Hinweis: Der folgende Artikel hilft Ihnen dabei: Wie lösen Sicherheitsexperten das Problem der Benutzerauthentifizierung für verschiedene Dienste?
Darüber hinaus nutzen die Mitarbeiter der Organisationen die oben genannte Technologie indirekt, um in die Systeme einzudringen. Diese Sprache vereinfacht die Benutzerauthentifizierung und ermöglicht Netzwerk- und Sicherheitsadministratoren die Authentifizierung von Personen mit weniger Aufwand.
Genauer gesagt stellt SAML einen sicheren Kommunikationskanal zwischen Systemen her und ermöglicht Benutzern den Zugriff auf verschiedene Techniken mit einem einzigen Benutzernamen und Passwort.
Was ist SAML?
SAML ist ein Standard, der auf der XML Extensible Markup Language basiert und einen standardisierten und sicheren Kommunikationskanal zwischen Identitätsanbietern und Dienstanbietern etabliert. Es ist einfach und schnell Authentifizierung Prozess, der von webbasierten Anwendungen großer Unternehmen wie Microsoft 365, Salesforce, Gmail und ähnlichen Beispielen verwendet wird. Dieses Protokoll führt verschiedene Integrations-, Identitätsverwaltungs- und einheitliche Identifizierungsaufgaben aus. Durch die Identitätsintegration können wir die Identitätsinformationen von Benutzern, die mit verschiedenen Anwendungen und Diensten verknüpft sind, an einem einzigen Ort speichern. Damit sich der Benutzer nur authentifiziert einmal und gibt den Benutzernamen und das Passwort ein, die er benötigt, um auf andere Systeme zugreifen zu können, die auf dem oben genannten Standard basieren. Mit SAML können Sicherheitsexperten die Identität von Benutzern genauer bestätigen. Bevor wir uns mit der technischen Diskussion von SAML befassen, geben wir ein Beispiel, um zu zeigen, was SAML ist und warum es funktionsfähig ist.
Nehmen wir an, Sie sind gerade einem Unternehmen beigetreten und erhalten von diesem eine geschäftliche E-Mail-Adresse und Zugriff auf ein webbasiertes Dashboard. Wenn Sie dieses Dashboard aufrufen, sehen Sie Symbole für alle externen Dienste, die das Unternehmen nutzt, wie Salesforce, Expensify, Jira, AWS und mehr.
Sie klicken auf das Salesforce-Symbol und es führt im Hintergrund etwas aus. Als Nächstes melden Sie sich bei dem Salesforce-Dienst an, den das Unternehmen abonniert hat, ohne spezifische Arbeits- oder Identitätsinformationen einzugeben. Was ist passiert, dass Sie die von dem Unternehmen betriebenen Drittanbieterdienste nutzen können, indem Sie Ihre Identitätsinformationen nur einmal eingeben? Die Antwort liegt darin SAML-Technologie. Diese auf dem XML-Standard basierende Technologie ermöglicht die Übertragung von Identitätsdaten zwischen zwei Identitätsanbieterdiensten (IdP) namens Identity Provider und einem Service Provider (SP) namens Service Provider.
-
Identitätsanbieter: Führt dies durch Authentifizierung verarbeitet und sendet Informationen über die Identität und Berechtigung des Nutzers an den Dienstanbieter.
-
Dienstanbieter: Der Dienstanbieter erhält Identitätsinformationen vom Identitätsanbieter und ermöglicht dem Benutzer den Zugriff auf die angeforderte Ressource.
Im obigen Szenario ist Ihr Unternehmen der Identitätsanbieter und Salesforce der Dienstanbieter. Sie melden sich mit Ihren Anmeldedaten im Unternehmens-Dashboard an, klicken auf das Salesforce-Symbol und Salesforce erkennt, dass Sie über auf Ressourcen zugreifen möchten SAML. Salesforce sendet in diesem Fall eine SAML-Anfrage an die Sicherheitsdienste des Unternehmens nach Ihren Authentifizierungsinformationen. Da Ihre Daten bereits im System des Unternehmens registriert sind, senden die Sicherheitsmechanismen die Authentifizierungsinformationen als SAML-Antwort über eine sichere und verschlüsselte Sitzung an Salesforce. Salesforce prüft diese Antwort und ermöglicht Ihnen den Zugriff auf die Ressource, wenn der Datenabgleichsprozess korrekt ist. Bitte beachten Sie, dass Sie bei all diesen Schritten einmal die Authentifizierungsinformationen eingeben und mit einem einfachen Klick mit den Drittanbieterdiensten verbunden werden, die das Unternehmen von den Dienstleistern erhalten hat.
