Inhaltsverzeichnis
Was ist SAML (Security Assertion Markup Language)?
Security Assertion Markup Language (SAML) ist ein offenes Standard-Framework, das eine entscheidende Rolle bei der Identitätsverwaltung und Zugriffskontrolle spielt. Das SAML-Framework gewährleistet Interoperabilität und konsistente Funktionalität zwischen verschiedenen Systemen. Der Hauptzweck von SAML besteht darin, Organisationen die Implementierung von SSO-Lösungen (Single Sign-On) zu ermöglichen.
Als offenes Standardframework besteht SAML aus einer Reihe von Richtlinien, Protokollen und Spezifikationen, die öffentlich verfügbar sind und in einem kollaborativen Prozess entwickelt werden. Es ist Bestandteil vieler Entwicklungsbibliotheken, was es Entwicklern erleichtert, SAML in ihre Anwendungen zu integrieren. OpenSAML, Python-SAML und SimpleSAMLphp sind beispielsweise Entwicklungsbibliotheken, die SAML-Unterstützung in Java, Python und PHP implementieren.
SAML und SSO
|
Aspekt
|
SSO
|
SAML
|
|
Definition
|
Authentifizierungsprozess, der eine einmalige Anmeldung für mehrere Dienste ermöglicht
|
Offener Standard zum Austausch von Authentifizierungs- und Autorisierungsdaten
|
|
Hauptmerkmal
|
Benutzerkomfort durch zentrale Authentifizierung
|
Bietet einen Rahmen für den sicheren Datenaustausch
|
|
Zweck
|
Vereinfachen Sie den Zugriff auf mehrere Anwendungen
|
Bietet einen Rahmen für den sicheren Datenaustausch
|
|
Implementierung
|
Konzept/Prozess
|
Protokoll/Standard
|
|
ANWENDUNGSFÄLLE
|
Unternehmensumgebungen, Bildungseinrichtungen, Online-Dienste
|
Föderiertes Identitätsmanagement, SSO-Implementierung
|
|
Beziehung
|
Konzept, das mit verschiedenen Protokollen (einschließlich SAML) umgesetzt werden kann
|
Protokoll, das SSO ermöglicht
|
Hauptkomponenten von SAML
SAML umfasst mehrere Komponenten, die zusammenarbeiten, um verschiedene Anwendungsfälle zu unterstützen.
Auftraggeber (Benutzer): Der Benutzer, der auf einen Dienst oder eine Ressource zugreifen muss. Der Benutzer interagiert mit dem Dienstanbieter und dem Identitätsanbieter, um sich zu authentifizieren und Zugriff auf die gewünschte Ressource zu erhalten. Wir nehmen den Benutzer in diese Liste von Komponenten auf, da dies die Funktionsweise der anderen SAML-Komponenten veranschaulicht.
Identitätsanbieter (IdP): Authentifiziert den Benutzer und liefert Identitätsinformationen an den Dienstanbieter. Der IdP übernimmt die Authentifizierung und Assertionsgenerierung.
Dienstanbieter (SP): Stellt dem Benutzer Dienste oder Ressourcen zur Verfügung. Der SP verlässt sich bei der Authentifizierung des Benutzers auf den Identitätsanbieter und ist dafür verantwortlich, die Authentifizierung anzufordern und Assertions zu verbrauchen.
SAML-Assertions: Vom IdP ausgestellte XML-Dokumente, die Aussagen über den Benutzer enthalten. Es gibt verschiedene SAML-Assertions, darunter Authentifizierungsaussagen, Attributaussagen und Autorisierungsentscheidungsaussagen.
SAML-Protokolle: Protokolle, die definieren, wie SAML-Anfragen und -Antworten zwischen Entitäten kommuniziert werden. Die wichtigsten SAML-Protokolle sind das Authentifizierungsanforderungsprotokoll, das Artefaktauflösungsprotokoll und das Single-Logout-Protokoll.
SAML-Bindungen: Definiert, wie SAML-Protokollnachrichten zwischen Entitäten transportiert werden. Zu den gängigen Bindungen gehören HTTP-Redirect-Binding und HTTP-Post-Binding.
