详细了解 Microsoft 安全
|
SAML 由以下部分组成:
- 标识服务提供方对用户进行身份验证和授权。它们提供登录页面,用户可在这里输入其凭据并强制实施安全策略,例如要求进行多重身份验证或密码重置。用户获得授权后,标识提供者会将数据传递给服务提供方。
- 服务提供方是用户需要访问的应用和网站。服务提供方会配置其解决方案来信任 SAML 授权,并依赖标识提供者来验证标识和授权访问,而不是要求用户单独登录他们的应用。
- 元数据描述了标识提供者和服务提供方将如何交换终结点和技术等断言。
- 断言是身份验证数据,用于向服务提供方确认登录的用户已经过身份验证。
- 登录凭据通过确认断言在两个提供者之间传输时没有被操作,在标识提供者与服务提供方之间建立信任。
- 系统时钟确认服务提供方和标识提供者有同样的时间来防御重放攻击。
SAML 可为组织、其员工和合作伙伴提供以下优势:
- 更卓越的用户体验。组织可使用 SAML 创建单一登录体验,这样员工和合作伙伴登录一次后就能访问其所有应用。这使操作变得更简单、更便捷,因为要记住的密码更少,而且员工不必每次切换工具时都要登录。
- 更高的安全性。密码更少,因此账户被盗用的风险更低。此外,安全团队可使用 SAML 向其所有应用实施强大的安全策略。例如,他们可要求进行多重身份验证才能登录,或者应用限制用户可访问的用户和数据的条件访问策略。
- 统一管理。通过使用 SAML,技术团队可在一个解决方案中管理标识和安全策略,而不是为每个应用使用单独的管理控制台。这大大简化了用户预配操作。
SAML 是一种开放标准 XML 技术,标识提供者(例如 Microsoft Entra ID)可使用它将身份验证数据传递给服务型软件应用等服务提供方。
单一登录是指用户登录一次,然后就可访问多个不同的网站和应用。SAML 可实现单一登录,但也可使用其他技术部署单一登录。
轻型目录访问协议 (LDAP) 是一种标识管理协议,用于对用户标识进行身份验证和授权。很多服务提供方都支持 LDAP,因此它可能是非常适合单一登录的解决方案,但因为这项技术较旧,与 Web 应用程序搭配使用时效果不佳。
SAML 技术较新,可在大多数 Web 和云应用程序中使用,这使得它成为集中标识管理的更热门选择。
多重身份验证是一项安全措施,它要求用户使用多个要素来证明其身份。通常,它要求提供个人拥有的东西(例如设备)和用户知道的信息(例如密码或 PIN)。技术团队可使用 SAML 向多个网站和应用实施多重身份验证。他们可选择向与 SAML 集成的所有应用实施这一级别的身份验证,或者可对一些应用强制实施多重身份验证,但对其他应用不强制实施此验证。