Vad är SAML och hur fungerar det?

SAML står för Security Assertion Markup Language och är en öppen standard som skickar inloggningsdata för autentisering från identitetsleverantören (IdP) till tjänstleverantören (SP). Enkelt uttryckt så möjliggörs säker kommunikation mellan appar och att användare kan få tillgång med en enda uppsättning inloggningsdata.

Innan vi går in på djupet av vad SAML används för, hur SAML fungerar och hur en verksamhet kan dra fördel av det så måste du förstå vilka typer av SAML-leverantörer som hjälper till att göra denna process möjlig. Så vi börjar med det.

Typer av SAML-leverantörer

För att SAML ska fungera måste det finnas en leverantör av identitet (IdP) och en av tjänst (SP): 

• Identitetsleverantörer autentiserar användare: Dessa system ansvarar för att bekräfta att användarna är de som de påstår, och därefter skicka dessa data (och användarens åtkomsträtt) till en tjänstleverantör. Okta, Microsoft Active Directory (AD) och Microsoft Azure är alla exempel på identitetsleverantörer.
• Tjänstleverantörer auktoriserar användare: Dessa system använder autentiseringsdata från identitetsleverantören för att godkänna eller neka tillgång till en tjänst. Exempel är Salesforce, Box och annan högkvalitetsteknik.

SAML utgör länken mellan autentiseringen av användarens identitet och användarens behörighet att använda en tjänst. Det är språket som hjälper IdP och SP att kommunicera. När både en arbetsgivare (IdP) och ett SaaS-företag (SP) har implementerat SAML kan de enkelt autentisera behöriga användare.

Vad används SAML för?

SAML förändrar i grunden hur användare loggar in till tjänster eller webbplatser och är tänkt att förenkla federerad autentisering och auktorisering för alla parter: identitetsleverantörer, tjänstleverantörer och slutanvändare.

Istället för att kräva data som användarnamn och lösenord för varje inloggningsförsök så kan SAML hjälpa till att verifiera att användaren är den de säger sig vara och bekräfta behörighetsnivåer för att godkänna eller neka tillgång. Dessutom gör SAML att identitetsleverantörer och tjänstleverantörer kan existera separat vilket hjälper organisationer att centralisera hantering av användare och ge tillgång till olika programlösningar.

SAML används oftast för att möjliggöra Single Sign-On (SSO), som autentiserar behöriga användare mellan en identitetsleverantör och en tjänstleverantör. Organisationer som installerar SAML-konfigurerade appar kan exempelvis göra det möjligt för anställda att använda en enda uppsättning inloggningsdata för att logga in till en enhetlig kontrollpanel som ger dem direkt tillgång till alla produktivitets- och kommunikationsverktyg.

Hur SAML fungerar

SAML använder XML (Extensible Markup Language) för att kommunicera mellan IdP och SP. Detta utgörs av en SAML-försäkran, en typ av XML-dokument som en IdP skickar till en SP för auktorisering av en användare. 

Det finns tre typer av SAML-försäkran:

1. Autentiseringsförsäkran bekräftar en användares identitet och ger tiden för inloggningen samt det autentiseringsprotokoll som användes (t.ex. Kerberos eller, multifaktorautentisering).
2. Attributförsäkran skickar SAML-attribut (data som informerar om användaren) till tjänstleverantören.
3. Auktoriseringsförsäkran bekräftar att en användare är behörig att använda tjänsten och vilken behörighetsnivå den har, eller om identitetsleverantören nekar tillgång på grund av felaktigt lösenord eller saknad behörighet.

Sammanfattningsvis så fungerar SAML genom att skicka information om användare, deras inloggningar och attribut mellan en identitetsleverantör och en tjänstleverantör. När en användare loggar in med exempelvis SSO kommer IdP skicka SAML-attribut till SP så att användaren bara behöver logga in en gång.

Låt oss titta på hur detta kan fungera i praktiken. När en användare börjar arbeta på ett nytt företag får de en e-postadress och tillgång till en kontrollpanel. När de loggar in på denna kontrollpanel via en identitetsleverantör (t.ex. Okta), så ser de ikoner för externa tjänstleverantörer såsom Slack eller Salesforce. De kan sedan klicka på en av dessa ikoner och loggas då automatiskt in till den tjänsten utan att behöva ange sina inloggningsdata igen.