SAML-Profile: Profile definieren SAML-Anwendungsfälle und wie SAML-Assertionen, -Protokolle und -Bindungen diese Anwendungsfälle unterstützen. Zu den gängigen Profilen gehören Web Browser SSO, Single Logout (SLO) und Attributabfrage.
SAML-Metadaten: Ein XML-Dokument, das die Konfiguration und die Funktionen von SAML-IdP und -SP beschreibt. Es enthält Entitäts-IDs, Endpunkte, Zertifikate und Informationen zu unterstützten Protokollen und Bindungen.
So ermöglicht SAML SSO
SAML ermöglicht SSO, indem es den Austausch von Authentifizierungs- und Autorisierungsdaten zwischen einem Identitätsanbieter und einem Dienstanbieter ermöglicht. Hier ist eine Schritt-für-Schritt-Erklärung, wie SAML SSO ermöglicht:
Benutzer fordert Zugriff an: Der Benutzer versucht, auf einen Dienst oder eine Ressource zuzugreifen, die vom SP bereitgestellt wird.
SP initiiert Authentifizierungsanforderung: Der SP erkennt, dass der Benutzer authentifiziert werden muss, und antwortet, indem er eine SAML-Authentifizierungsanforderung generiert. Dies ist in der Regel eine URL, die mit SAML-Anforderungsdaten codiert ist.
Benutzer wird zum IdP weitergeleitet: Das System leitet den Benutzer an IdP weiter und sendet die SAML-Anfrage aus dem vorherigen Schritt weiter. Dies kann über HTTP-Weiterleitungen, HTTP POST oder Artefakte geschehen.
Benutzer authentifiziert sich beim IdP: Der IdP stellt eine Authentifizierungsschnittstelle zur Verfügung, über die der Benutzer seine Anmeldedaten eingeben kann. Der IdP verwendet diese Anmeldedaten, in der Regel einen Benutzernamen und ein Passwort, um die Identität des Benutzers zu überprüfen.
IdP generiert SAML-Antwort: Nach erfolgreicher Authentifizierung generiert der IdP eine SAML-Antwort, die eine SAML-Assertion enthält. Um die Integrität und Authentizität zu gewährleisten, signiert der IdP die Assertion und gibt die Identität und den Authentifizierungsstatus des Benutzers an.
Benutzer wird zurück zum SP umgeleitet: Der Benutzer wird über HTTP POST oder andere Mechanismen zurück zum SP geleitet. Diese Umleitung liefert die SAML-Antwort an den SP.
SP validiert SAML-Antwort: Der SP empfängt und überprüft die SAML-Antwort und extrahiert die Identitätsinformationen des Benutzers aus der SAML-Assertion.
SP gewährt Zugriff: Basierend auf den Identitätsinformationen des Benutzers und der SAML-Assertion gewährt der SP Zugriff auf den angeforderten Dienst oder die angeforderte Ressource. In diesem Schritt authentifiziert das System den Benutzer und gewährt Zugriff auf die autorisierten Dienste.
Häufige Anwendungsfälle für SAML
SAML wird am häufigsten verwendet, um Single Sign-On zu ermöglichen, es gibt jedoch noch zahlreiche andere Anwendungsfälle, die vom SAML-Framework unterstützt werden:
Föderierte Identität: Ermöglicht Organisationen die gemeinsame Nutzung von Benutzeridentitäten und Anmeldeinformationen über verschiedene Domänen oder Organisationen hinweg. Dies reduziert den Bedarf von mehreren Berechtigungsnachweisen.
Zugriffskontrolle: Bietet einen Mechanismus zum Erzwingen von Zugriffssteuerungsrichtlinien, indem Benutzeridentitäten und ihre Rollen überprüft werden, bevor der Zugriff auf Ressourcen gewährt wird.
Cloud- und SaaS-Anwendungen: Erleichtert den sicheren Zugriff auf Cloud-basierte Anwendungen und Dienste und reduziert die Notwendigkeit mehrerer Anmeldeinformationen.
Mobile Authentifizierung: Erweitert SSO und Verbundidentität auf mobile Geräte und gewährleistet so den sicheren Zugriff auf Anwendungen von Smartphones und Tablets.
B2B- und B2C-Integrationen: Vereinfacht das Identitätsmanagement und die Zugriffskontrolle für Interaktionen zwischen Unternehmen (B2B) und zwischen Unternehmen und Verbrauchern (B2C).
