SAML là gì?

Tìm hiểu cách giao thức tiêu chuẩn ngành, ngôn ngữ đánh dấu xác nhận bảo mật (SAML), giúp tăng cường các biện pháp bảo mật và cải thiện trải nghiệm đăng nhập.

Định nghĩa về SAML

SAML là công nghệ cơ bản cho phép mọi người đăng nhập một lần bằng cách sử dụng một bộ thông tin xác thực và truy nhập vào nhiều ứng dụng. Nhà cung cấp danh tính, như Azure Active Directory (Azure AD), sẽ xác minh người dùng khi họ đăng nhập, sau đó sử dụng SAML để chuyển dữ liệu xác thực đó cho nhà cung cấp dịch vụ điều hành site, dịch vụ hoặc ứng dụng mà người dùng muốn truy nhập.

SAML được dùng cho mục đích gì?

SAML giúp tăng cường bảo mật cho doanh nghiệp và đơn giản hóa quy trình đăng nhập cho nhân viên, đối tác cũng như khách hàng. Các tổ chức sử dụng SAML để bật đăng nhập một lần, nhằm cho phép mọi người sử dụng một tên người dùng và mật khẩu để truy nhập vào nhiều site, dịch vụ và ứng dụng. Việc giảm số lượng mật khẩu mọi người cần ghi nhớ không chỉ trở nên dễ dàng hơn với họ, mà còn giảm rủi ro mật khẩu bị đánh cắp. Các tổ chức còn có thể đặt ra các tiêu chuẩn bảo mật cho hoạt động xác thực trên các ứng dụng hỗ trợ SAML của mình. Ví dụ: họ có thể yêu cầu xác thực đa yếu tố trước khi mọi người truy nhập vào các ứng dụng và mạng tại chỗ, như Salesforce, Concur và Adobe. 

 

SAML giúp các tổ chức giải quyết những trường hợp sử dụng sau đây:

 

Hợp nhất việc quản lý truy nhập và danh tính Azure:

Khi quản lý hoạt động xác thực và ủy quyền trong một hệ thống, các nhóm CNTT có thể giảm đáng kể thời gian cần dùng cho việc cấp phép người dùng và quyền sử dụng danh tính.

 

Bật Zero Trust:

Chiến lược bảo mật Zero Trust yêu cầu các tổ chức xác minh mọi yêu cầu truy nhập và giới hạn chỉ những người thực sự cần mới được phép truy nhập vào thông tin nhạy cảm. Các nhóm kỹ thuật có thể sử dụng SAML để đặt chính sách, như xác thực đa yếu tố và truy nhập có điều kiện, cho tất cả ứng dụng của họ. Họ cũng có thể kích hoạt các biện pháp bảo mật nghiêm ngặt hơn, như buộc đặt lại mật khẩu, khi rủi ro của người dùng tăng lên theo hành vi, thiết bị hoặc vị trí của họ.

 

Làm phong phú thêm trải nghiệm nhân viên:

Ngoài việc đơn giản hóa quyền truy nhập cho nhân viên, các nhóm CNTT còn có thể đánh dấu thương hiệu lên trang đăng nhập để tạo nên trải nghiệm nhất quán trên các ứng dụng. Nhân viên còn tiết kiệm được thời gian với trải nghiệm tự phục vụ, cho phép họ dễ dàng đặt lại mật khẩu của mình.

Nhà cung cấp SAML là gì?

Nhà cung cấp SAML là hệ thống chia sẻ dữ liệu ủy quyền và xác thực danh tính với các nhà cung cấp khác. Có hai loại nhà cung cấp SAML:

  • Nhà cung cấp danh tính xác thực và ủy quyền cho người dùng. Họ cung cấp trang đăng nhập làm nơi để mọi người nhập thông tin xác thực. Ngoài ra, họ còn thực thi các chính sách bảo mật, chẳng hạn như bằng cách yêu cầu xác thực đa yếu tố hoặc đặt lại mật khẩu. Sau khi người dùng được ủy quyền, nhà cung cấp danh tính sẽ chuyển dữ liệu cho nhà cung cấp dịch vụ. 
  • Nhà cung cấp dịch vụ là các ứng dụng và website mà mọi người muốn truy nhập. Thay vì yêu cầu mọi người đăng nhập vào từng ứng dụng, nhà cung cấp dịch vụ sẽ đặt cấu hình giải pháp để tin cậy ủy quyền SAML và dựa vào nhà cung cấp danh tính để xác minh danh tính cũng như ủy quyền truy nhập. 

Xác thực SAML hoạt động như thế nào?