Welche Probleme kann SAML lösen?
Normalerweise verwenden Systeme eine Datenbank oder ein Lightweight Access Protocol (LDAP), um Anmeldeinformationen und Daten von Benutzerkonten zu verwalten und Daten zu speichern, die zur Authentifizierung von Benutzern erforderlich sind.
Die Informationen dieses Repositorys werden zur Validierung verwendet, wann immer ein Benutzer beabsichtigt, das System zu betreten. Wenn sich eine Person bei mehreren Methoden anmelden möchte, für die jeweils unterschiedliche Identitätsinformationen erforderlich sind, müssen Benutzer die Anmeldeinformationen für alle ihre Benutzerkonten verwalten. Administratoren sind auch für die Registrierung oder Löschung dieser Informationen verantwortlich. Wie Sie vielleicht schon vermutet haben, führt der obige Prozess zu verschiedenen Problemen.
Mit dem Ziel, diese Probleme zu überwinden, SAML Technologie hat eine einheitliche bereitgestellt Authentifizierung Mechanismus zum Anmelden bei Websites und Anwendungen, die die genannte Technologie unterstützen. SAMLEs ist das am weitesten verbreitete webbasierte geeignete Authentifizierungsprotokoll, das kleine und große Organisationen verwenden können. Normalerweise werden Unternehmensbenutzer beim Einschalten ihres Systems mit einer Anmeldeseite konfrontiert, auf der das SAML-Protokoll zu dieser Seite hinzugefügt werden kann. In diesem Fall benötigen Benutzer nur eine einmalige Authentifizierung um sich bei allen Webanwendungen anzumelden.
Vorteile der SAML-Authentifizierung
Zu den Vorteilen von SAML – Basierend auf dem Authentifizierungsindex sollte Folgendes erwähnt werden:
- Verbesserte Benutzererfahrung: Benutzer melden sich nur einmal beim webbasierten Dashboard der Organisation an, um auf die Dienste verschiedener Anbieter zuzugreifen. Der obige Mechanismus ermöglicht die Authentifizierung Der Prozess kann schneller erledigt werden und der Benutzer kann schnell auf die erforderlichen Ressourcen zugreifen. Benutzer müssen sich nicht für jede App unterschiedliche Anmeldeinformationen merken.
- Erhöhte Sicherheit: SAML definiert einen zentralisierten und einheitlichen Mechanismus für Authentifizierung in Form eines sicheren Identitätsanbieterdienstes. Diese Form der Authentifizierung stellt sicher, dass Anmeldeinformationen direkt vom IdP versendet werden. Anschließend werden die Identitätsinformationen an die Dienstanbieter gesendet. SAML Es ist nicht erforderlich, Benutzerinformationen zwischen Verzeichnissen zu verwalten und zu synchronisieren.
- Reduzierte Kosten für Dienstleister: Durch die Nutzung SAML, müssen Sie keine Kontoinformationen für verschiedene Dienste pflegen. Der Identitätsanbieter führt alle diese Prozesse aus.
Wie funktioniert SAML?
SAML Ermöglicht Dienstanbietern oder Anwendungen das Delegieren Authentifizierung an einen dedizierten Dienstanbieter (IdP). In diesem Fall müssen die von Dienstanbietern verwendeten Mechanismen so konfiguriert werden, dass sie über koordinierte und integrierte Prozesse auf die Informationen des Identitätsanbieters zugreifen und diesen vertrauen. Für einen Dienstanbieter spielt es keine Rolle, wie der Identitätsanbieter die Identität und Anmeldeinformationen des Benutzers bewertet und überprüft. nur der Benutzer ist verifiziert Authentifizierung Informationen sind wichtig. Das entscheidende Prinzip besteht darin, dass der Benutzer über einen vom Identitätsdienstanbieter verwalteten Benutzernamen und ein Passwort auf die erforderlichen Ressourcen zugreifen kann.
