SAML: Definition, Vorteile und wie es funktioniert
- Was ist SAML und wie funktioniert es?
- Wie funktioniert SAML?
- Was ist ein SAML-Provider?
- Was ist eine SAML-Assertion?
- Was sind die Vorteile von SAML?
- Single Sign-On (SSO) mit SAML
- SAML und Oauth: Die wichtigsten Unterschiede
- Häufige Fehlannahmen über SAML
- Erste Schritte
Von CRMs für Verkäufer bis hin zu Rechnungssystemen für Buchhalter hat die Verbreitung von SaaS-Webanwendungen vielen Mitarbeitern das Leben erleichtert. Die Einführung produktivitätssteigernder Anwendungen kann aber zu unbeabsichtigten Ineffizienzen und Risiken führen. Das reicht von häufigen „Ich habe mein Passwort vergessen“-Anrufen, die die IT-Abteilung überfluten, bis hin zu einem erhöhten Risiko von Datenschutzverletzungen. Diese Probleme werden von der Security Assertion Markup Language (SAML) gelöst, dank der Benutzer mit ihren Zugangsdaten aus Active Directory auf verschiedene externe Anwendungen zugreifen können.
Was ist SAML und wie funktioniert es?
SAML (Security Assertion Markup Language) ist ein offener Standard, der den sicheren und effizienten Austausch von Authentifizierungs- und Autorisierungsdaten zwischen Identity Providers (IdPs) und Service Providers (SPs) erleichtern soll. SAML wird häufig zur Implementierung von Single Sign-On (SSO)-Lösungen verwendet, die es Benutzern ermöglichen, sich einmal zu authentifizieren und Zugang zu mehreren Anwendungen und Diensten zu erhalten, ohne dass sie ihre Anmeldedaten erneut eingeben müssen.
Wie funktioniert SAML?
Wenn ein IDP, beispielsweise ein Arbeitgeber, und ein SP, beispielsweise ein SaaS-Unternehmen, auf beiden Seiten SAML implementieren, können akkreditierte Benutzer, die mit dem IDP verbunden sind, nahtlos für die Nutzung des SP authentifiziert werden.
Beispiel eines SAML-Workflows
1. Zunächst baut ein Benutzer eine Verbindung zum Service Provider (SP) auf, entweder über eine URL oder über einen Portal-Link.
2. Anschließend aktiviert und bestätigt die föderierte Identitätsmanagementsoftware des IDP die Identität des Benutzers.
3. Der IDP benachrichtigt die föderierte Identitätsmanagementsoftware des SP über die Authentifizierung.
4. Die mit einem Token versehene Nachricht enthält alle notwendigen Benutzerdaten wie Berechtigungen und Gruppen.
5. Die föderierte Identitätsmanagementsoftware des SP bestimmt dann, dass die Nachricht von einem vertrauenswürdigen IDP kommt und öffnet eine Sitzung für den Benutzer in der App.
Was ist ein SAML-Provider?
Ein SAML-Provider ist ein System, das Benutzern den Zugriff auf benötigte Dienste erleichtert. Man unterscheidet zwischen zwei verschiedene Arten von SAML-Providern: Dem Identity Provider (IDP) und dem Service Provider (SP).
Der Identity Provider prüft während der Authentifizierung, ob der Endbenutzer tatsächlich die Person ist, für die er sich ausgibt. Anschließend sendet er diese Informationen zusammen mit den Zugriffsrechten an den Service Provider. Der Service Provider benötigt und erhält die Authentifizierung durch einen Identity Provider, um dann dem Benutzer einen Zugang zu gewähren.
Was ist eine SAML-Assertion?
Die SAML-Assertion bezeichnet ein XML-Dokument, das der Identity Provider an den Service Provider übermittelt und die Benutzerberechtigungen dokumentiert. Es gibt drei Haupttypen von SAML-Assertions:
• Die Authentifizierungs-Assertion: Sie dient als Nachweis für die Identität des Benutzers. Sie gibt an, wann der Benutzer sich angemeldet hat und welche Authentifizierungsmethode verwendet wurde.
• Die Attributs-Assertion: Sie übermittelt spezifische SAML-Attribute an den Service Provider, die wichtige Informationen über den Benutzer enthalten.
• Die Autorisierungsentscheidung: Sie informiert darüber, ob der Benutzer berechtigt ist, den Dienst zu nutzen, oder ob der Identitätsprovider die Anfrage aufgrund eines falschen Passworts oder unzureichender Berechtigungen abgelehnt hat.
Was sind die Vorteile von SAML?
SAML hat für den IDP, den einzelnen Benutzer sowie den SP diverse Vorteile.
