什么是 SAML?

了解安全断言标记语言 (SAML) 这一行业标准协议如何强化安全措施并提升登录体验。

SAML 定义

SAML 是一种底层技术,用户可通过它使用一组凭据登录一次,然后即可访问多个应用程序。标识提供者(如 Azure Active Directory (Azure AD))会在用户登录时进行用户验证,然后使用 SAML 将该身份验证数据传递给运行用户希望访问的站点、服务或应用的服务提供商。

SAML 有何用途?

SAML 有助于增强企业的安全性,并简化员工、合作伙伴和客户的登录过程。组织用它来实现单一登录,这使用户能够使用一个用户名加密码访问多个站点、服务和应用。减少人们必须记住的密码数量对他们来说更容易操作,而且降低了其中一个密码被盗的风险。组织也可在其已启用 SAML 的应用中设置身份验证的安全标准。例如,他们可要求用户先进行多重身份验证才能访问本地网络和应用(例如 Salesforce、Concur 和 Adobe)。 

 

SAML 可帮助组织处理以下用例:

 

统一身份和访问管理:

通过在一个系统中管理身份验证和授权,IT 团队可大大缩短他们在用户预配和身份权利方面耗费的时间。

 

启用零信任:

零信任安全策略要求组织验证每个访问请求,并仅限需要敏感信息的用户访问这些信息。技术团队可使用 SAML 为其所有应用设置策略,例如多重身份验证和条件访问。当用户的行为、设备或位置导致用户风险增大时,他们还可实施更严格的安全措施,例如强制要求密码重置。

 

丰富员工体验:

除了简化员工访问,IT 团队还可在登录页面上标注品牌,跨应用创建一致的体验。员工也可通过自助服务体验轻松重置密码,从而节省时间。

什么是 SAML 提供程序?

SAML 提供程序是一种与其他提供程序共享标识身份验证和授权数据的系统。有两种类型的 SAML 提供程序:

  • 标识提供者对用户进行身份验证和授权。它们提供了登录页面,用户可在这里输入其凭据。它们还会强制实施安全策略,例如要求进行多重身份验证或密码重置。用户获得授权后,标识提供者会将数据传递给服务提供方。 
  • 服务提供方是用户需要访问的应用和网站。服务提供方会配置其解决方案来信任 SAML 授权,并依赖标识提供者来验证标识和授权访问,而不是要求用户单独登录他们的应用。 

SAML 身份验证的工作原理

在 SAML 身份验证中,服务提供方和标识提供者共享登录和用户数据来确认需要访问权限的每个人都经过身份验证。通常采用以下步骤:

  1. 员工首先使用标识提供者提供的登录页面进行登录。
  2. 标识提供者通过确认一组身份验证详细信息(例如用户名、密码、PIN、设备或生物特征数据)来验证员工是否是本人。
  3. 员工启动一个服务提供方应用,例如 Microsoft Word 或 Workday。 
  4. 服务提供方与标识提供者通信,来确认员工已获得授权可访问该应用。
  5. 标识提供者发回身份验证和授权。
  6. 员工没有再次登录就访问应用。
     

什么是 SAML 断言?

SAML 断言是一个包含数据的 XML 文档,用于向服务提供方确认登录的用户已经过身份验证。

 

存在三种类型:

  • 身份验证断言用于标识用户,并包含用户登录的时间及其使用的身份验证类型,例如密码或多重身份验证
  • 归因断言将 SAML 令牌传递给提供商。此断言包括关于用户的特定数据。
  • 授权决策断言告知服务提供方用户是否经过身份验证,或者用户是否因自身凭据问题或因为没有该服务的权限而遭到拒绝。 

SAML 与OAuth

用户使用 SAML 和 OAuth 可更轻松地访问多个服务,无需单独登录每个服务,但是这两个协议使用不同的技术和过程。SAML 使用 XML 来让用户使用相同的凭据访问多个服务,而 OAuth 使用 JWT 或 JavaScript 对象表示法来传递授权数据。


