Was ist SAML und wie funktioniert sie?

SAML

Security Assertion Markup Language (SAML) ist ein offener Standard, mit dem Identitätsprovider (IdP) Autorisierungsdaten an Dienstanbieter (SP) übergeben können. Dieser Fachbegriff bedeutet, dass Sie einen Satz von Anmeldeinformationen verwenden können, um sich bei vielen verschiedenen Websites anzumelden. Es ist viel einfacher, eine Anmeldung pro Benutzer zu verwalten, als separate Anmeldungen für E-Mail, Customer Relationship Management- (CRM) Software, das Active Directory usw.

SAML-Transaktionen verwenden Extensible Markup Language (XML) für die standardisierte Kommunikation zwischen dem Identitätsprovider und den Dienstanbietern. SAML ist das Bindeglied zwischen der Authentifizierung der Identität eines Benutzers und der Berechtigung zur Nutzung eines Dienstes.

Das OASIS Consortium hat im Jahr 2005 die Version SAML 2.0 freigegeben. Dabei gab es einige signifikante Veränderungen gegenüber Version 1.1, weshalb die Versionen nicht kompatibel sind. Durch die Einführung von SAML können IT-Anbieter Software als einen Dienst (SaaS) nutzen und gleichzeitig ein sicheres, miteinander verknüpftes Identitätsmanagementsystem betreiben.

Mit SAML wird Single-Sign On (SSO) möglich, was bedeutet, dass sich Benutzer einmalig anmelden und ihre dabei genutzten Anmeldeinformationen für die Anmeldung bei anderen Dienstanbietern wiederverwendet werden.

Wofür wird SAML verwendet?

SAML vereinfacht verknüpfte Authentifizierungs- und Autorisierungsprozesse für Benutzer, Identitätsprovider und Dienstanbieter. SAML bietet eine Lösung, mit der Ihr Identitätsprovider und Ihre Dienstanbieter getrennt voneinander geführt werden können, was die Benutzerverwaltung zentralisiert und den Zugriff auf SaaS-Lösungen ermöglicht.

SAML implementiert ein sicheres Verfahren zur Weitergabe von Benutzerauthentifizierungen und -berechtigungen zwischen dem Identitätsprovider und den Dienstanbietern. Wenn sich ein Benutzer bei einer SAML-fähigen Anwendung anmeldet, fordert der Dienstanbieter eine Autorisierung vom entsprechenden Identitätsprovider an. Der Identitätsprovider authentifiziert die Anmeldeinformationen des Benutzers und gibt dann die Berechtigung für den Benutzer an den Dienstanbieter zurück. Der Benutzer kann nun die Anwendung verwenden.

Die SAML-Authentifizierung ist der Prozess, bei dem die Identität und die Anmeldeinformationen des Benutzers (Passwort, Zwei-Faktor-Authentifizierung usw.) überprüft werden. Die SAML-Autorisierung teilt dem Dienstanbieter mit, welchen Zugriff er dem authentifizierten Benutzer gewähren soll.

Was ist ein SAML-Provider?

Two Types of SAML providers
Ein SAML-Provider ist ein System, das einem Benutzer hilft, auf einen benötigten Dienst zuzugreifen. Es gibt zwei Haupttypen von SAML-Providern: Dienstanbieter und Identitätsprovider.

Ein Dienstanbieter benötigt die Authentifizierung durch den Identitätsprovider, um dem Benutzer eine Berechtigung zu erteilen.

Ein Identitätsprovider überprüft bei der Authentifizierung, ob der Endbenutzer derjenige ist, für den er sich ausgibt, und sendet diese Daten zusammen mit den Zugriffsrechten des Benutzers für den Dienst an den Dienstanbieter.

Microsoft Active Directory oder Azure sind übliche Identitätsprovider. Salesforce und andere CRM-Lösungen sind in der Regel Dienstanbieter, da sie für die Benutzerauthentifizierung auf einen Identitätsprovider angewiesen sind.

Was ist die SAML Assertion?

Eine SAML Assertion ist das XML-Dokument, das der Identitätsprovider an den Dienstanbieter sendet, in dem die Benutzerberechtigung aufgeführt ist. Es gibt drei verschiedene Arten der SAML Assertions – Authentifizierungs-Assertion, Attributs-Assertion und Autorisierungsentscheidung.

