SAML är en teknik som gör det möjligt för användare att logga in en gång med en uppsättning autentiseringsuppgifter och sedan få tillgång till flera olika applikationer. Identitetsleverantörer som Microsoft Entra ID verifierar användare vid inloggning och använder sedan SAML för att överföra autentiseringsuppgifterna till tjänsteleverantören som driver den webbplats, tjänst eller app som användaren vill använda.
Användningsområden för SAML
SAML förbättrar säkerheten inom företag och förenklar inloggningsprocessen för anställda, partners och kunder. Genom att implementera enkel inloggning kan organisationer låta användare logga in en gång och få åtkomst till flera webbplatser, tjänster och appar med samma användarnamn och lösenord. Detta minskar antalet lösenord som användarna måste komma ihåg, vilket både gör det enklare för dem och minskar risken för att lösenord blir stulna. Organisationer kan också ställa in säkerhetsstandarder för autentisering på SAML-aktiverade appar, som att kräva multifaktorautentisering innan användare får åtkomst till system som Salesforce, Microsoft Office 365 och Google.
Användningsfall
Integrera identitets- och åtkomsthantering: Genom att konsolidera autentisering och auktorisering i ett system kan IT-team minska tiden som går åt till användarhantering och identitetsadministration.
Aktivera Zero Trust: En säkerhetsstrategi med zero trust kräver att alla åtkomstförfrågningar verifieras och att åtkomsten till känslig information begränsas till de som behöver den. Teknikteam kan använda SAML för att införa policyer som multifaktorautentisering och villkorlig åtkomst i alla sina appar, samt genomföra strikta säkerhetsåtgärder som lösenordsåterställning baserat på användarens beteende, enhet eller plats.
Förbättra användarupplevelsen: IT-team kan förenkla åtkomsten till resurser för medarbetarna och anpassa inloggningssidor för att skapa enhetliga upplevelser över olika appar. Medarbetare kan dessutom spara tid med självbetjäningsfunktioner som gör det enkelt att återställa lösenord.
SAML Federation
En SAML-federation är ett system som hjälper användare att få åtkomst till en nödvändig tjänst. SAML överför identitets- och auktoriseringsdata mellan två parter, en IdP och en SP. Det finns två huvudtyper av SAML-leverantörer:
Identity Provider (IdP): Dessa autentiserar och auktoriserar användare, och tillhandahåller inloggningssidan där användare anger sina autentiseringsuppgifter. De tillämpar säkerhetspolicyer, som att kräva multifaktorautentisering eller lösenordsåterställning. Efter att användaren har autentiserats skickar IdP vidare denna information till Service Provider.
Service Provider (SP): Dessa är de appar och webbplatser som användarna vill komma åt. Istället för att kräva att användarna loggar in separat på varje app, kan SP konfigurera sina system för att lita på SAML-autentisering, vilket innebär att de förlitar sig på att IdP verifierar användarnas identiteter och ger åtkomst.
Så fungerar SAML-autentisering
SAML-autentisering innebär att Service Provider och Identity Provider delar inloggnings- och användardata för att bekräfta att användare som begär åtkomst är autentiserade.
Processen brukar se ut så här:
- Användaren går/surfar till Service Provider/applikation.
- Användaren blir omdirigerad till IdP.
- Användaren loggar in hos IdP. IdP validerar inloggningsuppgifterna.
- IdP genererar en SAML-biljett/token/saml-assertion.
- Användaren blir omdirigerad med SAML-biljetten/token/assertion till Service Provider.
- Service Provider konsumerar SAML-biljetten/token/assertion och validerar att den är korrekt.
- Användaren får åtkomst till applikationen/loggas in.
Vad är SAML biljett/assertion?
SAML biljett/assertion är ett XML-dokument som skickas till Service Provider för att bekräfta att användaren som försöker logga in har autentiserats. En SAML biljett/assertion innehåller information om användaren bland annat:
- Autentiseringskontroll: Identifierar användare och innehåller en tidsstämpel för när användaren loggade in samt vilken typ av autentisering som användes, som lösenord eller multifaktorautentisering.
- Attributkontroll: Skickar vidare SAML-token till Service Provider och innehåller specifika data om användaren.
- Auktoriseringsbeslut: Informerar Service Provider om användaren har autentiserats eller om åtkomst nekats på grund av autentiseringsproblem eller otillräckliga behörigheter.
- Signaturkontroll: Säkerställer att Identity Provider har ställt ut just denna biljett/assertion.
SAML jämfört med OIDC
SAML (Security Assertion Markup Language) och OIDC (OpenID Connect) är båda protokoll för autentisering, men de används i olika sammanhang och har olika styrkor. SAML är ett XML-baserat protokoll som används främst för Single Sign-On (SSO) i företagsmiljöer, där det möjliggör säker autentisering och auktorisering över organisationsgränser. Det är särskilt effektivt i komplexa, storskaliga miljöer där säkerhet och samverkansförmåga är avgörande.
OIDC, å andra sidan, är en modern och lättviktig utvidgning av OAuth 2.0 som använder JSON Web Tokens för dataöverföring. Det är utformat för att vara enkelt att implementera och används ofta i webb- och mobilapplikationer. OIDC är idealiskt för konsumentorienterade tjänster där användarupplevelsen och snabb inloggning är viktiga.
Sammanfattningsvis: SAML är bäst lämpat för robusta företagsmiljöer med behov av omfattande säkerhet, medan OIDC passar bättre för moderna applikationer som kräver enkelhet och snabbhet.
SAML roll för företag
SAML hjälper företag att förbättra produktiviteten och säkerheten i hybridarbetsmiljöer. När fler arbetar på distans är det viktigt att de enkelt kan komma åt företagets resurser oavsett var de befinner sig. Utan rätt säkerhetsåtgärder ökar dock risken för intrång om åtkomsten är för enkel. SAML gör det möjligt för företag att effektivisera inloggningsprocessen för anställda samtidigt som de kan tillämpa strikta policyer som multifaktorautentisering och villkorlig åtkomst i apparna som de anställda använder.
Företag bör investera i en robust identitets- och åtkomsthanteringslösning som PhenixID Identity för att komma igång. PhenixID Identity skyddar användare och data med inbyggd säkerhet och samlar identitetshanteringen i en enda lösning. Med funktioner för självbetjäning och enkel inloggning kan anställda fortsätta vara produktiva. Genom att välja PhenixID Identity kan företag säkerställa en sömlös och säker åtkomstupplevelse för sina anställda, oavsett var de befinner sig.