-
John Maguire, der leitende Softwareentwickler, verweist auf ein spannendes Beispiel für die Teilnahme an einer Telefonkonferenz, um den oben genannten Mechanismus zu erklären. Er sagt: „Angenommen, ein Mitarbeiter klickt auf einen Link, um an einem virtuellen Meeting auf Basis der Webex-Technologie teilzunehmen und an einer Videokonferenz teilzunehmen, und nach dem Betreten der Webex-Seite wird ermittelt, von welchem IdP aus er teilnehmen soll.“ authentifizieren. Er wird benutzt. Als Nächstes leitet Webex den Benutzer an seinen IdP weiter und sendet eine Nachricht mit einer Authentifizierungsanfrage. IdP nutzt hierfür unterschiedliche Methoden. Daher werden der Status des Benutzerkontos und die Anmeldeinformationen überprüft. das Gerät, mit dem auf die Anwendung zugegriffen wird, und das Netzwerk, in dem sich der Benutzer befindet.
-
Darüber hinaus kann Webex einen Multi-Faktor-Authentifizierungsmechanismus verwenden. In diesem Fall konfigurieren Sicherheitsexperten die technische Infrastruktur, die für die Benutzerauthentifizierung erforderlich ist. Alle diese Schritte bestimmen, welche Authentifizierungsebene verwendet werden soll, z. B. Ein-Faktor-, Zwei-Faktor- oder Drei-Faktor-Authentifizierung.
Der IdP überprüft die oben genannten Daten und generiert eine Nachricht namens a SAML Behauptung, in der die Identität und Attribute des Benutzers bestätigt werden. Es verwendet kryptografische Algorithmen zum Nachweis der Authentizität und sendet diese Daten dann über einen Browser-Umleitungsprozess an Webex, das die Signatur validiert, die Daten des Benutzers verifiziert und dem Benutzer bei Genehmigung Zugriff auf die Anwendung gewährt. Wenn der IdP beispielsweise feststellt, dass es nicht möglich ist, den geografischen Standort des Benutzers zu identifizieren, stoppt er die Authentifizierung.
-
Jamie Pringle, der leitende Softwareentwickler, sagt: „Alle diese Prozesse und Kommunikationen werden über den Browser des Benutzers durchgeführt, während alles hinter den Kulissen geschieht. Deshalb werden für einen IDP mehrere Dienstleister eingerichtet.“
Einige Dienstanbieter unterstützen den SP-Initiated Process-Mechanismus nicht. Häufig, SAML -a basiert Authentifizierung Der Mechanismus wird auf zwei Arten implementiert. In einem vom Dienstanbieter initiierten Prozess versucht der Benutzer, sich in das Webportal des Dienstanbieters einzuloggen. In diesem Fall wird der Browser des Benutzers nicht nach Anmeldeinformationen gefragt, sondern über a an den Identitätsanbieter weitergeleitet SAML Anfrage für Authentifizierung. Bei einem vom IdP initiierten Prozess meldet sich ein Benutzer beim IdP an, authentifiziert sich und wird dann mit einer SAML-Assertion an den Dienstanbieter weitergeleitet. In diesem Fall kann nur die zweite Methode verwendet werden.
Wie können Unternehmen und Organisationen SAML nutzen?
Seit SAML Ursprünglich entworfen und entwickelt, ist es zum Standard für einheitliche webbasierte Lösungen geworden Authentifizierung. In Innerhalb kurzer Zeit hat es die Gunst der Unternehmen gewonnen, diesen Mechanismus zu nutzen authentifizieren ihre Mitarbeiter.
Michael Kelly, leitender Forschungsdirektor in der Closed Business Enablement Group von Gartner, sagte: „Da Unternehmen gezwungen sind, Anwendungen außerhalb der Unternehmensnetzwerkumgebung zu nutzen, um ihre täglichen Aufgaben zu erledigen, ist die Zugriffsverwaltung von entscheidender Bedeutung geworden.“ Aus diesem Grund ist die Bedeutung von SAML ist für Organisationen und Benutzer, die eine einheitliche Lösung benötigen, gestiegen Authentifizierung.
Die Vorteile dieser Architektur sind für Benutzer und Netzwerkadministratoren unkompliziert. Benutzer müssen digitale Anmeldeinformationen nicht mehr in verschiedenen Anwendungen eingeben. Nach der Authentifizierung können Benutzer eine Verbindung zu anderen Systemen herstellen, ohne sich mehrmals authentifizieren zu müssen. Im Allgemeinen sagt Aaron Parecki, Chief Security Strategy Director bei Okta: „Die Authentifizierung erfolgt sicherer.“,
Diese Methode hat für Benutzer vorbildliche Vorteile in Bezug auf die Sicherheit, da der Benutzer seine digitalen Zugangsdaten nur auf dem Server eingibt, der über diese Informationen verfügt und lokal ist. Wenn Sie sich bei einer App anmelden, müssen Sie dieser App nicht vertrauen, um Ihre Anmeldeinformationen zu verwalten. Alles wird über ein zentralisiertes und sicheres identitätsbasiertes System erledigt.