Sichere API-Authentifizierung: Bietet sicheren Zugriff auf APIs, indem die Benutzeranmeldedaten überprüft werden und sichergestellt wird, dass nur autorisierte Benutzer auf die API zugreifen können.
Compliance und Auditierung: Hilft Unternehmen bei der Einhaltung von Vorschriften durch detaillierte Protokollierung und Überwachung von Authentifizierungs- und Zugriffsereignissen.
SAML 2.0-Entwicklung und -Updates
Die Notwendigkeit eines Mechanismus wie SAML entstand Ende der 1990er Jahre, als die Internetnutzung zunahm und die Besitzer großer Netzwerke eine Authentifizierung über verschiedene Domänen und Organisationen hinweg durchführen wollten. Regierungen, Universitäten und Unternehmensnetzwerke wurden mit mehreren Sicherheitsdomänen aufgebaut oder durch diese verbunden, und Benutzer in einer Domäne mussten oft auf Ressourcen in einer anderen zugreifen. Es gab mehrere proprietäre Lösungen, um dieses Problem zu lösen, aber Branchenexperten erkannten einen wachsenden Bedarf an einem universellen Standard, der für alle Systeme funktioniert.
Im Jahr 2001 bildete die Organization for the Advancement of Structured Information Standards (OASIS) ein technisches Komitee, das ein XML-Framework für diesen universellen Standard erstellen sollte. Dieses Framework würde den Austausch von Authentifizierungs- und Autorisierungsdaten zwischen Sicherheitsdomänen definieren. OASIS hat SAML 1.0 im November 2002 eingeführt und ist damit die erste Standardmethode für den Austausch von Authentifizierungs- und Autorisierungsdaten zwischen verschiedenen Sicherheitsdomänen. Diese Version von SAML bot nur grundlegende Unterstützung für diesen Austausch. OASIS hat im September 2003 SAML 1.1 eingeführt, was Erweiterungen und Verbesserungen bei der Fehlerbehandlung, Implementierung und dem Datenaustausch zwischen Domänen beinhaltete. Die Änderungen an SAML in Version 1.1 basierten hauptsächlich auf Feedback aus der Branche.
SAML 2.0 wurde 2005 zum Standard. Diese Version war eine wesentliche Verbesserung gegenüber früheren Versionen, da sie die Unterstützung für viele der derzeit genutzten Funktionen hinzugefügt oder verbessert hat. Zu den wichtigsten Ergänzungen gehören:
Verbessertes SSO und Single Logout (SLO): Verbesserte Mechanismen für SSO und größere Flexibilität bei der Authentifizierung über mehrere Domänen hinweg. Die Einführung von SLO ermöglichte es Benutzern, sich mit einer einzigen Aktion von allen Websites abzumelden.
Föderierte Identität: Ein Vertrauenssystem, das die Verknüpfung von Identitäten über verschiedene Sicherheitsdomänen hinweg ermöglicht.
Metadatenunterstützung und Attributmanagement: Einführung von Metadaten zur Beschreibung der Attribute von Identitätsanbietern, Dienstanbietern und anderen SAML-Entitäten. Die Attributverwaltung erleichtert den detaillierten und flexiblen Austausch dieser Informationen.
Sicherheitsverbesserungen: Stärkere kryptografische Algorithmen und andere Verbesserungen zum Schutz der ausgetauschten Daten.
SAML 2.0 bleibt die aktuelle Version und die Entwickler haben sie seit ihrer Veröffentlichung kontinuierlich aktualisiert. Diese Updates umfassen Verbesserungen der Sicherheit und Interoperabilität, Verbesserungen bei der Bereitstellung und Unterstützung für neue Anwendungsfälle. OASIS überprüft das SAML 2.0-Framework regelmäßig, um sicherzustellen, dass es für die Community relevant, sicher und effektiv bleibt.
Die geschäftlichen Vorteile von SAML
SAML unterstützt die Verbesserung von Produktivität und Effizienz auf verschiedene Weise, vor allem durch Sicherheit, Benutzererfahrung und betriebliche Effizienz. Hier sind einige der wichtigsten geschäftlichen Vorteile der Implementierung von SAML:
Einmaliges Anmelden (SSO): SSO ist ein Hauptvorteil von SAML, da es Benutzern ermöglicht, sich einmal anzumelden und Zugriff auf mehrere Anwendungen zu erhalten, ohne wiederholt Anmeldeinformationen eingeben zu müssen. Dies verbessert die Produktivität und reduziert Verzögerungen bei der Anmeldung.
