Mis on SAML?
Lugege, kuidas valdkonna standardprotokoll SAML ehk turvadeklaratsioonide märgistuskeel aitab turbemeetmeid tugevdada ja pakkuda paremat sisselogimiskogemust.
SAML-i määratlus
SAML on tehnoloogia, mis võimaldab inimestel ühe identimisteabega üks kord sisse logides pääseda juurde mitmele rakendusele. Identiteedipakkujad, näiteks Microsoft Entra ID, kontrollivad sisse logiva kasutaja identiteeti ning edastavad siis SAML-i abil need autentimisandmed kasutaja soovitud saiti, teenuste või rakendust käitavale teenusepakkujale.
Mileks SAML-i kasutatakse?
SAML aitab turvalisust ettevõtete jaoks suurendada ning lihtsustab töötajate, partnerite ja klientide jaoks sisselogimist. Organisatsioonid kasutavad seda ühekordse sisselogimise lubamiseks, mis võimaldab inimestel kasutada sama kasutajanime ja parooli mitmele saidile, teenusele ja rakendusele juurdepääsuks. Mida vähem paroole peavad inimesed meelde jätma, seda lihtsam neil on, kuid üksiti vähendab see ka ohtu, et mõni neist paroolidest varastatakse. Samuti saavad organisatsioonid määrata autentimise turbestandardid oma SAML-i toega rakendustes. Näiteks saavad nad nõuda mitmikautentimist enne seda, kui inimene pääseb juurde kohapealsele võrgule ja rakendustele (nt Salesforce, Concur ja Adobe).
SAML aitab organisatsioonidel tegelda järgmiste kasutusjuhtumitega:
Identiteedi- ja juurdepääsuhalduse ühendamine:
Autentimise ja autoriseerimise haldamine ühes süsteemis aitab IT-meeskondadel märkimisväärselt vähendada aega, mis neil kulub kasutajate ettevalmistamiseks ja identiteetidele õiguste andmiseks.
Täisusaldamatuse lubamine:
Täisusaldamatuse turbestrateegia nõuab, et asutus või ettevõte kontrolliks iga juurdepääsutaotlust ning piiraks juurdepääsu delikaatsele teabele, lubades sellele teabele juurde üksnes inimesed, kellel on seda teavet tõepoolest vaja. Tehnikud saavad SAML-i abil rakendada poliitikad (nt mitmikautentimise ja tingimuspääsu) kõigile rakendustele. Samuti saavad nad lubada rangemaid turbemeetmeid, näiteks jõustada parooli lähtestamise, kui mõne kindla kasutaja risk on tema käitumise, seadme või asukoha tõttu tavapärasest suurem.
Töötajakogemuse rikastamine:
Lisaks juurdepääsu lihtsustamisele saavad IT-töötajad lisada ka sisselogimislehtedele kaubamärgikujunduse, et pakkuda inimestele ühtset kasutuskogemust kõigis rakendustes. Iseteenindusfunktsioonid, mis võimaldavad inimestel hõlpsasti ise oma paroole lähtestada, aitavad töötajatel aega kokku hoida.
Mis on SAML-i teenusepakkuja?
SAML-i teenusepakkuja on süsteem, mis jagab identiteetide autentimise ja autoriseerimise andmeid teiste teenusepakkujatega. SAML-i teenusepakkujaid on kahte tüüpi.
- Identiteedipakkujad autendivad ja autoriseerivad kasutajaid. Nemad esitavad sisselogimislehe, kus kasutaja saab oma identimisteabe sisestada. Samuti jõustavad nad turbepoliitikaid, nõudes näiteks mitmikautentimist või paroolilähtestust. Kui kasutaja on autoriseeritud, edastavad identiteedipakkujad andmed teenusepakkujatele.
- Teenusepakkujad on rakendused ja veebisaidid, millele inimesed soovivad juurde pääseda. Selle asemel, et nõuda inimestelt igasse rakendusse eraldi sisselogimist, konfigureerivad teenusepakkujad oma lahendused SAML-i autoriseerimist usaldama ning lubavad identiteedipakkujatel identiteete kontrollida ja juurdepääsu autoriseerida.
Kuidas SAML-i autentimine töötab?
SAML-i autentimise korral jagavad teenusepakkujad ja identiteedipakkujad üksteisega sisselogimisandmeid ja kasutajaandmeid veendumaks, et iga juurdepääsu taotlev isik on autenditud. Enamasti toimib see järgmiselt.
- Töötaja alustab tööd, logides sisse identiteedipakkuja esitatud sisselogimislehel.
- Identiteedipakkuja kontrollib, kas töötaja on see, kelle ta väidab end olevat. Selleks kontrollitakse üle teatud autentimisandmete (nt kasutajanime, parooli, PIN-koodi, seadme või biomeetriliste tunnuste) kombinatsioon.
- Töötaja käivitab teenusepakkuja rakenduse, näiteks Microsoft Wordi või Workday.
- Teenusepakkuja suhtleb identiteedipakkujaga veendumaks, et töötajal on õigus seda rakendust kasutada.
