SAML steht für Security Assertion Markup Language, ein offener Standard, der Autorisierungsdaten von Identitätsanbietern (Identity Providers, IdPs) an Dienstanbieter (Service Providers, SPs) weitergibt. Vereinfacht ausgedrückt, ermöglicht es eine sichere Kommunikation zwischen Anwendungen und ermöglicht Benutzern den Zugriff mit einem einzigen Satz von Anmeldedaten.
Bevor wir zu tief in die Verwendung von SAML, die Funktionsweise von SAML und die Vorteile für Unternehmen eintauchen können, müssen Sie die Arten von SAML-Providern verstehen, die diesen Prozess ermöglichen. Also lasst uns dort beginnen.
Arten von SAML-Providern
Damit SAML funktionieren kann, sind ein Identitätsanbieter und ein Dienstanbieter erforderlich:
- Identitätsanbieter authentifizieren Benutzer: Diese Systeme sind dafür verantwortlich zu bestätigen, dass ein Benutzer der ist, der er vorgibt zu sein, und senden diese Daten (und die Zugriffsrechte des Benutzers) an einen Dienstanbieter. Okta, Microsoft Active Directory (AD) und Microsoft Azure sind alles Beispiele für Identitätsanbieter.
- Dienstanbieter autorisieren Benutzer: Diese Systeme verwenden die Authentifizierungsdaten eines Identity Providers, um den Zugriff auf einen Dienst zu gewähren. Beispiele hierfür sind Salesforce, Box und andere Best-of-Breed-Technologien.
SAML ist daher die Verbindung zwischen der Authentifizierung der Identität eines Benutzers und der Autorisierung zur Nutzung eines Dienstes. Es ist die Sprache, die IdPs und SPs bei der Kommunikation hilft. Wenn ein Arbeitgeber (der IdP) und ein SaaS-Unternehmen (der SP) beide SAML implementieren, können sie akkreditierte Benutzer nahtlos authentifizieren.
Wofür wird SAML verwendet?
SAML verändert grundlegend, wie sich Benutzer bei Diensten oder Webseiten anmelden, und soll die föderierten Authentifizierungs- und Autorisierungsprozesse für alle Beteiligten vereinfachen: Identitätsanbieter, Dienstanbieter und Endbenutzer.
Anstatt bei jedem Anmeldeversuch Anmeldedaten wie Benutzername und Passwort abzufragen, kann SAML helfen zu überprüfen, ob ein Benutzer der ist, der er vorgibt zu sein, und die Berechtigungsstufen zu bestätigen, um den Zugriff entweder zu gewähren oder zu verweigern. Darüber hinaus ermöglicht SAML, dass Identitätsanbieter und Dienstanbieter separat existieren können, was Organisationen hilft, das Benutzermanagement zu zentralisierenund den Zugriff auf verschiedene Softwarelösungen zu ermöglichen.
SAML wird am häufigsten verwendet, um Single Sign-On (SSO) zu ermöglichen, das akkreditierte Benutzer zwischen einem Identitätsanbieter und einem Dienstanbieter authentifiziert. Organisationen, die SAML-konfigurierte Anwendungen einsetzen, können beispielsweise ihren Mitarbeitern ermöglichen, nur einen Satz von Anmeldedaten zu verwenden, um sich bei einem einzigen Dashboard anzumelden, das ihnen direkten Zugriff auf alle ihre Produktivitäts- und Kommunikationstools ermöglicht.
how saml works
SAML verwendet Extensible Markup Language (XML) zur Kommunikation zwischen dem Identitätsanbieter und dem Dienstanbieter. Dies geschieht in Form einer SAML-Assertion, einer Art XML-Dokument, das ein Identitätsanbieter an einen Dienstanbieter sendet, um einen Benutzer zu autorisieren.
Es gibt drei Arten von SAML-Assertions:
- Authentifizierungs-Assertions beweisen die Identität eines Benutzers und geben die Zeit an, zu der er sich angemeldet hat, sowie das verwendete Authentifizierungsprotokoll (z. B. Kerberos, Multi-Faktor-Authentifizierung).
- Attributionsbehauptungen übergeben SAML-Attribute – die Datenelemente, die Informationen über den Benutzer liefern – an den Dienstanbieter.
- Autorisierungszusicherungen bestätigen, ob der Benutzer berechtigt ist, einen Dienst zu nutzen – und in welchem Umfang er dazu berechtigt ist – oder ob der Identitätsanbieter seine Anfrage aufgrund eines Fehlers beim Passwort oder fehlender Zugriffsrechte abgelehnt hat.
Zusammenfassend lässt sich sagen, dass SAML funktioniert, indem Informationen über Benutzer, ihre Anmeldungen und ihre Attribute zwischen einem Identitätsanbieter und einem Dienstanbieter ausgetauscht werden. Wenn sich ein Benutzer beispielsweise über SSO anmeldet, übergibt der IdP SAML-Attribute an den SP, wodurch sichergestellt wird, dass sich der Benutzer nur einmal anmelden muss.
Sehen wir uns an, wie sich dies im Alltag auswirken könnte. Wenn ein Benutzer bei einem neuen Unternehmen anfängt, erhält er eine E-Mail-Adresse und Zugriff auf ein Dashboard. Wenn er sich mit einem Identity Provider (wie Okta) bei diesem Dashboard anmeldet, werden ihm Symbole externer Service Provider wie Slack oder Salesforce angezeigt. Sie können dann auf eines dieser Symbole klicken und werden automatisch bei diesem Dienst angemeldet, ohne ihre Anmeldeinformationen erneut eingeben zu müssen.
