SAML คืออะไร

เรียนรู้ว่าโพรโทคอลมาตรฐานของอุตสาหกรรม Security Assertion Markup Language (SAML) ช่วยเสริมสร้างมาตรการรักษาความปลอดภัยและปรับปรุงประสบการณ์การลงชื่อเข้าใช้ได้อย่างไร

คำจำกัดความของ SAML

SAML คือเทคโนโลยีพื้นฐานที่ช่วยให้ผู้คนสามารถลงชื่อเข้าใช้โดยใช้ข้อมูลประจำตัวหนึ่งชุดและเข้าถึงหลายแอปพลิเคชัน ผู้ให้บริการข้อมูลประจำตัว เช่น Azure Active Directory (Azure AD) จะตรวจสอบผู้ใช้เมื่อพวกเขาลงชื่อเข้าใช้ แล้วใช้ SAML เพื่อส่งข้อมูลการรับรองความถูกต้องดังกล่าวไปยังผู้ให้บริการที่เป็นเจ้าของไซต์ บริการ หรือแอปที่ผู้ใช้ต้องการเข้าถึง

SAML ใช้ทำอะไรได้บ้าง

SAML ช่วยเสริมสร้างการรักษาความปลอดภัยสำหรับธุรกิจและอำนวยความสะดวกกระบวนการลงชื่อเข้าใช้สำหรับพนักงาน คู่ค้า และลูกค้า องค์กรใช้ SAML เพื่อใช้งานการลงชื่อเข้าระบบครั้งเดียว ซึ่งช่วยให้ผู้ใช้สามารถใช้ชื่อผู้ใช้และรหัสผ่านชุดเดียวเพื่อเข้าถึงหลายไซต์ บริการ และแอปได้ การลดจำนวนรหัสผ่านที่ผู้ใช้ต้องจำไม่เพียงช่วยอำนวยความสะดวกให้พวกเขา แต่ยังลดความเสี่ยงที่หนึ่งในรหัสผ่านเหล่านั้นจะถูกขโมยอีกด้วย นอกจากนี้ องค์กรยังสามารถกำหนดมาตรฐานความปลอดภัยสำหรับการรับรองความถูกต้องในทุกแอปที่ใช้ SAML ได้อีกด้วย ตัวอย่างเช่น พวกเขาสามารถบังคับใช้การรับรองความถูกต้องโดยใช้หลายปัจจัย ก่อนที่ผู้ใช้จะสามารถเข้าถึงเครือข่ายและแอปในองค์กร เช่น Salesforce, Concur และ Adobe 

 

SAML ช่วยให้องค์กรสามารถจัดการรูปแบบการใช้ต่อไปนี้:

 

รวมระบบบริหารจัดการตัวตนและการเข้าถึงทรัพยากร

เมื่อจัดการการรับรองความถูกต้องและการอนุญาตให้เป็นระบบเดียว ทีมไอทีก็สามารถลดเวลาที่ใช้ในการจัดเตรียมผู้ใช้และการให้สิทธิ์ข้อมูลประจำตัวได้อย่างมาก

 

เปิดใช้งาน Zero Trust:

กลยุทธ์การรักษาความปลอดภัยแบบ Zero Trust บังคับให้องค์กรตรวจสอบคำขอการเข้าถึงทุกรายการและจำกัดการเข้าถึงข้อมูลที่ละเอียดอ่อนไว้สำหรับผู้ใช้ที่ต้องการเท่านั้น ทีมเทคนิคสามารถใช้ SAML ในการกำหนดนโยบาย เช่น การรับรองความถูกต้องโดยใช้หลายปัจจัยและการเข้าถึงแบบมีเงื่อนไข สำหรับแอปทั้งหมดของตน นอกจากนี้ พวกเขายังสามารถเปิดใช้งานมาตรการรักษาความปลอดภัยที่เข้มงวดยิ่งขึ้น เช่น การบังคับใช้รีเซ็ตรหัสผ่าน เมื่อความเสี่ยงของผู้ใช้เพิ่มขึ้นตามพฤติกรรม อุปกรณ์ หรือตำแหน่งที่ตั้งของตน

