SAML คืออะไร
เรียนรู้ว่าโพรโทคอลมาตรฐานของอุตสาหกรรม Security Assertion Markup Language (SAML) ช่วยเสริมสร้างมาตรการรักษาความปลอดภัยและปรับปรุงประสบการณ์การลงชื่อเข้าใช้ได้อย่างไร
คำจำกัดความของ SAML
SAML คือเทคโนโลยีพื้นฐานที่ช่วยให้ผู้คนสามารถลงชื่อเข้าใช้โดยใช้ข้อมูลประจำตัวหนึ่งชุดและเข้าถึงหลายแอปพลิเคชัน ผู้ให้บริการข้อมูลประจำตัว เช่น Microsoft Entra ID จะตรวจสอบผู้ใช้เมื่อพวกเขาลงชื่อเข้าใช้ แล้วใช้ SAML เพื่อส่งข้อมูลการรับรองความถูกต้องดังกล่าวไปยังผู้ให้บริการที่เป็นเจ้าของไซต์ บริการ หรือแอปที่ผู้ใช้ต้องการเข้าถึง
SAML ใช้ทำอะไรได้บ้าง
SAML ช่วยเสริมสร้างการรักษาความปลอดภัยสำหรับธุรกิจและอำนวยความสะดวกกระบวนการลงชื่อเข้าใช้สำหรับพนักงาน คู่ค้า และลูกค้า องค์กรใช้ SAML เพื่อใช้งาน การลงชื่อเข้าระบบครั้งเดียว ซึ่งช่วยให้ผู้ใช้สามารถใช้ชื่อผู้ใช้และรหัสผ่านชุดเดียวเพื่อเข้าถึงหลายไซต์ บริการ และแอปได้ การลดจำนวนรหัสผ่านที่ผู้ใช้ต้องจำไม่เพียงช่วยอำนวยความสะดวกให้พวกเขา แต่ยังลดความเสี่ยงที่หนึ่งในรหัสผ่านเหล่านั้นจะถูกขโมยอีกด้วย นอกจากนี้ องค์กรยังสามารถกำหนดมาตรฐานความปลอดภัยสำหรับ การรับรองความถูกต้อง ในทุกแอปที่ใช้ SAML ได้อีกด้วย ตัวอย่างเช่น พวกเขาสามารถบังคับใช้ การรับรองความถูกต้องโดยใช้หลายปัจจัย ก่อนที่ผู้ใช้จะสามารถเข้าถึงเครือข่ายและแอปในองค์กร เช่น Salesforce, Concur และ Adobe
SAML ช่วยให้องค์กรสามารถจัดการรูปแบบ การใช้ต่อไปนี้:
รวมระบบบริหารจัดการตัวตนและการเข้าถึงทรัพยากร:
เมื่อจัดการการรับรองความถูกต้องและการอนุญาตให้เป็นระบบเดียว ทีมไอทีก็สามารถลดเวลาที่ใช้ในการจัดเตรียมผู้ใช้และการให้สิทธิ์ข้อมูลประจำตัวได้อย่างมาก
เปิดใช้งาน Zero Trust:
กลยุทธ์การรักษาความปลอดภัยแบบ Zero Trust บังคับให้องค์กรตรวจสอบคำขอการเข้าถึงทุกรายการและจำกัดการเข้าถึงข้อมูลที่ละเอียดอ่อนไว้สำหรับผู้ใช้ที่ต้องการเท่านั้น ทีมเทคนิคสามารถใช้ SAML ในการกำหนดนโยบาย เช่น การรับรองความถูกต้องโดยใช้หลายปัจจัยและการเข้าถึงแบบมีเงื่อนไข สำหรับแอปทั้งหมดของตน นอกจากนี้ พวกเขายังสามารถเปิดใช้งานมาตรการรักษาความปลอดภัยที่เข้มงวดยิ่งขึ้น เช่น การบังคับใช้รีเซ็ตรหัสผ่าน เมื่อความเสี่ยงของผู้ใช้เพิ่มขึ้นตามพฤติกรรม อุปกรณ์ หรือตำแหน่งที่ตั้งของตน
ปรับปรุงประสบการณ์ใช้งานด้านพนักงาน:
นอกจากจะอำนวยความสะดวกในการเข้าถึงสำหรับพนักงานแล้ว ทีมไอทียังสามารถใส่แบรนด์ลงในหน้าลงชื่อเข้าใช้เพื่อสร้างประสบการณ์ที่สอดคล้องกันในแอปต่างๆ ได้อีกด้วย นอกจากนี้ พนักงานยังสามารถประหยัดเวลาด้วยประสบการณ์แบบบริการตนเองที่ช่วยให้พวกเขารีเซ็ตรหัสผ่านได้อย่างง่ายดาย