Vorteil 1: Einsparungen bei Verwaltungs- und Entwicklungskosten
Bei IDPs spart die Implementierung von SAML Verwaltungszeit, da Tätigkeiten wie die Passwortrücksetzung entfallen. SAML erhöht auch die Sicherheit, weil die Kontrolle über die Authentifizierung und den Zugriff beim zentralen IDP verbleibt. Darüber hinaus entfallen die Entwicklungskosten, die mit proprietären Single-Sign-On-Verfahren (SSO) verbunden sind. Da Mitarbeiter zunehmend mehrere SaaS-Anwendungen nutzen, steigt auch der Aufwand für die IT-Abteilung, wenn Mitarbeiter das Unternehmen verlassen oder im Unternehmen versetzt werden und ihr Kontozugriff geändert oder widerrufen werden muss. Mit SAML kann jeder Benutzer mit einem einzigen, internen Satz von Zugangsdaten verwaltet werden. SAML reduziert auch Sicherheitsrisiken, indem Angriffspunkte für Phishing und Identitätsdiebstahl eingeschränkt werden.
Vorteil 2: Höhere Nutzerfreundlichkeit
Für Mitarbeiter ist der Zugriff auf externe SPs nahtlos: Bei der Anmeldung über Single Sign-On kann der Endbenutzer auf die verschiedenen Apps zugreifen, die er benötigt, ohne sich bei jedem SP separat anzumelden.
Schließlich führt SAML bei SPs zu einer intensiveren Nutzung, da die Eintrittsbarrieren gesenkt werden. Frustrierte Mitarbeiter, die Schwierigkeiten bei der Anmeldung an verschiedenen Apps haben, neigen sonst dazu, diese in ihren Workflows zu umgehen.
Vorteil 3: Stärkung der Sicherheit
SAML erhöht die Sicherheit, indem Angriffspunkte für Phishing und Identitätsdiebstahl eingeschränkt werden. Es verringert auch die Sicherheitsrisiken für SPs, da keine Anmeldeinformationen für einzelne Benutzer zu speichern sind, wodurch ein viel geringeres Risiko für große Datenlecks (bei denen sensible Benutzerdaten entwendet werden) besteht.
Single Sign-On (SSO) mit SAML
SAML ermöglicht Single-Sign On (SSO) für die Benutzer. Mit einer einmaligen Anmeldung beim IDP werden die übermittelten Informationen genutzt, um auch bei anderen Dienstanbietern Zugang zu erhalten. Der Identitätsprovider leitet die SAML-Attribute an den Dienstanbieter, sobald der Benutzer auf die Dienste zugreifen möchte. Der SP erhält dann die Autorisierung und Authentifizierung vom Identitätsprovider.
Microsoft hat mit ADFS (Active Directory Federation Services) als Bestandteil von Windows Server-Betriebssystemen eine weitere Lösung für das Single Sign-On entwickelt. Es bietet Benutzern authentifizierten Zugriff auf Anwendungen, die nicht in der Lage sind, die integrierte Windows-Authentifizierung (IWA) über Active Directory (AD) zu verwenden.
SAML und Oauth: Die wichtigsten Unterschiede
Zur Verbesserung der Anmeldeprozesse im Internet wurde gemeinsam von Twitter und Google das neue System OAuth entwickelt. Der Austausch von Anmeldeinformationen erfolgt ähnlich wie bei SAML, setzt aber auf die Verwendung von JSON und eine Optimierung für mobile Anwendungen. Mit SAML erhalten Unternehmen mehr Sicherheit durch verschiedene Möglichkeiten für den Schutz des Single-Sign On-Logins.
Häufige Fehlannahmen über SAML
Der häufig angenommene Nachteil von SAML besteht darin, dass viele Access-Management- und Föderationsprodukte die Konfiguration von SAML zu einer komplexen Aufgabe machen: Jede SAML-Integration kann Systemintegrationsarbeiten erfordern, die je nach Komplexität oder Besonderheiten der SAML-Anforderungen des SP Wochen oder Monate in Anspruch nehmen können. Modernere Access-Management-Produkte haben die SAML-Konfiguration jedoch vereinfacht und sogar Hunderte von Anwendungen bereits fertig integriert.
Mit einem einfachen Setup-Assistenten und aktuellen Integrationen ist SAML einfach zu implementieren und zuverlässig. In stark ausgelasteten IT-Abteilungen setzt das wertvolle Arbeitszeit für Kernaufgaben frei, schafft neue Möglichkeiten für Effizienzsteigerungen und ermöglicht bei Wachstum des Unternehmens eine Skalierung der IT ohne eine wachsende Zahl von Supportanfragen.
Erste Schritte
Aller Anfang ist leicht: Okta bietet ein SAML-Validierungstool, zudem gibt es viele Open-Source-SAML-Toolkits für SPs in verschiedenen Programmiersprachen. Wenn Sie noch mehr Unterstützung in anderen Anwendungsgebieten suchen – und dabei skalierbare Sicherheit benötigen –, können Sie unsere Komplettlösung 30 Tage lang kostenlos testen.
Weitere Informationen:
- SAML-Dokumentation
- Produktdemo | SAML-Integration von OpenID Connect und Partner-IDP
- Produktdemo | SAML-Integration von lokalen Anwendungen und vorgefertigten Konfigurationen
Wenn Sie mehr über verwandte Authentifizierungstechnologien erfahren möchten, lesen Sie unseren Artikel Was ist ADFS (Active Directory Federation Services)?, um zu verstehen, wie ADFS im Vergleich zu SAML funktioniert und welche Einsatzmöglichkeiten es gibt.
Folgen Jack Shepherd