 

ปรับปรุงประสบการณ์ใช้งานด้านพนักงาน:

นอกจากจะอำนวยความสะดวกในการเข้าถึงสำหรับพนักงานแล้ว ทีมไอทียังสามารถใส่แบรนด์ลงในหน้าลงชื่อเข้าใช้เพื่อสร้างประสบการณ์ที่สอดคล้องกันในแอปต่างๆ ได้อีกด้วย นอกจากนี้ พนักงานยังสามารถประหยัดเวลาด้วยประสบการณ์แบบบริการตนเองที่ช่วยให้พวกเขารีเซ็ตรหัสผ่านได้อย่างง่ายดาย

ตัวให้บริการ SAML คืออะไร

ตัวให้บริการ SAML คือระบบที่แชร์การรับรองความถูกต้องของข้อมูลประจำตัวและข้อมูลการอนุญาตกับตัวให้บริการอื่นๆ ตัวให้บริการ SAML มีอยู่สองประเภท:

  • ผู้ให้บริการข้อมูลประจำตัวจะรับรองความถูกต้องและอนุญาตผู้ใช้ โดยจะแสดงหน้าลงชื่อเข้าใช้ที่ผู้ใช้สามารถป้อนข้อมูลประจำตัวได้ นอกจากนี้ ยังบังคับใช้นโยบายความปลอดภัย เช่น บังคับใช้การรับรองความถูกต้องโดยใช้หลายปัจจัยหรือการรีเซ็ตรหัสผ่าน เมื่อผู้ใช้ได้รับอนุญาตแล้ว ผู้ให้บริการข้อมูลประจำตัวจะส่งข้อมูลไปยังผู้ให้บริการ 
  • ผู้ให้บริการคือแอปและเว็บไซต์ที่ผู้ใช้ต้องการเข้าถึง แทนที่จะบังคับให้ผู้ใช้ลงชื่อเข้าใช้แอปทีละแอป ผู้ให้บริการสามารถกำหนดให้โซลูชันของพวกเขาเชื่อถือการรับรองความถูกต้องแบบ SAML และใช้ผู้ให้บริการข้อมูลประจำตัวในการตรวจสอบข้อมูลประจำตัวและอนุญาตการเข้าถึง 

การรับรองความถูกต้องแบบ SAML ทำงานอย่างไร

ในการรับรองความถูกต้องแบบ SAML ผู้ให้บริการและผู้ให้บริการข้อมูลประจำตัวจะแชร์ข้อมูลการลงชื่อเข้าใช้และผู้ใช้เพื่อยืนยันว่าผู้ใช้แต่ละรายที่ร้องขอการเข้าถึงผ่านการรับรองความถูกต้องแล้ว โดยทั่วไปจะทำตามขั้นตอนต่อไปนี้:

  1. พนักงานเริ่มทำงานด้วยการลงชื่อเข้าใช้โดยใช้หน้าการเข้าสู่ระบบที่ผู้ให้บริการข้อมูลประจำตัวกำหนด
  2. ผู้ให้บริการข้อมูลประจำตัวยืนยันตัวตนของพนักงานโดยการยืนยันรายละเอียดการรับรองความถูกต้อง เช่น ชื่อผู้ใช้ รหัสผ่าน PIN อุปกรณ์ หรือข้อมูลไบโอเมตริก
  3. พนักงานเปิดแอปของผู้ให้บริการ เช่น Microsoft Word หรือ Workday 
  4. ผู้ให้บริการสื่อสารกับผู้ให้บริการข้อมูลประจำตัวเพื่อยืนยันว่าพนักงานได้รับอนุญาตให้เข้าถึงแอปดังกล่าวได้
  5. ผู้ให้บริการข้อมูลประจำตัวส่งการอนุญาตและการรับรองความถูกต้องกลับ
  6. พนักงานเข้าถึงแอปโดยไม่ต้องลงชื่อเข้าใช้อีกเป็นครั้งที่สอง
     