Men det finns faktiskt två typer av SAML-flöden som användaren kan gå igenom för att få tillgång till webbplatser, appar och online-tjänster: 

SAML-flöde startat av tjänstleverantören

Detta sker när användaren försöker logga in på en SAML-aktiverad tjänst via dess inloggningssida eller mobilapp. Istället för att be användaren att logga in omdirigerar tjänsten användaren till sin identitetsleverantör som hanterar autentiseringen. Om identiteten bekräftas får användaren tillgång till webbplatsen eller appen.

SAML-flöde startat av identitetsleverantören

Detta flöde sker när användaren loggar in till identitetsleverantören och startar en tjänst från dennes databas. Om de redan har ett konto hos SP får de omedelbar tillgång. Om inte kan vissa identitetsleverantörer använda SAML för att skapa ett nytt autentiserat konto för den tjänsten.

Fördelar med SAML

SAML ger både användare och företag många fördelar, inte minst genom att minska trasslet när flera webbappar används. Andra fördelar är:

Förbättrad upplevelse för användare

SAML gör det inte bara enklare att logga in till appar och tjänster, det hjälper också användare att bli mer produktiva eftersom de snabbt får tillgång till de verktyg de behöver i arbetet.

Färre borttappade inloggningsdata

När man behöver hoppa mellan flera olika inloggningar är det lätt att glömma bort lösenord, eller ännu värre skriver man upp dem vilket ökar risken för att de blir stulna. Med SAML behöver användaren bara komma ihåg ett användarnamn och ett lösenord.

Bättre säkerhet

SAML ger en enhetlig plats för autentisering hos en säker identitetsleverantör som sedan vidarebefordrar användarens identitetsinformation till tjänstleverantörer. Detta gör att inloggningsdata bara skickas direkt vilket minimerar risken för nätfiske eller stöld av identitet. 

Minskade kostnader

Implementering av SAML sparar påtaglig tid för administratörer eftersom behovet av att skicka serviceorder och återställning av lösenord elimineras. Det hjälper också till att hålla utvecklingskostnader (som ofta hänger samman med egna autentiseringsmetoder) minimala.

Förenklad användarhantering

När personalen använder många olika appar kan det vara en mardröm för IT-avdelningen att hantera behörigheter när anställda få nya befattningar eller slutar på företaget. SAML förenklar detta eftersom alla användare kan hanteras från en enda katalog.

Alternativ till SAML

SAML ger ett antal fördelar genom federerad identitet men det finns alternativa standarder som kan hjälpa företag och tjänster att säkert hantera och verifiera användaridentiteter.

OpenID: OpenID är en identitetsstandard med öppen källkod som gör att användare kan få tillgång till flera webbplatser och appar utan att behöva lämna ytterligare inloggningsinformation. Om du har loggat in på en webbplats med inloggningsdata från Google, YouTube eller Facebook så har du använt OpenID.

OAuth: OAuth (eller OpenAuth som är hela namnet) är en standard som utvecklades av Google och Twitter tillsammans för att förenkla inloggning mellan webbplatser. Den påminner om hur SAML delar information mellan appar (Facebook och Google är två OAuth-leverantörer som du säkert redan använt). Men det skiljer sig genom att använda JSON-tokens för att autentisera användare och är därför mer lämpat för mobila tillämpningar.

Web Services Federation: Web Services Federation används för att federera autentisering från tjänstleverantörer till identitetsleverantörer. Vanligtvis tycker man att det är enklare för utvecklare att implementera och att det stöds av populära identitetslösningar såsom AD men inte så mycket av molnleverantörer.

Komma igång med SAML

SAML är en nödvändig del av alla cybersäkerhetsstrategier eftersom den minimerar användning av inloggningsdata och gör att företag kan sköta revision och hantering av identiteter centralt. Dessutom ger den användarna enkel tillgång till de webbappar som de behöver vilket också kan sägas höja säkerheten.

Att komma igång med SAML är enkelt om man har rätt identitetsleverantör. Okta har t.ex. ett SAML-valideringsverktyg samt många olika SAML-verktyg med öppen kod på olika programmeringsspråk. 

Studera följande resurser för att få en bättre bild av hur SAML kan gynna organisationer och anställda: 

• Förstå SAML (dokumentation)
• SAML-integrationer med OpenID Connect och Partner IdP (produktdemo)

• SAML-integrationer av lokala appar och färdiga konfigurationer (produktdemo)