Grundlagen der Identität
Authentifizierung
Ein-Faktor-, Zwei-Faktor- und Multi-Faktor-Authentifizierung
Passwortlose Authentifizierung
FIDO-Authentifizierung: WebAuthn, FIDO2 & CTAP2 erklärt
Risikobasierte Authentifizierung
Zertifikatsbasierte Authentifizierung
Tokenbasierte Authentifizierung
Single Sign-on (SSO)
Föderiertes Identitätsmanagement
CHAP-Authentifizierung
Was ist die kontinuierliche Authentifizierung?
Identitätsorchestrierung
Identitäts-und Access-Management
Identitätsprovider und Serviceprovider
Zentrales und dezentrales Identitätsmanagement
Zero Trust-Sicherheit
Standards bei der Authentifizierung und Autorisierung
OAuth
OpenID Connect (OIDC)
SAML
Autorisierung
Autorisierungsmethoden
Nutzer- und Kontenprovisionierung
So funktioniert Single Sign-on mit einem Verzeichnis
Was ist dynamische Autorisierung?
Authentifizierungs- und Autorisierungsprotokolle
LDAP
SCIM
WebAuthn
Kerberos
Was ist WS-Trust?
Identitätsanbieter und Dienstanbieter
Dezentrales Identitätsmanagement
Standards für dezentrale Identität
Allgemeine Begriffe
Was ist dezentrales Identitätsmanagement?
Wie funktioniert das dezentrale Identitätsmanagement?
Wie unterscheidet sich die dezentrale Identität?
Zentralisiertes Identitätsmanagement
Was ist B2B-Identitäts- und Zugriffsmanagement (B2B-IAM)?
Agententische KI
Wichtige IAM-Überlegungen zur Unterstützung von agentischer KI
KI-Agentenklassen und Anwendungsfälle
IAM-Best Practices für KI-Agenten
Referenzimplementierungen und Muster
Laufzeitidentität
Headless Identity
Expand All | Collapse All

SAML


SAML (Security Assertion Markup Language) ist ein offener Authentifizierungsstandard, der SSO für Webanwendungen ermöglicht. SSO ermöglicht es Ihren Benutzern, sich bei mehreren webbasierten Anwendungen und Diensten mit einem einzigen Satz von Anmeldedaten anzumelden. SAML wurde entwickelt, um die Benutzeranmeldung zu vereinfachen und wird am häufigsten in Unternehmen verwendet. Es ermöglicht Benutzern den Zugriff auf Anwendungen und Dienste, für die sie bezahlen. 


Am wichtigsten ist, dass die SAML-Anmeldevorgänge sicher sind, weil die Benutzeranmeldedaten niemals übertragen werden. Stattdessen werden sie von Identitätsanbietern (IdPs) und Dienstanbietern (SPs) verwaltet:
 

  • Der IdP speichert alle Benutzerdaten und Informationen, die für die Autorisierung erforderlich sind, und stellt sie dem SP auf Anfrage zur Verfügung. Es ist die Aufgabe der IdPs zu sagen: „Ich kenne diese Person, und sie sollte auf diese Ressourcen zugreifen können.“ 
     

  • Der SP hostet die Anwendungen und Dienste, auf die Ihre Benutzer zugreifen möchten. Zu diesen Anwendungen oder Diensten können E-Mail-Plattformen wie Google oder Microsoft Office sowie Kommunikations-Apps wie Slack oder Skype gehören. Es ist die Aufgabe der SPs zu sagen: „Sie können für einen bestimmten Zeitraum auf diese Anwendungen oder Dienste zugreifen, ohne sich erneut anmelden zu müssen.“

Wenn Benutzer versuchen, auf diese Anwendungen oder Dienste zuzugreifen, fordert der SP den IdP auf, ihre Identitäten zu verifizieren. Der IdP stellt SAML-Assertions oder Tokens aus, die die zur Bestätigung der Benutzeridentitäten erforderlichen Informationen enthalten, einschließlich des Zeitpunkts der Ausstellung der Assertions und der Bedingungen, die die Assertions gültig machen. Nachdem sie eingegangen sind, gibt der SP den Benutzern Zugriff auf die angeforderten Ressourcen.


Sie können eine SAML-Authentifizierung mit dem Ausleihen eines Buches in einer Bibliothek vergleichen:
 

  • Sie finden ein Buch, das Sie lesen möchten, und bringen es zur Theke.
     