การยืนยันแบบ SAML คืออะไร

การยืนยันแบบ SAML คือเอกสาร XML ที่มีข้อมูลที่ยืนยันกับผู้ให้บริการว่าบุคคลที่กำลังลงชื่อเข้าใช้ผ่านการรับรองความถูกต้องแล้ว

 

ซึ่งมีอยู่สามประเภท:

  • การยืนยันการรับรองความถูกต้องจะระบุผู้ใช้และเวลาที่บุคคลดังกล่าวลงชื่อเข้าใช้ พร้อมกับชนิดการรับรองความถูกต้องที่พวกเขาใช้ เช่น รหัสผ่านหรือการรับรองความถูกต้องโดยใช้หลายปัจจัย
  • การยืนยันที่มาจะส่งโทเค็น SAML ไปยังผู้ให้บริการ การยืนยันนี้มีข้อมูลเฉพาะเกี่ยวกับผู้ใช้
  • การยืนยันการตัดสินใจการอนุญาตจะบอกผู้ให้บริการว่าผู้ใช้ผ่านการรับรองความถูกต้อง หรือถูกปฏิเสธเนื่องจากเกิดปัญหาขึ้นกับข้อมูลประจำตัวของพวกเขาหรือพวกเขาไม่มีสิทธิ์สำหรับบริการดังกล่าว 

SAML กับ OAuth

ทั้ง SAML และ OAuth ช่วยให้ผู้คนเข้าถึงบริการหลายอย่างได้อย่างง่ายดายโดยไม่ต้องลงชื่อเข้าใช้แยกต่างหาก แต่สองโพรโทคอลใช้เทคโนโลยีและกระบวนการต่างกัน SAML ใช้ XML เพื่อช่วยให้ผู้คนสามารถใช้ข้อมูลประจำตัวเดียวกันในการเข้าถึงหลายบริการ ในขณะที่ OAuth ส่งข้อมูลการอนุญาตโดยใช้ JWT หรือ JavaScript Object Notation


ใน OAuth ผู้ใช้เลือกที่จะลงชื่อเข้าใช้บริการโดยใช้การอนุญาตของบริษัทอื่น เช่น บัญชี Google หรือ Facebook ของพวกเขา แทนที่จะสร้างชื่อผู้ใช้หรือรหัสผ่านใหม่สำหรับบริการ การอนุญาตจะถูกส่งพร้อมกับปกป้องรหัสผ่านของผู้ใช้

บทบาทของ SAML สำหรับธุรกิจ

SAML ช่วยให้ธุรกิจมีทั้งประสิทธิภาพการทำงานและความปลอดภัยในที่ทำงานแบบไฮบริดของตน เมื่อผู้คนทำงานจากระยะไกลมากขึ้น การเพิ่มศักยภาพให้พวกเขาสามารถเข้าถึงทรัพยากรของบริษัทได้จากทุกที่อย่างง่ายดายจึงเป็นเรื่องสำคัญ แต่หากไม่มีการควบคุมความปลอดภัยที่เหมาะสม การเข้าถึงที่ง่ายดายก็อาจเพิ่มความเสี่ยงที่ข้อมูลจะรั่วไหลได้ เมื่อใช้ SAML องค์กรสามารถอำนวยความสะดวกกระบวนการลงชื่อเข้าใช้สำหรับพนักงาน พร้อมกับบังคับใช้นโยบายที่เข้มงวด อย่างเช่น การรับรองความถูกต้องโดยใช้หลายปัจจัยและการเข้าถึงแบบมีเงื่อนไขในแอปที่พนักงานใช้งาน


