služieb sú aplikácie a webové lokality, ku ktorým chcú mať ľudia prístup. Namiesto toho, aby sa používatelia museli do aplikácií prihlasovať individuálne, poskytovatelia služieb nakonfigurujú svoje riešenia tak, aby dôverovali oprávneniam SAML a spoliehali sa na poskytovateľov identity, ktorí overujú identity a oprávňujú prístup. 

Ako funguje overovanie SAML?

V rámci overovania SAML poskytovatelia služieb a poskytovatelia identity zdieľajú prihlasovacie a používateľské údaje, aby potvrdili, že každá osoba, ktorá požaduje prístup, je overená. Zvyčajne to prebieha podľa nasledujúcich krokov:

  1. Zamestnanec začne pracovať prihlásením sa na prihlasovacej stránke od poskytovateľa identity.
  2. Poskytovateľ identity overí, či je zamestnanec skutočne osobou, za ktorú sa vydáva, potvrdením kombinácie podrobností overovania, ako sú meno používateľa, heslo, PIN kód, zariadenie alebo biometrické údaje.
  3. Zamestnanec spustí aplikáciu poskytovateľa služieb, napríklad Microsoft Word alebo Workday. 
  4. Poskytovateľ služieb komunikuje s poskytovateľom identity, aby si potvrdil, že zamestnanec má oprávnenie na prístup k danej aplikácii.
  5. Poskytovatelia identity odošlú oprávnenie a overenie späť.
  6. Zamestnanec má prístup k aplikácii bez toho, aby sa musel druhýkrát prihlásiť.
     

Čo je kontrolný výraz SAML?

Kontrolný výraz SAML je dokument XML obsahujúci údaje, ktoré poskytovateľovi služieb potvrdzujú, že osoba, ktorá sa prihlasuje, bola overená.

 

Existujú tri typy:

  • Overovací kontrolný výraz identifikuje používateľa a obsahuje čas prihlásenia osoby a typ použitého overenia, ako napríklad heslo alebo viacfaktorové overenie
  • Kontrolný výraz priradenia odovzdáva token SAML poskytovateľovi. Tento kontrolný výraz obsahuje konkrétne údaje o používateľovi.
  • Kontrolný výraz rozhodnutia o oprávnení informuje poskytovateľa služieb o tom, či je používateľ overený alebo či je odmietnutý pre problémy s prihlasovacími údajmi alebo z dôvodu, že nemá povolenia pre danú službu. 

SAML verzus OAuth

SAML aj OAuth uľahčujú ľuďom prístup k viacerým službám bez samostatného prihlásenia do každej z nich, ale tieto dva protokoly používajú rôzne technológie a procesy. SAML používa jazyk XML, aby používatelia mohli používať rovnaké prihlasovacie údaje na prístup k viacerým službám, zatiaľ čo OAuth na odovzdávanie údajov oprávnenia používa JWT alebo JavaScript Object Notation.


Namiesto vytvorenia nového mena používateľa alebo hesla sa ľudia v štandarde OAuth prihlasujú do služby pomocou oprávnenia tretích strán, ako sú napríklad kontá Google alebo Facebook. Oprávnenie sa odovzdáva pri zachovaní ochrany hesla používateľa.

Rola protokolu SAML pre podniky

SAML pomáha podnikom zaisťovať produktivitu aj zabezpečenie na hybridných pracoviskách. S väčším množstvom ľudí pracujúcich na diaľku je veľmi dôležité umožniť im jednoduchý prístup k zdrojom spoločnosti odkiaľkoľvek. Bez správnych ovládacích prvkov zabezpečenia však jednoduchý prístup zvyšuje riziko narušenia zabezpečenia. Protokolom SAML môžu organizácie zjednodušiť proces prihlasovania zamestnancov a zároveň vynucovať účinné politiky, ako je napríklad viacfaktorové overovanie a podmienený prístup v aplikáciách, ktoré používajú ich zamestnanci.


Na začiatku by mali organizácie investovať do niektorého riešenia poskytovateľa identity, ako je napríklad Azure AD. Azure AD chráni používateľov a údaje pomocou vstavaného zabezpečenia a zjednocuje správu identít do jedného riešenia. Samoobslužný režim a jediné prihlásenie umožňujú zamestnancom jednoducho a pohodlne produktívne pracovať. Azure AD navyše obsahuje vopred vytvorenú integráciu SAML s tisíckami aplikácií, ako napríklad Zoom, DocuSign, SAP Concur, Workday a Amazon Web Services (AWS).