  • Die Bibliothekarin fragt, ob Sie Ihre Bibliothekskarte haben. Sie sagen: „Nein, ich bin gerade in die Stadt gezogen.“ Die Bibliothekarin sagt: „Nun, ich kann Ihnen das Buch erst ausleihen, wenn Sie einen Bibliotheksausweis haben. Gehen Sie zum Schalter und lassen Sie sich von der Hilfsbibliothekarin eine Karte ausstellen, damit wir eine Aufzeichnung darüber haben, wer Sie sind.“
     

  • Sie gehen zum Schalter und geben der Hilfsbibliothekarin Ihren Führerschein. Die Hilfsbibliothekarin gibt Ihren Namen und Ihre Adresse in das Bibliothekssystem ein, erstellt die Karte und überreicht sie Ihnen. Sie bringen die Karte zurück zur Bibliothekarin, die sie einscannt und das Buch für Sie ausleiht. Sie können das Buch jetzt für einen bestimmten Zeitraum mit nach Hause nehmen.

In diesem Szenario authentifizieren Sie sich bei der Hilfsbibliothekarin (IdP), indem Sie ihr Ihren Ausweis zeigen. Dann erstellt die Hilfsbibliothekarin (IdP) die Karte mit Ihren Informationen. Wenn Sie den Bibliotheksausweis der Bibliothekarin (SP) vorlegen, verwendet diese die Karte, um das Buch für Sie auszuleihen.


Dieses kurze Video bietet zusätzliche Beispiele dafür, wie SAML verwendet wird, um Mitarbeitende, Partner und Kunden schnell und sicher mit den digitalen Ressourcen einer Organisation zu verbinden.
 

Cloud applications are taking the business world by storm.
Whether you're an enterprise with employees accessing critical applications, Or a business offering Web and Mobile software and services to the marketplace, The cloud is changing the way IT infrastructure is accessed and utilized.
Today, as employees, partners, and customers increasingly rely on cloud applications to Conduct business, they inevitably accumulate numerous and often weak passwords to access There are dozens of cloud applications.
The proliferation of these non-standardized cloud identities, Many of which are forgotten, lost, and easy to steal, adds significant corporate risk and management expense, while also frustrating users.
To help secure Cloud identities, many of today's cloud-based applications increasingly Use a standard known as Security Assertion Markup Language, or SAML.
SAML is a secure XML-based communication Mechanism that shares identities between multiple organizations and applications.
But SAML's power in the cloud is its ability to eliminate most passwords and enable single sign-on Single sign-on.
Single sign-on with SAML gives faster, Easier, and trusted access to cloud applications without storing passwords or Requiring users to log into each application Individually.
Instead of passwords, applications that use SAML accept secure tokens.
Which only reveal what is needed for access to the application.
Since no passwords exist, there is nothing for customers, partners, or employees to forget, lose, or have stolen.
For SAML to work, there are three entities involved.
First is the Identity-Provider-IDP.
An Identity-Provider-IDP maintains a directory of users and an authentication Second is the Service-Provider-SP.
Service Providers run the target website, application, or service.
Identity and Service Providers may be separate organizations, such as when an employee accesses an external cloud application like Salesforce.com, or when consumers access Comcast for online content from programmers like HBO or ESPN.
The third entity is the user who has a known account with the Identity Provider.
SAML simplifies the relationship between these entities and strengthens the security of their Interactions.
A user signs into their company network with Corporate credentials.
When they click a link to access applications or secured content at the Service-Provider-SP's application, the Identity-Provider-IDP generates a SAML token to be sent to the Service-Provider.
The token grants access to APPs and content, but it does not pass any info that could be used by anyone else to access them.
The user is free to navigate securely across the applications they need.
A properly architected and deployed SAML 2.0 solution increases security by eliminating Multiple weak passwords for each cloud application while streamlining the secure Access process.
It delivers substantial business value by Reducing costs and boosting employee productivity.
And it enhances customer satisfaction, all by providing one-click access to Cloud Applications.
Although SAML is one of the fundamental cloud Identity security standards, there are other standards needed to fully construct a secure Cloud identity solution.
To learn more about SAML 2.0 and other security standards, visit the Resource Center at PingOne identity.com.

 

Wie funktioniert SAML?