หากต้องการเริ่มต้นใช้งาน องค์กรควรลงทุนกับโซลูชันผู้ให้บริการข้อมูลประจำตัว อย่างเช่น Azure AD Azure AD จะปกป้องผู้ใช้และข้อมูลด้วยการรักษาความปลอดภัยในตัวและรวมการจัดการข้อมูลประจำตัวให้เป็นโซลูชันเดียว บริการตนเองและการลงชื่อเข้าระบบครั้งเดียวทำให้พนักงานทำงานอย่างมีประสิทธิภาพอยู่เสมอได้อย่างง่ายดายและสะดวกสบาย นอกจากนี้ Azure AD ยังมาพร้อมกับการผสานรวม SAML ที่สร้างไว้ล่วงหน้า พร้อมกับแอปจำนวนหลายพันแอป เช่น Zoom, DocuSign, SAP Concur, Workday และ Amazon Web Services (AWS)

เรียนรู้เพิ่มเติมเกี่ยวกับ Microsoft Security

คำถามที่ถามบ่อย

|

SAML ประกอบด้วยคอมโพเนนต์ต่อไปนี้:

  • ผู้ให้บริการข้อมูลประจำตัวจะรับรองความถูกต้องและอนุญาตผู้ใช้ ซึ่งจะกำหนดหน้าลงชื่อเข้าใช้ที่ผู้ใช้ต้องป้อนข้อมูลประจำตัวของพวกเขาและบังคับใช้นโยบายความปลอดภัย เช่น การบังคับใช้การรับรองความถูกต้องโดยใช้หลายปัจจัยหรือการรีเซ็ตรหัสผ่าน เมื่อผู้ใช้ได้รับอนุญาตแล้ว ผู้ให้บริการข้อมูลประจำตัวจะส่งข้อมูลไปยังผู้ให้บริการ
  • ผู้ให้บริการคือแอปและเว็บไซต์ที่ผู้ใช้ต้องการเข้าถึง แทนที่จะบังคับให้ผู้ใช้ลงชื่อเข้าใช้แอปทีละแอป ผู้ให้บริการสามารถกำหนดให้โซลูชันของพวกเขาเชื่อถือการรับรองความถูกต้องแบบ SAML และใช้ผู้ให้บริการข้อมูลประจำตัวในการตรวจสอบข้อมูลประจำตัวและอนุญาตการเข้าถึง
  • เมตาดาต้าจะอธิบายว่าผู้ให้บริการข้อมูลประจำตัวและผู้ให้บริการแลกเปลี่ยนการยืนยัน รวมถึงปลายทางและเทคโนโลยี อย่างไร
  • การยืนยันคือข้อมูลการรับรองความถูกต้องที่ยืนยันกับผู้ให้บริการว่าบุคคลที่กำลังลงชื่อเข้าใช้ผ่านการรับรองความถูกต้องแล้ว
  • ใบรับรองการลงนามจะสร้างความน่าเชื่อถือระหว่างผู้ให้บริการข้อมูลประจำตัวและผู้ให้บริการโดยการยืนยันว่าจะไม่มีการขัดจังหวะการยืนยันขณะรับส่งระหว่างสองผู้บริการ
  • นาฬิกาของระบบจะยืนยันว่าผู้ให้บริการและผู้ให้บริการข้อมูลประจำตัวมีเวลาที่ตรงกันเพื่อป้องกันการโจมตีซ้ำ

SAML มีประโยชน์ต่อองค์กร พนักงาน และคู่ค้าดังนี้:

  • ปรับปรุงประสบการณ์ใช้งานของผู้ใช้ SAML ช่วยให้องค์กรสามารถสร้างประสบการณ์การลงชื่อเข้าระบบครั้งเดียว เพื่อให้พนักงานและคู่ค้าสามารถลงชื่อเข้าใช้ครั้งเดียวและรับการเข้าถึงแอปทั้งหมดของพวกเขาได้ ซึ่งทำให้การทำงานง่ายดายและสะดวกสบายยิ่งขึ้น เรื่องจากต้องจำรหัสผ่านน้อยลง และพนักงานไม่จำเป็นต้องลงชื่อเข้าใช้ทุกครั้งที่พวกเขาสลับเครื่องมือ
  • ความปลอดภัยที่ได้รับการปรับปรุง รหัสผ่านจำนวนน้อยลงช่วยลดความเสี่ยงของบัญชีที่มีช่องโหว่ นอกจากนี้ ทีมรักษาความปลอดภัยยังสามารถใช้ SAML เพื่อนำนโยบายความปลอดภัยที่เข้มงวดไปใช้กับแอปทั้งหมดของตนได้ ตัวอย่างเช่น พวกเขาสามารถบังคับใช้การรับรองความถูกต้องโดยใช้หลายปัจจัยในการลงชื่อเข้าใช้หรือนำนโยบายการเข้าถึงแบบมีเงื่อนไขไปใช้ ซึ่งจะจำกัดแอปและข้อมูล ที่ผู้ใช้สามารถเข้าถึงได้
  • การจัดการแบบรวม เมื่อใช้ SAML ทีมเทคนิคสามารถจัดการข้อมูลประจำตัวและนโยบายความปลอดภัยในโซลูชันเดียว แทนที่จะต้องใช้คอนโซลการจัดการแยกกันสำหรับแต่ละแอป ซึ่งอำนวยความสะดวกในการจัดเตรียมผู้ใช้ได้อย่างมาก

SAML คือเทคโนโลยี XML มาตรฐานแบบเปิดที่ช่วยให้ผู้ให้บริการข้อมูลประจำตัว อย่างเช่น Azure Active Directory (Azure AD) สามารถส่งข้อมูลการรับรองความถูกต้องไปยังผู้ให้บริการ เช่น แอปการให้บริการซอฟต์แวร์ได้

 

การลงชื่อเข้าระบบครั้งเดียวคือเวลาที่ผู้ใช้ลงชื่อเข้าใช้หนึ่งครั้ง และสามารถเข้าถึงหลายเว็บไซต์และแอปได้ SAML ช่วยให้สามารถใช้การลงชื่อเข้าระบบครั้งเดียวได้ แต่การลงชื่อเข้าระบบครั้งเดียวก็สามารถปรับใช้ด้วยเทคโนโลยีอื่นได้เช่นกัน

Lightweight Directory Access Protocol (LDAP) คือโพรโทคอลการจัดการข้อมูลประจำตัวที่ใช้สำหรับการรับรองความถูกต้องและการอนุญาตข้อมูลประจำตัวของผู้ใช้ ผู้ให้บริการหลายรายรองรับ LDAP ดังนั้นจึงเป็นโซลูชันที่ดีสำหรับการลงชื่อเข้าระบบครั้งเดียว อย่างไรก็ตาม เนื่องจากเป็นเทคโนโลยีรุ่นเก่า จึงใช้งานไม่ได้กับเว็บแอปพลิเคชัน

 

SAML คือเทคโนโลยีที่ใหม่กว่า ซึ่งพร้อมใช้งานบนแอปพลิเคชันบนเว็บและระบบคลาวด์ส่วนใหญ่ ทำให้เป็นทางเลือกที่ได้รับความนิยมมากกว่าสำหรับการจัดการข้อมูลประจำตัวแบบรวมศูนย์

การรับรองความถูกต้องโดยใช้หลายปัจจัยคือมาตรการรักษาความปลอดภัยที่บังคับให้ผู้ใช้ต้องใช้มากกว่าหนึ่งปัจจัยในการยืนยันตัวตน โดยทั่วไป จะบังคับให้ระบุบางสิ่งบางอย่างที่ผู้ใช้มีอยู่ เช่น อุปกรณ์ รวมถึงบางอย่างที่พวกเขาทราบ เช่น รหัสผ่านหรือ PIN SAML ช่วยให้ทีมเทคนิคนำการรับรองความถูกต้องโดยใช้หลายปัจจัยไปใช้กับหลายเว็บไซต์และแอปได้ พวกเขาสามารถเลือกนำการรับรองความถูกต้องระดับนี้ไปใช้กับแอปทั้งหมดที่ผสานรวมกับ SAML หรือบังคับใช้การรับรองความถูกต้องโดยใช้หลายปัจจัยสำหรับบางแอปได้