  • Die Authentifizierungs-Assertion ist Beleg für die Identifizierung des Benutzers und gibt die Zeit an, in der sich der Benutzer angemeldet und welche Art der Authentifizierung er verwendet hat (z. B. Kerberos, 2-Faktor usw.).
  • Die Attributs-Assertion übergibt die SAML-Attribute an den Dienstanbieter – SAML-Attribute sind spezifische Daten, die Informationen über den Benutzer liefern.
  • Die Autorisierungsentscheidung gibt an, ob der Benutzer berechtigt ist, den Dienst zu nutzen, oder ob der Identitätsprovider die Anfrage aufgrund eines falschen Passworts oder fehlender Berechtigung für den Dienst abgelehnt hat.

Wie funktioniert SAML?

SAML vermittelt Informationen über Benutzer, Anmeldungen und Attribute zwischen dem Identitätsprovider und den Dienstanbietern. Jeder Benutzer meldet sich einmalig über Single-Sign-On beim Identitätsprovider an. Danach kann der Identitätsprovider SAML-Attribute an den Dienstanbieter übergeben, wenn der Benutzer versucht, auf diese Dienste zuzugreifen. Der Dienstanbieter fordert die Autorisierung und Authentifizierung vom Identitätsprovider an. Da beide Systeme die gleiche Sprache sprechen – SAML – muss sich der Benutzer nur einmal anmelden.

Jeder Identitätsprovider und Dienstanbieter muss sich auf die Konfiguration für SAML einigen. Beide Parteien müssen die genau gleiche Konfiguration haben, damit die SAML-Authentifizierung funktioniert.

SAML example steps

SAML-Beispiel

  1. Frodo (ein Benutzer) meldet sich morgen früh als erstes über SSO an.
  2. Danach versucht Frodo, die Webseite seines CRM-Systems zu öffnen.
  3. Das CRM-System – der Dienstanbieter – überprüft die Anmeldeinformationen von Frodo beim Identitätsprovider.
  4. Der Identitätsprovider sendet Autorisierungs- und Authentifizierungsnachrichten an den Dienstanbieter zurück, wodurch sich Frodo beim CRM anmelden kann.
  5. Frodo kann das CRM nutzen und seine Arbeit erledigen.
    Ich brauche acht Freiwillige für ein anspruchsvolles Projekt…

SAML vs. OAuth

OAuth ist ein etwas neuerer Standard, der von Google und Twitter gemeinsam entwickelt wurde, um Anmeldeprozesse im Internet zu optimieren. OAuth verwendet eine ähnliche Methodik wie SAML, um Anmeldeinformationen auszutauschen. SAML bietet Unternehmen mehr Kontrolle für den Schutz ihrer SSO-Logins, während OAuth beser für den Einsatz auf Handys geeignet ist und JSON verwendet.

Facebook und Google sind zwei OAuth-Anbieter, mit denen Sie sich bei anderen Internetseiten anmelden können.

SAML-Tutorials

Einige Ressourcen, die Ihnen bei Ihren Recherchen zur Implementierung von SAML nützlich sein können:

SAML und SSO sind wichtig für jede Cybersicherheitsstrategie in Unternehmen. Bewährte Verfahren für das Identitätsmanagement sehen vor, dass Benutzerkonten sowohl auf die Ressourcen beschränkt werden, die der Benutzer für seine Arbeit benötigt, als auch zentral überprüft und verwaltet werden. Mit einer SSO-Lösung können Sie Konten aus einem System deaktivieren und den Zugriff auf alle verfügbaren Ressourcen auf einmal unterbinden, was Ihre Daten vor Diebstahl schützt.

Varonis schützt Ihre zentralen Active Directory-Dienste, was wiederum zum Schutz Ihrer SSO- und SAML-Systeme beiträgt. Varonis fängt Angriffe auf Ihr AD-System ab, lang bevor sie auf SSO-Ressourcen zugreifen können. Sichern Sie sich eine 1:1-Demo, um zu sehen, wie Varonis Ihr Active Directory und Ihre wichtigsten Datenspeicher vor Cyber-Angriffen und Insider-Risiken schützt.