- Identiteedipakkujad saadavad vastu autoriseerimise ja autentimise.
- Töötaja pääseb rakendusele juurde ilma uuesti sisse logimata.
Mis on SAML-i identsustõend?
SAML-i identsustõend on XML-dokument andmetega, mis kinnitavad teenusepakkujale, et sisse logiv inimene on autenditud.
Tõendeid on kolme tüüpi:
- Autentimistõend tuvastab kasutaja ning sisaldab teavet inimese sisselogimise kellaaja ja kasutatud autentimistüübi (nt parool- või mitmikautentimine) kohta.
- Omistamistõend saadab SAML-i tõendi edasi teenusepakkujale. See tõend sisaldab kindlaid andmeid kasutaja kohta.
- Autoriseerimisotsuse tõend annab teenusepakkujale teada, kas kasutaja on autenditud või kas tema taotlus on tagasi lükatud näiteks identimisteabega seotud probleemi tõttu või põhjusel, et kasutajal pole selle teenuse jaoks nõutavaid õigusi.
SAML ja OAuth
Nii SAML kui ka OAuth hõlbustavad inimestel mitmele teenusele juurde pääsemist ilma igasse teenusesse eraldi sisse logimata. Need protokollid kasutavad siiski erinevat tehnoloogiat ja protsesse. SAML kasutab XML-i, et lubada inimestel sama identimisteabe abil mitmele teenusele juurde pääseda, OAuth aga kasutab autoriseerimisandmete edastamiseks JWT-d või JavaScripti objektiesitust.
OAuthi korral valivad inimesed teenusesse sisselogimiseks kolmanda osapoole kaudu autoriseerimise, näiteks oma Google’i või Facebooki konto, mitte ei loo teenuse jaoks uut kasutajanime või parooli. Autoriseerimine edastatakse kasutaja parooli kaitstes.
SAML-i roll ettevõtetes
SAML aitab ettevõtetel toetada hübriidtöökohtades nii tööviljakust kui ka turvalisust. Kuna aina enam inimesi töötab kodukontoris, on äärmiselt oluline võimalus pääseda ettevõtte ressurssidele hõlpsalt juurde täpselt seal, kus nad parajasti viibivad, ent ilma õigete turbemeetmeteta suurendab lihtne juurdepääs turbemurrete ohtu. SAML-i abil saavad ettevõtted ja asutused sisselogimisprotsessi töötajate jaoks sujuvamaks muuta, viies samas kõigis töötajate kasutatavates rakendustes sisse tugevad poliitikad, näiteks mitmikautentimist ja tingimuspääsu.
Alustamiseks peaksid organisatsioonid investeerima mõnda identiteedipakkuja lahendusse, näiteks Microsoft Entra ID. Microsoft Entra ID kaitseb kasutajaid ja andmeid sisseehitatud turbemeetmetega ning koondab identiteedihalduse ühte lahendusse. Iseteenindus ja ühekordne sisselogimine aitavad töötajatel tõhusalt ja viljakalt tööd teha. Lisaks tuleb Microsoft Entra ID-ga kaasa sisseehitatud SAML-i integratsioon tuhandete rakendustega, mille hulgas on näiteks Zoom, DocuSign, SAP Concur, Workday ja Amazon Web Services (AWS).
Lisateave Microsofti turbeteenuste kohta
Microsofti identiteet ja juurdepääs
Uurige lähemalt Microsofti pakutavaid laiahaardelisi identiteedi- ja juurdepääsulahendusi.
Ühekordne sisselogimine
Ühekordne sisselogimine (SSO) lihtsustab juurdepääsu teie tarkvarateenuste (SaaS) rakendustele, pilvrakendustele ja kohapealsetele rakendustele.
Mitmikautentimine
Kaitske oma asutuse turvalisust kaotsiläinud või varastatud identimisteabest tingitud turbemurrete eest.
Tingimusjuurdepääs
Reaalajas kohanduvad poliitikad võimaldavad kasutusele võtta üksikasjaliku juurdepääsu reguleerimise.
Rakenduste valmisintegratsioonid
Valmisintegratsioonid võimaldavad kasutajatel luua rakendustega turvalisema ühenduse.
Identiteetide ja juurdepääsu ajaveeb
Püsige kursis identiteedi- ja juurdepääsuhalduse uusimate teooriate ja aruteludega.
Korduma kippuvad küsimused
-
SAML hõlmab järgmisi komponente:
- Identiteediteenuse pakkujad autendivad ja autoriseerivad kasutajaid. Nad esitavad sisselogimislehe, kus inimesed saavad oma identimisteabe sisestada, ning rakendavad turbepoliitikaid (nõudes näiteks mitmikautentimist või paroolilähtestust). Kui kasutaja on autoriseeritud, edastavad identiteedipakkujad andmed teenusepakkujatele.
- Teenusepakkujad on rakendused ja veebisaidid, millele inimesed soovivad juurde pääseda. Selle asemel, et nõuda inimestelt igasse rakendusse eraldi sisselogimist, konfigureerivad teenusepakkujad oma lahendused SAML-i autoriseerimist usaldama ning lubavad identiteedipakkujatel identiteete kontrollida ja juurdepääsu autoriseerida.
