Was ist SAML und wie funktioniert es? | OKTA
Von CRMs für Verkäufer bis hin zu Rechnungssystemen für Buchhalter hat die Verbreitung von SaaS-Webanwendungen vielen Mitarbeitern das Leben erleichtert. Die Einführung produktivitätssteigernder Anwendungen kann aber zu unbeabsichtigten Ineffizienzen und Risiken führen. Das reicht von häufigen „Ich habe mein Passwort vergessen“-Anrufen, die die IT-Abteilung überfluten, bis hin zu einem erhöhten Risiko von Datenschutzverletzungen. Diese Probleme werden von der Security Assertion Markup Language (SAML) gelöst, dank der Benutzer mit ihren Zugangsdaten aus Active Directory auf verschiedene externe Anwendungen zugreifen können.
Was ist SAML und wie funktioniert es?
SAML ist ein offener Standard, der die sichere Übermittlung von Identitätsdaten zwischen Organisationen durch Authentifizierungs- und Autorisierungsfunktionen ermöglicht. Am häufigsten wird SAML verwendet, um Single Sign-On-Funktionen zwischen einem Identitätsprovider (IDP) und einem Serviceprovider (SP). Wenn ein IDP, beispielsweise ein Arbeitgeber, und ein SP, beispielsweise ein SaaS-Unternehmen, auf beiden Seiten SAML implementieren, können akkreditierte Benutzer, die mit dem IDP verbunden sind, nahtlos für die Nutzung des SP authentifiziert werden.
Zunächst baut ein Benutzer eine Verbindung zum SP auf, entweder über eine URL oder über einen Portal-Link. Anschließend aktiviert und bestätigt die föderierte Identitätsmanagementsoftware des IDP die Identität des Benutzers. Der IDP benachrichtigt die föderierte Identitätsmanagementsoftware des SP über die Authentifizierung. Die mit einem Token versehene Nachricht enthält alle notwendigen Benutzerdaten wie Berechtigungen und Gruppen. Die föderierte Identitätsmanagementsoftware des SP bestimmt dann, dass die Nachricht von einem vertrauenswürdigen IDP kommt und öffnet eine Sitzung für den Benutzer in der App.
Was spricht für SAML?
SAML hat für den IDP, den einzelnen Benutzer sowie den SP diverse Vorteile.
Bei IDPs spart die Implementierung von SAML Verwaltungszeit, da Tätigkeiten wie die Passwortrücksetzung entfallen. SAML erhöht auch die Sicherheit, weil die Kontrolle über die Authentifizierung und den Zugriff beim zentralen IDP verbleibt. Darüber hinaus entfallen die Entwicklungskosten, die mit proprietären Single-Sign-On-Verfahren (SSO) verbunden sind. Da Mitarbeiter zunehmend mehrere SaaS-Anwendungen nutzen, steigt auch der Aufwand für die IT-Abteilung, wenn Mitarbeiter das Unternehmen verlassen oder im Unternehmen versetzt werden und ihr Kontozugriff geändert oder widerrufen werden muss. Mit SAML kann jeder Benutzer mit einem einzigen, internen Satz von Zugangsdaten verwaltet werden. SAML reduziert auch Sicherheitsrisiken, indem Angriffspunkte für Phishing und Identitätsdiebstahl eingeschränkt werden.
Für Mitarbeiter ist der Zugriff auf externe SPs nahtlos: Bei der Anmeldung über Single Sign-On kann der Endbenutzer auf die verschiedenen Apps zugreifen, die er benötigt, ohne sich bei jedem SP separat anzumelden.
Schließlich führt SAML bei SPs zu einer intensiveren Nutzung, da die Eintrittsbarrieren gesenkt werden. Frustrierte Mitarbeiter, die Schwierigkeiten bei der Anmeldung an verschiedenen Apps haben, neigen dazu, diese in ihren Workflows zu umgehen. SAML verringert auch die Sicherheitsrisiken für SPs, da keine Anmeldeinformationen für einzelne Benutzer zu speichern sind, wodurch ein viel geringeres Risiko für große Datenlecks (bei denen sensible Benutzerdaten entwendet werden) besteht.
Der Nachteil von SAML besteht darin, dass viele Access-Management- und Föderationsprodukte die Konfiguration von SAML zu einer komplexen Aufgabe machen: Jede SAML-Integration kann Systemintegrationsarbeiten erfordern, die je nach Komplexität oder Besonderheiten der SAML-Anforderungen des SP Wochen oder Monate in Anspruch nehmen können. Modernere Access-Management-Produkte haben die SAML-Konfiguration jedoch vereinfacht und sogar Hunderte von Anwendungen bereits fertig integriert. Mit einem einfachen Setup-Assistenten und aktuellen Integrationen ist SAML einfach zu implementieren und zuverlässig. In stark ausgelasteten IT-Abteilungen setzt das wertvolle Arbeitszeit für Kernaufgaben frei, schafft neue Möglichkeiten für Effizienzsteigerungen und ermöglicht bei Wachstum des Unternehmens eine Skalierung der IT ohne eine wachsende Zahl von Supportanfragen.
Erste Schritte
Aller Anfang ist leicht: Okta bietet ein SAML-Validierungstool, zudem gibt es viele Open-Source-SAML-Toolkits für SPs in verschiedenen Programmiersprachen.ng languages. Wenn Sie noch mehr Unterstützung in anderen Anwendungsgebieten suche – und dabei skalierbare Sicherheit benötigen –, können Sie unsere Komplettlösung 30 Tage lang kostenlos testen.
Weitere Informationen:
- SAML-Dokumentation
- Produktdemo | SAML-Integration von OpenID Connect und Partner-IDP
- Produktdemo | SAML-Integration von lokalen Anwendungen und vorgefertigten Konfigurationen