Verbesserte Benutzerfreundlichkeit: Es sind weniger Anmeldungen erforderlich, um zwischen Anwendungen und anderen Ressourcen zu wechseln. Dies sorgt für einen reibungsloseren und effizienteren Arbeitsablauf und verbessert die Benutzerfreundlichkeit.
Verbesserte Sicherheit: SAML erhöht die Sicherheit durch die Unterstützung verschlüsselter Kommunikation und digitaler Signaturen. Dies stellt sicher, dass Authentifizierungsdaten sicher übertragen werden und sowohl vom Identitätsanbieter als auch vom Dienstanbieter als vertrauenswürdig eingestuft werden können.
Zentralisierte Authentifizierung: Durch die Zentralisierung der Authentifizierung mit einem einzigen Identitätsanbieter können Unternehmen einheitliche Sicherheitsrichtlinien durchsetzen und den Benutzerzugriff effektiver verwalten.
Geringere Passwortermüdung: SAML reduziert die Anzahl der Passwörter, die sich Benutzer merken müssen, was zu besseren Passwortpraktiken führt und das Risiko verringert, dass schwache Passwörter in mehreren Diensten verwendet werden.
Optimierte Benutzerverwaltung: Benutzerbereitstellung und -deprovisionierung werden effizienter, da Änderungen am zentralen Identitätssystem für alle verbundenen Anwendungen gelten. Dies ist nützlich für das Onboarding und Offboarding von Mitarbeitern.
Kosteneinsparungen: Ein einziger Satz von Anmeldedaten und eine Single-Sign-On-Umgebung reduzieren die Anzahl der Probleme mit Passwörtern und Logins. Weniger technischer Support und eine optimierte Benutzerverwaltung verringern den IT-Verwaltungsaufwand und reduzieren die Kosten für den IT-Support.
Einhaltung gesetzlicher Vorschriften: SAML hilft Unternehmen, behördliche Anforderungen zu erfüllen, indem es robuste Protokollierungs- und Auditfunktionen bietet. Dadurch wird sichergestellt, dass alle Authentifizierungsereignisse aufgezeichnet werden und zu Compliance-Zwecken überprüft werden können.
Skalierbarkeit: SAML verarbeitet umfangreiche Bereitstellungen und eignet sich daher für Organisationen mit vielen Benutzern und Anwendungen. Es lässt sich problemlos skalieren, um wachsenden Geschäftsanforderungen gerecht zu werden.
Interoperabilität: Die breite Akzeptanz und Unterstützung von SAML über verschiedene Plattformen und Systeme hinweg bedeutet, dass Unternehmen eine Vielzahl von Anwendungen und Diensten von Drittanbietern integrieren können, was die Flexibilität und Zusammenarbeit verbessert.
Geringere IT-Belastung: Indem Sie die Authentifizierung an einen zentralen Identitätsanbieter delegieren, können IT-Abteilungen den Zeit- und Arbeitsaufwand für die Verwaltung einzelner Anwendungsanmeldungen reduzieren und sich so auf strategischere Initiativen konzentrieren.
Verbesserte Zusammenarbeit mit Partnern: SAML erleichtert externen Partnern den sicheren Zugriff und ermöglicht es ihnen, zusammenzuarbeiten und Daten auszutauschen, ohne die Sicherheit des Unternehmens zu gefährden. Dies kann zu stabileren Geschäftsbeziehungen und verbesserter betrieblicher Effizienz führen.
SAML bietet mehrere Vorteile für Unternehmen. Es erhöht die Sicherheit, verbessert die Benutzerfreundlichkeit, reduziert die Betriebskosten und hilft bei der Einhaltung gesetzlicher Vorschriften.