ตัวให้บริการ SAML คืออะไร
ตัวให้บริการ SAML คือระบบที่แชร์การรับรองความถูกต้องของข้อมูลประจำตัวและข้อมูลการอนุญาตกับตัวให้บริการอื่นๆ ตัวให้บริการ SAML มีอยู่สองประเภท:
- ผู้ให้บริการข้อมูลประจำตัว จะรับรองความถูกต้องและอนุญาตผู้ใช้ โดยจะแสดงหน้าลงชื่อเข้าใช้ที่ผู้ใช้สามารถป้อนข้อมูลประจำตัวได้ นอกจากนี้ ยังบังคับใช้นโยบายความปลอดภัย เช่น บังคับใช้การรับรองความถูกต้องโดยใช้หลายปัจจัยหรือการรีเซ็ตรหัสผ่าน เมื่อผู้ใช้ได้รับอนุญาตแล้ว ผู้ให้บริการข้อมูลประจำตัวจะส่งข้อมูลไปยังผู้ให้บริการ
- ผู้ให้บริการ คือแอปและเว็บไซต์ที่ผู้ใช้ต้องการเข้าถึง แทนที่จะบังคับให้ผู้ใช้ลงชื่อเข้าใช้แอปทีละแอป ผู้ให้บริการสามารถกำหนดให้โซลูชันของพวกเขาเชื่อถือการรับรองความถูกต้องแบบ SAML และใช้ผู้ให้บริการข้อมูลประจำตัวในการตรวจสอบข้อมูลประจำตัวและอนุญาตการเข้าถึง
การรับรองความถูกต้องแบบ SAML ทำงานอย่างไร
ในการรับรองความถูกต้องแบบ SAML ผู้ให้บริการและผู้ให้บริการข้อมูลประจำตัวจะแชร์ข้อมูลการลงชื่อเข้าใช้และผู้ใช้เพื่อยืนยันว่าผู้ใช้แต่ละรายที่ร้องขอการเข้าถึงผ่านการรับรองความถูกต้องแล้ว โดยทั่วไปจะทำตามขั้นตอนต่อไปนี้:
- พนักงานเริ่มทำงานด้วยการลงชื่อเข้าใช้โดยใช้หน้าการเข้าสู่ระบบที่ผู้ให้บริการข้อมูลประจำตัวกำหนด
- ผู้ให้บริการข้อมูลประจำตัวยืนยันตัวตนของพนักงานโดยการยืนยันรายละเอียดการรับรองความถูกต้อง เช่น ชื่อผู้ใช้ รหัสผ่าน PIN อุปกรณ์ หรือข้อมูลไบโอเมตริก
- พนักงานเปิดแอปของผู้ให้บริการ เช่น Microsoft Word หรือ Workday
- ผู้ให้บริการสื่อสารกับผู้ให้บริการข้อมูลประจำตัวเพื่อยืนยันว่าพนักงานได้รับอนุญาตให้เข้าถึงแอปดังกล่าวได้
- ผู้ให้บริการข้อมูลประจำตัวส่งการอนุญาตและการรับรองความถูกต้องกลับ
- พนักงานเข้าถึงแอปโดยไม่ต้องลงชื่อเข้าใช้อีกเป็นครั้งที่สอง
การยืนยันแบบ SAML คืออะไร
การยืนยันแบบ SAML คือเอกสาร XML ที่มีข้อมูลที่ยืนยันกับผู้ให้บริการว่าบุคคลที่กำลังลงชื่อเข้าใช้ผ่านการรับรองความถูกต้องแล้ว
ซึ่งมีอยู่สามประเภท:
- การยืนยันการรับรองความถูกต้อง จะระบุผู้ใช้และเวลาที่บุคคลดังกล่าวลงชื่อเข้าใช้ พร้อมกับชนิดการรับรองความถูกต้องที่พวกเขาใช้ เช่น รหัสผ่านหรือการรับรองความถูกต้องโดยใช้หลายปัจจัย
- การยืนยันที่มา จะส่งโทเค็น SAML ไปยังผู้ให้บริการ การยืนยันนี้มีข้อมูลเฉพาะเกี่ยวกับผู้ใช้
- การยืนยันการตัดสินใจการอนุญาต จะบอกผู้ให้บริการว่าผู้ใช้ผ่านการรับรองความถูกต้อง หรือถูกปฏิเสธเนื่องจากเกิดปัญหาขึ้นกับข้อมูลประจำตัวของพวกเขาหรือพวกเขาไม่มีสิทธิ์สำหรับบริการดังกล่าว