在 OAuth 中,用户选择使用第三方授权(例如 Google 或 Facebook 帐户)来登录服务,而不是为服务创建新的用户名或密码。在保护用户密码的同时传递授权。

SAML 对企业的作用

SAML 可帮助企业在其混合工作场所实现高效工作和安全性。随着越来越多的人远程工作,赋予他们随处轻松访问公司资源的能力至关重要,但是如果没有适当的安全控制措施,轻松访问会带来泄漏的风险。借助 SAML,组织可简化员工的登录过程,同时在其员工使用的应用中强制实施多重身份验证和条件访问等强大策略。


首先,组织应在 Azure AD 等标识提供者解决方案方面进行投入。Azure AD 使用内置安全性来保护用户和数据,同时将身份管理统一到单一解决方案中。通过自助服务和单一登录,员工轻松、便捷就能保持高效。此外,Azure AD 随附了与数千种应用的预构建 SAML 集成,这些应用包括 Zoom、DocuSign、SAP Concur、Workday 和 Amazon Web Services (AWS)。

详细了解 Microsoft 安全

常见问题解答

|

SAML 由以下部分组成:

  • 标识服务提供方对用户进行身份验证和授权。它们提供登录页面,用户可在这里输入其凭据并强制实施安全策略,例如要求进行多重身份验证或密码重置。用户获得授权后,标识提供者会将数据传递给服务提供方。
  • 服务提供方是用户需要访问的应用和网站。服务提供方会配置其解决方案来信任 SAML 授权,并依赖标识提供者来验证标识和授权访问,而不是要求用户单独登录他们的应用。
  • 元数据描述了标识提供者和服务提供方将如何交换终结点和技术等断言。
  • 断言是身份验证数据,用于向服务提供方确认登录的用户已经过身份验证。
  • 登录凭据通过确认断言在两个提供者之间传输时没有被操作,在标识提供者与服务提供方之间建立信任。
  • 系统时钟确认服务提供方和标识提供者有同样的时间来防御重放攻击。

SAML 向组织、其员工和合作伙伴提供以下好处:

  • 更卓越的用户体验。组织可使用 SAML 创建单一登录体验,这样员工和合作伙伴登录一次后就能访问其所有应用。这使操作变得更简单、更便捷,因为要记住的密码更少,而且员工不必每次切换工具时都要登录。
  • 更高的安全性。密码更少,因此账户被盗用的风险更低。此外,安全团队可使用 SAML 向其所有应用实施强大的安全策略。例如,他们可要求进行多重身份验证才能登录,或者应用限制用户可访问的用户和数据的条件访问策略。 
  • 统一管理。通过使用 SAML,技术团队可在一个解决方案中管理标识和安全策略,而不是为每个应用使用单独的管理控制台。这大大简化了用户预配操作。

SAML 是一种开放标准 XML 技术,标识提供者(例如 Azure Active Directory (Azure AD))可使用它将身份验证数据传递给服务型软件应用等服务提供方。

 

单一登录是指用户登录一次,然后就可访问多个不同的网站和应用。SAML 可实现单一登录,但也可使用其他技术部署单一登录。

轻型目录访问协议 (LDAP) 是一种标识管理协议,用于对用户标识进行身份验证和授权。很多服务提供方都支持 LDAP,因此它可能是非常适合单一登录的解决方案,但因为这项技术较旧,与 Web 应用程序搭配使用时效果不佳。

 

SAML 技术较新,可在大多数 Web 和云应用程序中使用,这使得它成为集中标识管理的更热门选择。

多重身份验证是一项安全措施,它要求用户使用多个要素来证明其身份。通常,它要求提供个人拥有的东西(例如设备)和用户知道的信息(例如密码或 PIN)。技术团队可使用 SAML 向多个网站和应用实施多重身份验证。他们可选择向与 SAML 集成的所有应用实施这一级别的身份验证,或者可对一些应用强制实施多重身份验证,但对其他应用不强制实施此验证。