Trong xác thực SAML, nhà cung cấp dịch vụ và nhà cung cấp danh tính chia sẻ dữ liệu đăng nhập và dữ liệu người dùng để xác nhận rằng mỗi người yêu cầu quyền truy nhập đều được xác thực. Quy trình này thường tuân theo các bước sau:

  1. Một nhân viên bắt đầu làm việc bằng cách đăng nhập trên trang đăng nhập do nhà cung cấp danh tính cung cấp.
  2. Nhà cung cấp danh tính xác thực rằng nhân viên chính là người mà họ tự nhận bằng cách xác nhận tổ hợp chi tiết xác thực, như tên người dùng, mật khẩu, mã PIN, thiết bị hoặc dữ liệu sinh trắc học.
  3. Nhân viên cho chạy ứng dụng nhà cung cấp dịch vụ, chẳng hạn như Microsoft Word hoặc Workday. 
  4. Nhà cung cấp dịch vụ liên lạc với nhà cung cấp danh tính để xác nhận rằng nhân viên đó được phép truy nhập ứng dụng đó.
  5. Nhà cung cấp danh tính sẽ gửi lại thông tin ủy quyền và xác thực.
  6. Nhân viên truy nhập ứng dụng mà không cần đăng nhập lần thứ hai.
     

Xác nhận SAML là gì?

Xác nhận SAML là tài liệu XML chứa dữ liệu để xác nhận với nhà cung cấp dịch vụ rằng người đang đăng nhập này đã được xác thực.

 

Có ba loại xác nhận:

  • Xác nhận xác thực để xác định người dùng, đồng thời bao gồm thời gian người dùng đăng nhập, cũng như loại xác thực họ đã sử dụng, như xác thực đa yếu tố hoặc mật khẩu
  • Xác nhận thuộc tính để truyền mã thông báo SAML cho nhà cung cấp. Xác nhận này bao gồm dữ liệu cụ thể về người dùng.
  • Xác nhận quyết định ủy quyền cho nhà cung cấp dịch vụ biết người dùng này đã được xác thực hay bị từ chối do sự cố với thông tin xác thực của họ hoặc vì họ không có quyền đối với dịch vụ đó. 

SAML so với OAuth

Cả SAML và OAuth đều giúp mọi người truy nhập nhiều dịch vụ dễ dàng hơn mà không cần đăng nhập vào từng dịch vụ riêng, tuy nhiên, hai giao thức này sử dụng công nghệ và quy trình khác nhau. SAML sử dụng XML để cho phép mọi người sử dụng cùng một thông tin xác thực để truy nhập vào nhiều dịch vụ, trong khi OAuth truyền dữ liệu ủy quyền bằng JWT hoặc Ký hiệu Đối tượng JavaScript.


Trong OAuth, mọi người chọn đăng nhập vào dịch vụ bằng cách sử dụng ủy quyền của bên thứ ba, chẳng hạn như tài khoản Google hoặc Facebook, thay vì tạo tên người dùng hoặc mật khẩu mới cho dịch vụ. Ủy quyền được thông qua trong khi bảo vệ mật khẩu của người dùng.

Vai trò của SAML dành cho doanh nghiệp

SAML giúp các doanh nghiệp hỗ trợ cả vấn đề năng suất lẫn bảo mật tại nơi làm việc kết hợp của họ. Khi số lượng người làm việc từ xa tăng lên, điều quan trọng là phải trao quyền cho họ để họ dễ dàng truy nhập vào tài nguyên công ty từ mọi nơi. Nhưng việc truy nhập dễ dàng mà không có các biện pháp kiểm soát bảo mật phù hợp sẽ làm tăng rủi ro vi phạm. Với SAML, các tổ chức có thể hợp lý hoá quy trình đăng nhập cho nhân viên trong khi thực thi các chính sách mạnh mẽ, như xác thực đa yếu tố và truy nhập có điều kiện, trên các ứng dụng mà nhân viên sử dụng.


Để bắt đầu, các tổ chức nên đầu tư vào giải pháp nhà cung cấp danh tính, như Azure AD. Azure AD bảo vệ người dùng và dữ liệu bằng tính năng bảo mật tích hợp sẵn và hợp nhất hoạt động quản lý danh tính thành một giải pháp duy nhất. Tính năng tự phục vụ và đăng nhập một lần giúp nhân viên dễ dàng và thuận lợi duy trì làm việc hiệu quả. Ngoài ra, Azure AD còn đi kèm các tích hợp SAML dựng sẵn với hàng nghìn ứng dụng, như Zoom, DocuSign, SAP Concur, Workday và Amazon Web Services (AWS).