SAML und Cybersicherheit
|
Aspekt
|
Beschreibung
|
|
Authentifizierung
|
SAML unterstützt eine sichere und effiziente Benutzerauthentifizierung durch einen zentralen Identitätsanbieter. Dadurch wird das Risiko verringert, dass Anmeldeinformationen über mehrere Anwendungen hinweg kompromittiert werden.
|
|
Autorisierung
|
Von SAML übertragene Autorisierungsdaten geben an, auf welche Ressourcen Benutzer zugreifen können. Dadurch werden die Richtlinien zur Zugriffskontrolle durchgesetzt.
|
|
Verschlüsselung
|
SAML unterstützt die Verschlüsselung von Behauptungen und stellt sicher, dass vertrauliche Authentifizierungsinformationen während der Übertragung geschützt sind.
|
|
Digitale Signaturen
|
Zur Überprüfung der Integrität und Authentizität können SAML-Nachrichten digital signiert werden. Dadurch wird sichergestellt, dass die Nachrichten nicht manipuliert wurden und tatsächlich aus einer vertrauenswürdigen Quelle stammen.
|
|
Single Sign-on (SSO)
|
SSO reduziert die Notwendigkeit mehrerer Logins und minimiert die Angriffsfläche für passwortbezogene Angriffe.
|
|
Zentralisiertes Identitätsmanagement
|
SAML ermöglicht eine zentralisierte Identitätsverwaltung, wodurch einheitliche Sicherheitsrichtlinien umgesetzt und die Überwachung und Prüfung von Authentifizierungsereignissen vereinfacht werden.
|
|
Reduzierte Passwort-Müdigkeit
|
Indem SAML die Anzahl der Passwörter reduziert, die sich Benutzer merken müssen, verringert sich das Risiko schwacher Passwörter und der Wiederverwendung von Passwörtern.
|
|
Einhaltung der gesetzlichen Auflagen
|
SAML unterstützt robuste Protokollierungs- und Auditing-Funktionen, die die Compliance-Anforderungen im Gesundheitswesen, im Finanzwesen und in anderen streng regulierten Branchen unterstützen.
|
|
Interoperabilität
|
Verbessert die allgemeine Sicherheitslage, indem es einheitliche Sicherheitsmaßnahmen über verschiedene Systeme hinweg gewährleistet. Dies reduziert Sicherheitslücken und verbessert die allgemeine Sicherheitslage.
|
Erfahren Sie mehr über SAML
Zugehörige Begriffe
- Kerberos-Authentifizierung
- Rollenbasierte Zugriffskontrolle (RBAC) und attributbasierte Zugriffskontrolle (ABAC)
- Software as a Service (SaaS)
- Zero Trust (ZT)
Weiterführende Ressourcen
- Verstehen der neuen NSA-Anleitung zu Zero Trust – Netzwerk und Umgebung
- Abhängigkeit von Passwörtern verringern, um die Sicherheit zu erhöhen
- Prognosen der Sicherheitsabteilung von Barracuda für 2024
- Bericht von CISA und NSA deckt Probleme mit MFA und SSO auf
- Cybersecurity-Bedrohungshinweis: Social Engineering-Angriffe auf Okta
- CTO blickt auf 20 Jahre Innovation und Wandel bei Barracuda zurück
- IDaaS, Zero Trust und Security in Depth
Wie Barracuda Sie unterstützen kann
Barracuda CloudGen Access bietet Autorisierungs-, Zugriffs- und Workflow-Management für Multi-Cloud- oder hybride IT-Umgebungen. Mit Barracuda CloudGen Access können Sie Unternehmenssicherheitsrichtlinien durchsetzen, bevor Benutzer die Single-Sign-On-Schnittstelle für Software-as-a-Service (SaaS)-Anwendungen erreichen. Es ist als eigenständige Lösung oder als Teil unserer umfassenden Cybersecurity-Plattform erhältlich, die Daten über alle Bedrohungsvektoren hinweg schützt.
Barracuda bietet preisgünstige, funktionsreiche Lösungen aus einer Hand an, die vor einer Vielzahl von Bedrohungsvektoren schützen und von einem umfassenden und von Awards gekrönten Kundenservice abgerundet werden. Da Sie mit einem einzigen Anbieter zusammenarbeiten, profitieren Sie von einer reduzierten Komplexität, einer höheren Effektivität und niedrigeren Gesamtbetriebskosten. Hunderttausende von Kunden weltweit vertrauen Barracuda den Schutz ihrer E-Mails, Netzwerke, Anwendungen und Daten an.