Maguire glaubt das SAML ermöglicht Administratoren die Verwendung eines einzigen Zugriffspunkts zur Implementierung von Sicherheitskontrollen für mehrere Anwendungen.
Anstatt sich also um 20 verschiedene Anwendungen und deren Probleme zu kümmern Authentifizierung Mithilfe dieser Methoden können sie einen IdP einrichten, um die Identität aller ihrer Benutzer zu überprüfen.
Auf diese Weise können Administratoren Richtlinien wie Multi-Faktor hinzufügen Authentifizierung zu den von ihnen unterstützten Diensten. Darüber hinaus verfügen sie über eine zentrale Anlaufstelle für die Untersuchung von Sicherheitsvorfällen. Trotz der Benutzerfreundlichkeit und einfachen Implementierung von SAMLDie obige Methode hat Nachteile, die nicht ignoriert werden sollten.
„Dieses Protokoll hat seine Nachteile“, sagt Kelly. Es fehlen beispielsweise Funktionen und Fähigkeiten, die in neueren Protokollen zu finden sind. Mit diesem Protokoll lässt sich jedoch problemlos arbeiten, wenn Sie über eine webbasierte Anwendung verfügen, die es nativ unterstützt.“
Neue Technologie, neue Standards
SAML war einer der ersten Standards, der das Problem der Web-basierten Lösung lösen sollte auAuthenticationnd ist im Vergleich zu anderen Protokollen weit verbreitet. Die meisten Cloud-Dienste, die Unternehmen nutzen, können integriert werden SAML. Typischerweise, Authentifizierung Dienstanbieter stellen den Verbrauchern Dokumentationen über die Anwendungen zur Verfügung, mit denen der Integrationsprozess stattgefunden hat, was in dieser Hinsicht hilfreich ist.
SAML ist ein Mitglied einer großen Familie moderner Authentifizierung Protokolle, die Standards wie OAuth und OIDC umfassen, bekannt als Open ID Connect. Sicherheitsadministratoren können das OAuth-Protokoll verwenden, um Benutzer zu authentifizieren und Anwendungen die Durchführung bestimmter Aktionen im Namen des Benutzers zu ermöglichen, sodass der Benutzer auf bestimmte Ressourcen zugreifen kann, ohne dass Anmeldeinformationen erforderlich sind. Das OIDC-Protokoll baut ebenfalls auf OAuth auf und ist ein offener Standard, den Unternehmen zur Validierung von Benutzeridentitäten verwenden können.
Parkey bezeichnet diesen Standard als die moderne Version von SAML.
„Ich denke, wenn man SAML für moderne Technologien nutzt, stößt man schnell an Grenzen.“ Er sagt: „In der Technologiewelt hat es viele Veränderungen gegeben SAML wurde ihrer Meinung nach nicht entwickelt. Betrachten Sie beispielsweise OpenID Connect, das für die Verwendung mit Smartphones entwickelt wurde und JSON anstelle von XML verwendet.
Laut Parkey, SAML könnte sich mit der Frage der Vereinheitlichung befasst haben authenAuthenticationEs wurde nicht für die API-basierte Welt entwickelt, die heute eine der wesentlichen Säulen der Web- und Informationstechnologie darstellt. Heutige Anwendungen müssen nicht nur die Identität des Benutzers kennen, sondern auch Zugriff auf APIs, was OIDC und OAuth besser können.
Authentifizierungsintegration
„Heutzutage werden eine Vielzahl von Aufgaben von APIs übernommen“, sagt Kelly. Auf die gleiche Weise gehen Entwickler auch bei der Entwicklung von Anwendungssoftware vor. Sie neigen dazu, APIs zu verwenden authenAuthenticatione Entwicklung von Anwendungen.
Auf diese Weise werden die Merkmale und Funktionen von OAuth und OIDC immer komplexer. Gleichzeitig, SAML hat ein einfaches Modell und es fehlen die peripheren Fähigkeiten von Prozessen, die auf Anwendungsprogrammierschnittstellen basieren. Während die Einführung und Nutzung von OAuth und ODIC täglich zunimmt, prognostiziert Kelly, dass es mindestens 8 bis 10 Jahre dauern wird, bis diese Technologien verfügbar sind SAML verdrängen.