Ďalšie informácie o zabezpečení od spoločnosti Microsoft

Najčastejšie otázky

|

SAML obsahuje tieto súčasti:

  • Poskytovatelia služieb identít overujú a oprávňujú používateľov. Poskytujú prihlasovaciu stránku, kde ľudia zadávajú svoje prihlasovacie údaje, a presadzujú politiky zabezpečenia, ako je napríklad vyžadovanie viacfaktorového overovania alebo resetovania hesla. Keď už je používateľ oprávnený, poskytovateľ identity odovzdá údaje poskytovateľom služieb.
  • Poskytovatelia služieb sú aplikácie a webové lokality, ku ktorým chcú mať ľudia prístup. Namiesto toho, aby sa používatelia museli do aplikácií prihlasovať individuálne, poskytovatelia služieb nakonfigurujú svoje riešenia tak, aby dôverovali oprávneniam SAML a spoliehali sa na poskytovateľov identity, ktorí overujú identity a oprávňujú prístup.
  • Metaúdaje popisujú, ako si poskytovatelia identity a poskytovatelia služieb budú vymieňať kontrolné výrazy vrátane koncových bodov a technológií.
  • Kontrolný výraz je údaj overovania, ktorý poskytovateľovi služieb potvrdzuje, že osoba, ktorá sa prihlasuje, bola overená.
  • Podpisové certifikáty vytvárajú dôveru medzi poskytovateľom identity a poskytovateľom služieb potvrdením, že s kontrolným výrazom sa počas cestovania medzi dvomi poskytovateľmi nemanipulovalo.
  • Systémové hodiny potvrdzujú, že poskytovateľ služieb a poskytovateľ identity majú rovnaký čas na ochranu pred útokmi prehratím.

SAML ponúka organizáciám, ich zamestnancom a partnerom nasledujúce výhody:

  • Vylepšené používateľské prostredie. SAML dáva organizáciám možnosť vytvárať jediné prihlásenie, aby sa zamestnancom a partnerom stačilo raz prihlásiť a získali prístup ku všetkým aplikáciám. Vďaka tomu je práca jednoduchšia a pohodlnejšia, pretože si stačí pamätať menej hesiel a zamestnanci sa nemusia prihlasovať pri každej zmene nástrojov.
  • Vylepšené zabezpečenie. Menej hesiel znižuje riziko zneužitia kont. Okrem toho môžu bezpečnostné tímy používať protokol SAML na uplatňovanie silnej politiky zabezpečenia vo všetkých svojich aplikáciách. Na prihlasovanie môžu napríklad vyžadovať viacfaktorové overovanie alebo používať politiky podmieneného prístupu obmedzujúce aplikácie a údaje, ku ktorým majú ľudia prístup.
  • Zjednotená správa. Pomocou protokolu SAML spravujú technické tímy identity a politiky zabezpečenia v jednom riešení a nemusia používať konzoly na správu pre každú aplikáciu zvlášť. Výrazne to zjednodušuje zriaďovanie používateľov.

SAML je technológia XML založená na otvorenom štandarde, ktorá umožňuje poskytovateľom identity, ako je napríklad Azure Active Directory (Azure AD), odovzdávať údaje overovania poskytovateľovi služieb, ako napríklad SaaS.

 

Jediné prihlásenie označuje spôsob, pri ktorom sa ľudia prihlásia raz a získajú prístup k niekoľkým rôznym webovým lokalitám a aplikáciám. SAML umožňuje jediné prihlasovanie, ale jediné prihlásenie sa dá nasadiť aj pomocou niekoľkých ďalších technológií.

Protokol LDAP (Lightweight Directory Access Protocol) je protokol na správu identít, ktorý sa používa na overovanie a oprávňovanie identít používateľov. Mnohí poskytovatelia služieb podporujú LDAP, takže to môže byť vhodné riešenie na jediné prihlásenie. Keďže však ide o staršiu technológiu, s webovými aplikáciami nefunguje úplne dokonale.

 

SAML je novšia technológia, ktorá je k dispozícii vo väčšine webových a cloudových aplikácií, vďaka čomu je obľúbenejšou voľbou na centralizovanú správu identít.

Viacfaktorové overovanie je bezpečnostné opatrenie, ktoré vyžaduje, aby ľudia používali na preukázanie svojej identity viac ako jeden faktor. Zvyčajne vyžaduje niečo, čo jednotlivec má, napríklad zariadenie, a k tomu niečo, čo pozná, napríklad heslo alebo PIN kód. SAML umožňuje technickým tímom používať viacfaktorové overovanie na viaceré webové lokality a aplikácie. Môžu sa rozhodnúť používať túto úroveň overovania vo všetkých aplikáciách integrovaných s protokolom SAML alebo môžu presadzovať viacfaktorové overovanie pre niektoré vybrané aplikácie.