Tìm hiểu thêm về Microsoft Security

Câu hỏi thường gặp

|

SAML bao gồm những thành phần sau:

  • Nhà cung cấp dịch vụ danh tính xác thực và ủy quyền cho người dùng. Họ cung cấp trang đăng nhập làm nơi để mọi người nhập thông tin xác thực và thực thi các chính sách bảo mật, chẳng hạn như yêu cầu xác thực đa yếu tố hoặc đặt lại mật khẩu. Sau khi người dùng được ủy quyền, nhà cung cấp danh tính sẽ chuyển dữ liệu cho nhà cung cấp dịch vụ.
  • Nhà cung cấp dịch vụ là các ứng dụng và website mà mọi người muốn truy nhập. Thay vì yêu cầu mọi người đăng nhập vào từng ứng dụng, nhà cung cấp dịch vụ sẽ đặt cấu hình giải pháp để tin cậy ủy quyền SAML và dựa vào nhà cung cấp danh tính để xác minh danh tính cũng như ủy quyền truy nhập.
  • Siêu dữ liệu mô tả cách nhà cung cấp danh tính và nhà cung cấp dịch vụ sẽ trao đổi thông tin xác nhận, trong đó có cả các điểm cuối và công nghệ.
  • Xác nhận là dữ liệu xác thực để xác nhận với nhà cung cấp dịch vụ rằng người đang đăng nhập này đã được xác thực.
  • Chứng chỉ chữ ký thiết lập lòng tin giữa nhà cung cấp danh tính và nhà cung cấp dịch vụ bằng cách xác nhận rằng nội dung xác nhận không bị thao túng trong khi di chuyển giữa hai nhà cung cấp.
  • Đồng hồ hệ thống xác nhận rằng nhà cung cấp dịch vụ và nhà cung cấp danh tính có cùng thời gian để bảo vệ trước các cuộc tấn công tái lập.

SAML cung cấp các lợi ích sau đây cho tổ chức, nhân viên và đối tác:

  • Trải nghiệm người dùng được nâng cao. SAML giúp các tổ chức tạo trải nghiệm đăng nhập một lần để nhân viên và đối tác đăng nhập một lần, cũng như có quyền truy nhập vào mọi ứng dụng của họ. Việc này giúp công việc trở nên dễ dàng và thuận lợi hơn vì số lượng mật khẩu cần ghi nhớ ít đi và nhân viên không phải đăng nhập mỗi khi chuyển công cụ.
  • Bảo mật được cải thiện. Số lượng mật khẩu ít đi giúp giảm rủi ro tài khoản bị xâm phạm. Ngoài ra, các nhóm bảo mật có thể sử dụng SAML để áp dụng chính sách bảo mật mạnh mẽ cho tất cả ứng dụng của họ. Ví dụ: họ có thể yêu cầu xác thực đa yếu tố để đăng nhập hoặc áp dụng chính sách truy nhập có điều kiện nhằm giới hạn những ứng dụng và dữ liệu mà mọi người có thể truy nhập.
  • Quản lý thống nhất. Bằng cách sử dụng SAML, các nhóm kỹ thuật sẽ quản lý chính sách bảo mật và danh tính trong một giải pháp thay vì sử dụng bảng điều khiển quản lý riêng cho từng ứng dụng. Việc này giúp đơn giản hóa đáng kể hoạt động cấp phép người dùng.

SAML là công nghệ XML tiêu chuẩn mở, cho phép nhà cung cấp danh tính, như Azure Active Directory (Azure AD) chuyển dữ liệu xác thực cho nhà cung cấp dịch vụ, như ứng dụng phần mềm dưới dạng dịch vụ.

 

Đăng nhập một lần là khi mọi người đăng nhập một lần rồi sau đó có quyền truy nhập vào một số website cũng như ứng dụng khác nhau. SAML hỗ trợ đăng nhập một lần nhưng bạn cũng có thể triển khai đăng nhập một lần với các công nghệ khác.

Giao thức Truy nhập Thư mục Hạng nhẹ (LDAP) là một giao thức quản lý danh tính dùng để xác thực và ủy quyền danh tính người dùng. Nhiều nhà cung cấp dịch vụ hỗ trợ LDAP nên đây có thể là giải pháp tốt cho đăng nhập một lần, tuy nhiên, vì là công nghệ cũ hơn nên LDAP sẽ không hoạt động tốt với các ứng dụng web.

 

SAML là công nghệ mới hơn, sẵn dùng trên hầu hết các ứng dụng web và đám mây, giúp giải pháp này trở thành lựa chọn phổ biến hơn cho hoạt động quản lý danh tính tập trung.

Xác thực đa yếu tố là một biện pháp bảo mật yêu cầu mọi người sử dụng nhiều yếu tố để chứng minh danh tính của họ. Thông thường, biện pháp này yêu cầu cá nhân phải có một số thứ, như thiết bị, cộng với thông tin mà họ biết, chẳng hạn như mật khẩu hoặc mã PIN. SAML cho phép các nhóm kỹ thuật áp dụng xác thực đa yếu tố cho nhiều website và ứng dụng. Họ có thể chọn áp dụng mức xác thực này cho mọi ứng dụng được tích hợp với SAML hoặc có thể thực thi xác thực đa yếu tố cho một số ứng dụng, thay vì những ứng dụng khác.