SAML กับ OAuth
ทั้ง SAML และ OAuth ช่วยให้ผู้คนเข้าถึงบริการหลายอย่างได้อย่างง่ายดายโดยไม่ต้องลงชื่อเข้าใช้แยกต่างหาก แต่สองโพรโทคอลใช้เทคโนโลยีและกระบวนการต่างกัน SAML ใช้ XML เพื่อช่วยให้ผู้คนสามารถใช้ข้อมูลประจำตัวเดียวกันในการเข้าถึงหลายบริการ ในขณะที่ OAuth ส่งข้อมูลการอนุญาตโดยใช้ JWT หรือ JavaScript Object Notation
ใน OAuth ผู้ใช้เลือกที่จะลงชื่อเข้าใช้บริการโดยใช้การอนุญาตของบริษัทอื่น เช่น บัญชี Google หรือ Facebook ของพวกเขา แทนที่จะสร้างชื่อผู้ใช้หรือรหัสผ่านใหม่สำหรับบริการ การอนุญาตจะถูกส่งพร้อมกับ ปกป้องรหัสผ่านของผู้ใช้
บทบาทของ SAML สำหรับธุรกิจ
SAML ช่วยให้ธุรกิจมีทั้งประสิทธิภาพการทำงานและความปลอดภัยในที่ทำงานแบบไฮบริดของตน เมื่อผู้คนทำงานจากระยะไกลมากขึ้น การเพิ่มศักยภาพให้พวกเขาสามารถเข้าถึงทรัพยากรของบริษัทได้จากทุกที่อย่างง่ายดายจึงเป็นเรื่องสำคัญ แต่หากไม่มีการควบคุมความปลอดภัยที่เหมาะสม การเข้าถึงที่ง่ายดายก็อาจเพิ่มความเสี่ยงที่ข้อมูลจะรั่วไหลได้ เมื่อใช้ SAML องค์กรสามารถอำนวยความสะดวกกระบวนการลงชื่อเข้าใช้สำหรับพนักงาน พร้อมกับบังคับใช้นโยบายที่เข้มงวด อย่างเช่น การรับรองความถูกต้องโดยใช้หลายปัจจัยและการเข้าถึงแบบมีเงื่อนไขในแอปที่พนักงานใช้งาน
หากต้องการเริ่มต้นใช้งาน องค์กรควรลงทุนกับโซลูชันผู้ให้บริการข้อมูลประจำตัว อย่างเช่น Microsoft Entra ID Microsoft Entra ID จะปกป้องผู้ใช้และข้อมูลด้วยการรักษาความปลอดภัยในตัวและรวมการจัดการข้อมูลประจำตัวให้เป็นโซลูชันเดียว บริการตนเองและการลงชื่อเข้าระบบครั้งเดียวทำให้พนักงานทำงานอย่างมีประสิทธิภาพอยู่เสมอได้อย่างง่ายดายและสะดวกสบาย นอกจากนี้ Microsoft Entra ID ยังมาพร้อมกับการผสานรวม SAML ที่สร้างไว้ล่วงหน้า พร้อมกับแอปจำนวนหลายพันแอป เช่น Zoom, DocuSign, SAP Concur, Workday และ Amazon Web Services (AWS)
เรียนรู้เพิ่มเติมเกี่ยวกับ Microsoft Security
ข้อมูลประจำตัวและการเข้าถึงของ Microsoft
สำรวจโซลูชันข้อมูลประจำตัวและการเข้าถึงที่ครอบคลุมจาก Microsoft
ลงชื่อเข้าระบบครั้งเดียว
ลดความซับซ้อนในการเข้าถึงซอฟต์แวร์ของคุณ เช่น แอปการให้บริการซอฟต์แวร์ (SaaS) แอปในคลาวด์ หรือแอปในองค์กร
การรับรองความถูกต้องโดยใช้หลายปัจจัย
ปกป้ององค์กรของคุณจากการละเมิดที่เกิดจากข้อมูลประจำตัวที่สูญหายหรือถูกขโมย
การเข้าถึงแบบมีเงื่อนไข
บังคับใช้การควบคุมการเข้าถึงอย่างละเอียดด้วยนโยบายแบบปรับเปลี่ยนได้ในเวลาจริง
การผสานรวมแอปที่สร้างไว้ล่วงหน้า
