SAML (Security Assertion Markup Language) ist ein offener Authentifizierungs-Standard, der das Single Sign-on (SSO) für Webanwendungen ermöglicht. SSO ermöglicht Nutzer die Anmeldung bei mehreren webbasierten Anwendungen und Diensten mit einer einzigen Kombination von Anmeldedaten. SAML wurde entwickelt, um den Nutzern die Anmeldung zu vereinfachen. Es wird vor allem in Unternehmen eingesetzt und ermöglicht den Zugriff auf zahlungspflichtige Anwendungen und Dienste.
Vor allen Dingen sind Anmeldungen mit SAML sicher, da die Anmeldeinformationen der Nutzer zu keinem Zeitpunkt übertragen werden. Das Handling erfolgt stattdessen über Identitätsprovider (IdP) und Serviceprovider (SP):
Der IdP speichert alle für die Autorisierung erforderlichen Anmeldedaten und Informationen und stellt sie dem SP auf Anfrage zur Verfügung. Es liegt bei ihm zu erklären: „Ich kenne diese Person, und sie sollte auf diese Ressourcen zugreifen können.“
Der SP hostet die Anwendungen und Dienste, auf die der Nutzer zugreifen möchte. Bei diesen Anwendungen oder Diensten kann es sich um E-Mail-Plattformen handeln, wie beispielsweise Google oder Microsoft Office, oder aber auch um Kommunikations-Apps wie Slack oder Skype. Es ist der SP, der erklärt: „Sie können auf diese Anwendungen oder Dienste für einen bestimmten Zeitraum zugreifen, ohne sich erneut anmelden zu müssen.“
Wenn Nutzer versuchen, auf diese Anwendungen oder Dienste zuzugreifen, bittet der SP den IdP um die Überprüfung ihrer Identitäten. Der IdP stellt SAML-Assertions oder Token aus, die notwendige Informationen zur Bestätigung der Benutzeridentität enthalten. Dazu gehören unter anderem der Zeitpunkt der Ausstellung und die Bedingungen für die Gültigkeit der Assertions. Nachdem der SP die Assertions empfangen hat, gewährt er dem Nutzer Zugang zu den angeforderten Ressourcen.
Sie können die SAML-Anmeldung mit dem Ausleihen eines Buches in einer Bibliothek vergleichen:
Sie suchen sich ein Buch aus, das Sie lesen möchten, und nehmen es mit an den Schalter.
Die Bibliothekarin fragt Sie, ob Sie einen Bibliotheksausweis haben. Sie antworten: „Nein, ich bin gerade erst in die Stadt gezogen.“ Die Bibliothekarin sagt: „Nun, solange Sie keinen Bibliotheksausweis haben, kann ich Ihnen das Buch nicht ausleihen. Gehen Sie hinüber zum Bibliotheksassistenten, und lassen Sie sich einen Ausweis ausstellen, damit wir Unterlagen über Ihre Person haben.“
Sie gehen zum Schalter und geben dem Bibliotheksassistenten Ihren Führerschein. Dieser gibt Ihren Namen und Ihre Adresse in das Bibliothekssystem ein, erstellt den Ausweis, den Sie dann erhalten. Mit dem Ausweis kehren Sie zur Bibliothekarin zurück, sie scannt ihn ein und leiht Ihnen das Buch aus. Sie können das Buch nun für einen bestimmten Zeitraum mit nach Hause nehmen.
In diesem Szenario authentifizieren Sie sich beim Bibliotheksassistenten (IdP), indem Sie ihm Ihren Führerschein vorlegen. Anschließend erstellt er den Ausweis anhand Ihrer Angaben. Wenn Sie den Bibliotheksausweis der Bibliothekarin (SP) vorlegen, benutzt sie ihn, um Ihnen das Buch auszuleihen.
Dieses kurze Video demonstriert anhand weiterer Beispiele, wie SAML eingesetzt wird, um Mitarbeiter, Partner und Kunden schnell und sicher mit den digitalen Ressourcen eines Unternehmens zu verbinden.
SAML ist ein XML-basiertes Framework, d. h. es ist äußerst flexibel, kann auf jeder Plattform eingesetzt und über eine Vielzahl von Protokollen (z. B. HTTP und SMTP) übertragen werden. Partner in einem Verbund können selbst wählen, welche Informationen sie in einer SAML-Assertion weitergeben, so lange diese in XML dargestellt werden können.
Eine typische SAML-Authentifizierung läuft folgendermaßen ab:
Anmeldungen mit SAML bieten Sicherheit, da die Anmeldeinformationen der Nutzer zu keinem Zeitpunkt übertragen werden. Stattdessen werden SAML-Assertions oder Token verwendet.
SAML-Assertions sind XML-Dokumente, die von einem IdP an einen SP gesendet werden, um Nutzer zu identifizieren. Sie enthalten relevante Informationen über Nutzer und ihre Berechtigungen für die angefragte Anwendung oder den Dienst. Diese Meldungen versichern auch die Gültigkeit der Informationen und geben an, wie lange die Benutzer auf die jeweiligen Ressourcen zugreifen können, ohne sich erneut anmelden zu müssen.
SAML-Assertions werden in erster Linie für die Authentifizierung verwendet, können aber auch Informationen für die Autorisierung enthalten:
SAML findet häufige Anwendung in Unternehmen für den Austausch von Identitätsinformationen zwischen IAM-Systemen und Webanwendungen. Die Methoden der Implementierung hängen davon ab, ob die Anmeldeprozesse vom IdP oder vom SP initiiert werden.
IdP-initiiertes SSO findet man häufig bei Lösungen für Mitarbeiter. Die hierbei verwendeten Schritte werden im folgenden Diagramm dargestellt.
Das SP-initiierte SSO beginnt mit dem direkten Zugriff eines Nutzers auf eine Anwendung oder einen Dienst, ohne vorherige Authentifizierung über den IdP. Die hierbei verwendeten Schritte werden im folgenden Diagramm dargestellt.
Da es sich um ein XML-Framework handelt, ist SAML äußerst vielseitig. Es bietet die Option, viele verschiedene SSO-Verbindungen mit unterschiedlichen Partnern im Identitätsverbund mit einer einzigen Implementierung zu unterstützen, und wird daher häufig in geschäftlichen und unternehmerischen Bereich eingesetzt.
SAML unterstützt jedoch nur SSO für browserbasierte Anwendungen und Dienste. Das SSO für mobile Anwendungen oder Anwendungen, die über APIs auf Ressourcen zugreifen, wird nicht unterstützt.
Verwandte Ressourcen:
Starten Sie jetzt
Erfahren Sie, wie Ping Sie dabei unterstützen kann, sichere Mitarbeiter- und Kundenerlebnisse in einer sich schnell entwickelnden digitalen Welt zu schaffen.
Kostenlose Demo anfordern