- Metaandmed kirjeldavad, kuidas identiteedipakkujad ja teenusepakkujad omavahel tõendeid vahetavad; muu hulgas kirjeldavad metaandmed lõpp-punkte ja tehnoloogiat.
- Identsustõend kujutab endast autentimisandmeid, mis kinnitavad teenusepakkujale, et sisse logiv inimene on autenditud.
- Sertide allkirjastamine loob identiteedipakkuja ja teenusepakkuja vahel usalduse, kinnitades, et identsustõendit pole ühe teenusepakkuja juurest teise juurde liikumise ajal muudetud.
- Süsteemikellaaeg kinnitab taasesitusrünnete eest kaitse pakkumiseks, et teenusepakkuja ja identiteedipakkuja kasutavad sama kellaaega.
- Identiteediteenuse pakkujad autendivad ja autoriseerivad kasutajaid. Nad esitavad sisselogimislehe, kus inimesed saavad oma identimisteabe sisestada, ning rakendavad turbepoliitikaid (nõudes näiteks mitmikautentimist või paroolilähtestust). Kui kasutaja on autoriseeritud, edastavad identiteedipakkujad andmed teenusepakkujatele.
-
SAML pakub organisatsioonidele, nende töötajatele ja partneritele järgmisi eeliseid ja hüvesid:
- Täiustatud kasutuskogemus. SAML võimaldab asutustel ja ettevõtetel luua ühekordset sisselogimist kasutava keskkonna, et töötajad ja partnerid peaksid kõigile oma rakendustele juurdepääsuks sisse logima ainult üks kord. See muudab töö lihtsamaks ja mugavamaks, kuna meeldejätmist nõudvaid paroole on vähem ning kasutajad ei pea tööriista vahetades iga kord uuesti sisse logima.
- Täiustatud turvalisus. Vähemate paroolide kasutamine vähendab kontode ründe ohvriks langemise riski. Lisaks saavad turbemeeskonnad kasutada SAML-i kõigile rakendustele tugeva turbepoliitika rakendamiseks. Näiteks saavad nad sisselogimiseks nõuda mitmikautentimist või rakendada tingimuspääsu poliitikaid, mis piiravad seda, millistele rakendustele ja andmetele inimesed juurde pääsevad.
- Ühtne haldus. SAML-i kasutamine võimaldab tehnikutel hallata identiteete ja turbepoliitikaid ühes lahenduses koos – neil pole vaja kasutada iga rakenduse jaoks omaette halduskonsooli. See lihtsustab kasutajate ettevalmistamist oluliselt.
- Täiustatud kasutuskogemus. SAML võimaldab asutustel ja ettevõtetel luua ühekordset sisselogimist kasutava keskkonna, et töötajad ja partnerid peaksid kõigile oma rakendustele juurdepääsuks sisse logima ainult üks kord. See muudab töö lihtsamaks ja mugavamaks, kuna meeldejätmist nõudvaid paroole on vähem ning kasutajad ei pea tööriista vahetades iga kord uuesti sisse logima.
-
SAML on avatud standardil põhinev XML-tehnoloogia, mis võimaldab identiteedipakkujatel (nt Microsoft Entra ID) edastada autentimisandmeid teenusepakkujale, näiteks SaaS-rakendusele.
Ühekordse sisselogimise korral tuleb inimestel sisse logida ainult üks kord ning seejärel pääsevad nad juurde mitmele veebisaidile ja rakendusele. SAML lubab ühekordse sisselogimise, ent ühekordset sisselogimist saab kasutada ka teiste tehnoloogiatega. -
LDAP (Lightweight Directory Access Protocol ehk lihtsustatud kataloogisirvimise protokoll) on identiteedihalduse protokoll, mida kasutatakse kasutajaidentiteetide autentimiseks ja autoriseerimiseks. Kuna paljud teenusepakkujad toetavad LDAP-d, võib see olla ühekordse sisselogimise jaoks hea lahendus. Siiski tuleb arvestada, et tegemist on vanema tehnoloogiaga, mis veebirakenduste korral nii hästi ei toimi.
SAML on uuem tehnoloogia, mis on saadaval enamikus veebi- ja pilvrakendustes. Seetõttu on see tsentraliseeritud identiteedihalduse jaoks parem valik.
-
Mitmikautentimine (MFA) on turbemeede, mis nõuab inimestel oma identiteedi tõendamiseks rohkem kui ühe variandi kasutamist. Enamasti on selleks vaja midagi sellist, mis on inimesel olemas (nt seade), ja lisaks veel midagi sellist, mida inimene teab (nt parool või PIN-kood). SAML lubab tehnikutel mitmikautentimist rakendada mitmel veebisaidil ja rakenduses. Tehnikud saavad valida, kas rakendada see autentimistase kõigile SAML-iga integreeritud rakendustele või kasutada mitmikautentimist üksnes mõne, mitte kõigi rakenduste jaoks.
Jälgige Microsofti turbeteenust