ใช้การผสานรวมที่สร้างไว้ล่วงหน้าเพื่อเชื่อมต่อผู้ใช้กับแอปอย่างปลอดภัยมากขึ้น
ข้อมูลประจำตัวและการเข้าถึงบล็อก
ติดตามข้อมูลล่าสุดด้วยความเป็นผู้นำด้านความคิดล่าสุดในระบบบริหารจัดการตัวตนและการเข้าถึงทรัพยากร
คำถามที่ถามบ่อย
-
SAML ประกอบด้วยคอมโพเนนต์ต่อไปนี้:
- ผู้ให้บริการข้อมูลประจำตัว จะรับรองความถูกต้องและอนุญาตผู้ใช้ ซึ่งจะกำหนดหน้าลงชื่อเข้าใช้ที่ผู้ใช้ต้องป้อนข้อมูลประจำตัวของพวกเขาและบังคับใช้นโยบายความปลอดภัย เช่น การบังคับใช้การรับรองความถูกต้องโดยใช้หลายปัจจัยหรือการรีเซ็ตรหัสผ่าน เมื่อผู้ใช้ได้รับอนุญาตแล้ว ผู้ให้บริการข้อมูลประจำตัวจะส่งข้อมูลไปยังผู้ให้บริการ
- ผู้ให้บริการ คือแอปและเว็บไซต์ที่ผู้ใช้ต้องการเข้าถึง แทนที่จะบังคับให้ผู้ใช้ลงชื่อเข้าใช้แอปทีละแอป ผู้ให้บริการสามารถกำหนดให้โซลูชันของพวกเขาเชื่อถือการรับรองความถูกต้องแบบ SAML และใช้ผู้ให้บริการข้อมูลประจำตัวในการตรวจสอบข้อมูลประจำตัวและอนุญาตการเข้าถึง
- เมตาดาต้า จะอธิบายว่าผู้ให้บริการข้อมูลประจำตัวและผู้ให้บริการแลกเปลี่ยนการยืนยัน รวมถึงปลายทางและเทคโนโลยี อย่างไร
- การยืนยัน คือข้อมูลการรับรองความถูกต้องที่ยืนยันกับผู้ให้บริการว่าบุคคลที่กำลังลงชื่อเข้าใช้ผ่านการรับรองความถูกต้องแล้ว
- ใบรับรองการลงนาม จะสร้างความน่าเชื่อถือระหว่างผู้ให้บริการข้อมูลประจำตัวและผู้ให้บริการโดยการยืนยันว่าจะไม่มีการขัดจังหวะการยืนยันขณะรับส่งระหว่างสองผู้บริการ
- นาฬิกาของระบบ จะยืนยันว่าผู้ให้บริการและผู้ให้บริการข้อมูลประจำตัวมีเวลาที่ตรงกันเพื่อป้องกันการโจมตีซ้ำ
- ผู้ให้บริการข้อมูลประจำตัว จะรับรองความถูกต้องและอนุญาตผู้ใช้ ซึ่งจะกำหนดหน้าลงชื่อเข้าใช้ที่ผู้ใช้ต้องป้อนข้อมูลประจำตัวของพวกเขาและบังคับใช้นโยบายความปลอดภัย เช่น การบังคับใช้การรับรองความถูกต้องโดยใช้หลายปัจจัยหรือการรีเซ็ตรหัสผ่าน เมื่อผู้ใช้ได้รับอนุญาตแล้ว ผู้ให้บริการข้อมูลประจำตัวจะส่งข้อมูลไปยังผู้ให้บริการ
-
SAML มีประโยชน์ต่อองค์กร พนักงาน และคู่ค้าดังนี้:
- ประสบการณ์ใช้งานของผู้ใช้ที่มีประสิทธิภาพ SAML ช่วยให้องค์กรสามารถสร้างประสบการณ์การลงชื่อเข้าระบบครั้งเดียว เพื่อให้พนักงานและคู่ค้าสามารถลงชื่อเข้าใช้ครั้งเดียวและรับการเข้าถึงแอปทั้งหมดของพวกเขาได้ ซึ่งทำให้การทำงานง่ายดายและสะดวกสบายยิ่งขึ้น เรื่องจากต้องจำรหัสผ่านน้อยลง และพนักงานไม่จำเป็นต้องลงชื่อเข้าใช้ทุกครั้งที่พวกเขาสลับเครื่องมือ