Allerdings gibt es tatsächlich zwei Arten von SAML-Flows, die Benutzer durchlaufen können, um auf Websites, Anwendungen und Online-Dienste zuzugreifen:
Dienstanbieter-initiierter SAML-Flow
Dies tritt auf, wenn ein Benutzer versucht, sich über die Anmeldeseite oder die mobile App bei einem SAML-fähigen Dienst anzumelden. Anstatt den Benutzer aufzufordern, sich anzumelden, leitet der Dienst den Benutzer an seinen Identitätsanbieter weiter, um die Authentifizierung zu übernehmen. Wenn seine Identität bestätigt wird, erhält er Zugriff auf die Website oder App.
Identitätsanbieter-initiierter SAML-Flow
Dieser Ablauf findet statt, wenn sich ein Benutzer beim Identitätsanbieter anmeldet und eine Dienstanwendung aus seiner Datenbank startet. Wenn sie bereits ein Konto beim Dienstanbieter haben, erhalten sie automatisch Zugriff. Wenn nicht, können einige Identitätsanbieter SAML verwenden, um ein neues, authentifiziertes Konto für diesen Dienst zu erstellen.
Vorteile von SAML
SAML bietet viele Vorteile für Benutzer und Unternehmen gleichermaßen, nicht zuletzt die Reduzierung der Reibungsverluste bei der Nutzung mehrerer Web-Apps. Weitere Vorteile sind:
Verbesserte Benutzererlebnisse
SAML erleichtert nicht nur die Anmeldung bei Anwendungen und Diensten, sondern hilft Benutzern auch, produktiver zu sein, da sie problemlos auf die Tools zugreifen können, die sie zur Erledigung ihrer Aufgaben benötigen.
Weniger verlorene Anmeldedaten
Das Jonglieren mit mehreren Anmeldungen führt oft dazu, dass Leute ihre Passwörter vergessen – oder schlimmer noch, sie aufschreiben, was das Risiko erhöht, dass diese Anmeldedaten gestohlen werden. Mit SAML müssen Benutzer nur eine Kombination aus Benutzername und Passwort kennen.
Größere Sicherheit
SAML bietet einen einzigen Authentifizierungspunkt bei einem sicheren Identitätsanbieter, der dann die Identitätsinformationen des Benutzers an Dienstanbieter überträgt. Dies stellt sicher, dass Anmeldedaten nur direkt gesendet werden, wodurch Möglichkeiten für Phishing oder Identitätsdiebstahl minimiert werden.
Reduzierte Kosten
Die Implementierung von SAML spart erheblich Zeit bei der Administration, da sie dazu beiträgt, die Notwendigkeit von Ticket-Einreichungen und Passwortzurücksetzungen zu eliminieren. Außerdem trägt sie dazu bei, die Entwicklungskosten (die oft mit proprietären Authentifizierungsmethoden verbunden sind) auf ein Minimum zu beschränken.
Vereinfachte Benutzerverwaltung
Da Mitarbeiter mehrere Anwendungen nutzen, kann es für IT-Abteilungen zum Albtraum werden, Zugriffsrechte zu verwalten, wenn sich Rollen ändern oder Mitarbeiter das Unternehmen verlassen. SAML vereinfacht dies, da jeder Benutzer über ein einziges Verzeichnis verwaltet werden kann.
Alternativen zu SAML
Während SAML eine Reihe von Vorteilen in Bezug auf Identity Federation bietet, gibt es alternative Standards, die Unternehmen und Diensten helfen, Benutzeridentitäten sicher zu verwalten und zu genehmigen.
OpenID: OpenID ist ein Open-Source-Identitätsstandard, der es Benutzern ermöglicht, auf mehrere Websites und Apps zuzugreifen, ohne zusätzliche Anmeldeinformationen weiterzugeben. Wenn Sie sich jemals mit Ihren Google-, YouTube- oder Facebook-Anmeldeinformationen auf einer Website angemeldet haben, haben Sie OpenID erlebt.
OAuth: OAuth (oder OpenAuth, wenn Sie den vollständigen Namen verwenden möchten) ist ein Standard, der gemeinsam von Google und Twitter entwickelt wurde, um optimierte Anmeldungen zwischen Websites zu ermöglichen. Es ähnelt SAML in der Art und Weise, wie es Informationen zwischen Anwendungen austauscht (Facebook und Google sind zwei OAuth-Anbieter, die Sie wahrscheinlich schon einmal verwendet haben). Es unterscheidet sich jedoch dadurch, dass es JSON-Tokens zur Authentifizierung von Benutzern verwendet und daher besser für Mobilgeräte geeignet ist.
Web Service Federation: Web Services Federation wird verwendet, um die Authentifizierung von Dienstanbietern an Identitätsanbieter zu übertragen. Es wird im Allgemeinen als einfacher für Entwickler zu implementieren angesehen und wird von gängigen Identitätsanbietern wie AD gut unterstützt, jedoch weniger von Cloud-Anbietern.
Erste Schritte mit SAML
SAML ist ein wichtiger Bestandteil jeder Cybersicherheitsstrategie, da es die Verwendung von Anmeldedaten einschränkt und es Unternehmen ermöglicht, Identitäten zentral zu prüfen und zu verwalten. Darüber hinaus bietet es Benutzern einfachen Zugriff auf die Web-Apps, die sie benötigen – auf eine Weise, die auch die Sicherheit erhöht.
Der Einstieg in SAML ist mit dem richtigen Identitätsanbieter einfach. Okta bietet beispielsweise ein SAML-Validierungstool sowie verschiedene Open-Source-SAML-Toolkits in verschiedenen Programmiersprachen.
Um ein besseres Bild davon zu erhalten, wie SAML Unternehmen und Mitarbeitern zugute kommt, sehen Sie sich die folgenden Ressourcen an:
- SAML verstehen (Dokumentation)
- SAML-Integrationen OpenID Connect und Partner IdP (Produktdemo)