- ความปลอดภัยที่ได้รับการปรับปรุง รหัสผ่านจำนวนน้อยลงช่วยลดความเสี่ยงของบัญชีที่มีช่องโหว่ นอกจากนี้ ทีมรักษาความปลอดภัยยังสามารถใช้ SAML เพื่อนำนโยบายความปลอดภัยที่เข้มงวดไปใช้กับแอปทั้งหมดของตนได้ ตัวอย่างเช่น พวกเขาสามารถบังคับใช้การรับรองความถูกต้องโดยใช้หลายปัจจัยในการลงชื่อเข้าใช้หรือนำนโยบายการเข้าถึงแบบมีเงื่อนไขไปใช้ ซึ่งจะจำกัดแอปและข้อมูล ที่ผู้ใช้สามารถเข้าถึงได้
- การจัดการที่รวมเป็นหนึ่งเดียว เมื่อใช้ SAML ทีมเทคนิคสามารถจัดการข้อมูลประจำตัวและนโยบายความปลอดภัยในโซลูชันเดียว แทนที่จะต้องใช้คอนโซลการจัดการแยกกันสำหรับแต่ละแอป ซึ่งอำนวยความสะดวกในการจัดเตรียมผู้ใช้ได้อย่างมาก
- ประสบการณ์ใช้งานของผู้ใช้ที่มีประสิทธิภาพ SAML ช่วยให้องค์กรสามารถสร้างประสบการณ์การลงชื่อเข้าระบบครั้งเดียว เพื่อให้พนักงานและคู่ค้าสามารถลงชื่อเข้าใช้ครั้งเดียวและรับการเข้าถึงแอปทั้งหมดของพวกเขาได้ ซึ่งทำให้การทำงานง่ายดายและสะดวกสบายยิ่งขึ้น เรื่องจากต้องจำรหัสผ่านน้อยลง และพนักงานไม่จำเป็นต้องลงชื่อเข้าใช้ทุกครั้งที่พวกเขาสลับเครื่องมือ
-
SAML คือเทคโนโลยี XML มาตรฐานแบบเปิดที่ช่วยให้ผู้ให้บริการข้อมูลประจำตัว อย่างเช่น Microsoft Entra ID สามารถส่งข้อมูลการรับรองความถูกต้องไปยังผู้ให้บริการ เช่น แอปการให้บริการซอฟต์แวร์ได้
การลงชื่อเข้าระบบครั้งเดียวคือเวลาที่ผู้ใช้ลงชื่อเข้าใช้หนึ่งครั้ง และสามารถเข้าถึงหลายเว็บไซต์และแอปได้ SAML ช่วยให้สามารถใช้การลงชื่อเข้าระบบครั้งเดียวได้ แต่การลงชื่อเข้าระบบครั้งเดียวก็สามารถปรับใช้ด้วยเทคโนโลยีอื่นได้เช่นกัน -
Lightweight Directory Access Protocol (LDAP) คือโพรโทคอลการจัดการข้อมูลประจำตัวที่ใช้สำหรับการรับรองความถูกต้องและการอนุญาตข้อมูลประจำตัวของผู้ใช้ ผู้ให้บริการหลายรายรองรับ LDAP ดังนั้นจึงเป็นโซลูชันที่ดีสำหรับการลงชื่อเข้าระบบครั้งเดียว อย่างไรก็ตาม เนื่องจากเป็นเทคโนโลยีรุ่นเก่า จึงใช้งานไม่ได้กับเว็บแอปพลิเคชัน
SAML คือเทคโนโลยีที่ใหม่กว่า ซึ่งพร้อมใช้งานบนแอปพลิเคชันบนเว็บและระบบคลาวด์ส่วนใหญ่ ทำให้เป็นทางเลือกที่ได้รับความนิยมมากกว่าสำหรับการจัดการข้อมูลประจำตัวแบบรวมศูนย์
-
การรับรองความถูกต้องโดยใช้หลายปัจจัยคือมาตรการรักษาความปลอดภัยที่บังคับให้ผู้ใช้ต้องใช้มากกว่าหนึ่งปัจจัยในการยืนยันตัวตน โดยทั่วไป จะบังคับให้ระบุบางสิ่งบางอย่างที่ผู้ใช้มีอยู่ เช่น อุปกรณ์ รวมถึงบางอย่างที่พวกเขาทราบ เช่น รหัสผ่านหรือ PIN SAML ช่วยให้ทีมเทคนิคนำการรับรองความถูกต้องโดยใช้หลายปัจจัยไปใช้กับหลายเว็บไซต์และแอปได้ พวกเขาสามารถเลือกนำการรับรองความถูกต้องระดับนี้ไปใช้กับแอปทั้งหมดที่ผสานรวมกับ SAML หรือบังคับใช้การรับรองความถูกต้องโดยใช้หลายปัจจัยสำหรับบางแอปได้
ติดตาม Microsoft Security