SAML ist ein XML-basiertes Framework, was bedeutet, dass es äußerst flexibel ist, auf jeder Plattform verwendet werden kann und über eine Vielzahl von Protokollen, einschließlich HTTP und SMTP, übertragen werden kann. Föderationspartner können beliebige Informationen in einer SAML-Assertion teilen, solange die Informationen in XML dargestellt werden können. 


Ein typischer SAML-Authentifizierungsprozess funktioniert so:

 

 

  1. Der Benutzer meldet sich an und fordert den Zugriff auf die Ziel-Webanwendung oder den Ziel-Dienst des Dienstanbieters (SP) an.

  2. Der SP fordert Benutzerauthentifizierungsinformationen vom IdP an.

  3. Der IdP erstellt eine SAML-formatierte, digital signierte Antwort, die den Benutzer authentifiziert. Diese Antwort kann in Form einer SAML-Assertion oder eines SAML-Tokens vorliegen. Die Antwort kann auch Informationen über Benutzerzugriffsrechte enthalten.

  4. Der IdP signiert die Assertion und sendet sie an den SP.

  5. Der SP ruft die Assertion ab, stellt sicher, dass sie gültig ist, und authentifiziert den Benutzer.

  6. Der Benutzer greift auf die Anwendung oder den Dienst des Dienstanbieters zu.

 

SAML-Anmeldeerfahrungen sind sicher, weil die Anmeldedaten der Benutzer niemals übertragen werden. SAML-Assertionen oder -Token werden stattdessen verwendet.
 

Was sind SAML-Assertions?


SAML-Assertions sind XML-Dokumente, die von einem IdP an einen SP gesendet werden, um Benutzer zu identifizieren, relevante Informationen über sie bereitzustellen und ihre Berechtigungen in der Zielanwendung oder dem Zieldienst festzulegen. Diese Nachrichten geben außerdem die Gewissheit, dass die Informationen gültig sind, und spezifizieren, wie lange Benutzer auf diese Ressourcen zugreifen können, ohne sich erneut anmelden zu müssen.


SAML-Assertions werden in erster Linie für Authentifizierungszwecke verwendet, können jedoch auch Autorisierungsinformationen enthalten:
 

  • Authentifizierungsassertionen: Identifizieren Benutzer und geben Anmeldeinformationen an, einschließlich des Zeitpunkts der Anmeldung und der Methode, die zur Authentifizierung verwendet wurde.

  • Attributassertionen: Sie enthalten Benutzerattributinformationen, die sowohl im IdP- als auch im SP-Verzeichnis vorhanden sind und während des Authentifizierungsprozesses abgeglichen werden.

  • Autorisierungsassertionen: Geben an, ob der Benutzer berechtigt ist, auf die Anwendung oder den Dienst zuzugreifen. 

SAML wird in Unternehmen häufig verwendet, um Identitätsinformationen zwischen bestehenden IAM-Systemen und Webanwendungen auszutauschen. Die Art und Weise, wie diese Prozesse implementiert werden, hängt davon ab, wie die Anmeldeprozesse initiiert werden – entweder über den IdP oder den SP.

 

IdP-initiiertes SSO


IdP-initiiertes SSO findet sich häufig in Lösungen für die Belegschaft. Die Schritte, die bei dieser Art von Prozess beteiligt sind, werden im folgenden Diagramm dargestellt.
 

 

  1. Ein Benutzer meldet sich mit einem Benutzernamen und einem Kennwort bei seinem System an und erhält einen Anwendungskatalog, der Symbole für die webbasierten Anwendungen und Dienste anzeigt, auf die er zugreifen kann. 

  2. Der Benutzer klickt auf ein Symbol, um auf eine dieser Anwendungen oder Dienste zuzugreifen. 

  3. Der IdP erstellt und signiert eine SAML-Assertion, die Informationen über die Identität des Benutzers sowie alle anderen Attributinformationen enthält, die der IdP und der SP vereinbart haben, um Benutzer zu authentifizieren.

  4. Der IdP sendet entweder die Assertion über einen Browser an den SP oder einen Verweis auf die Assertion, den der SP verwenden kann, um die Assertion sicher abzurufen.

  5. Der SP überprüft die Signatur, um sicherzustellen, dass die SAML-Assertion tatsächlich von seinem vertrauenswürdigen IdP stammt und dass keiner der Werte in der Assertion verändert wurde. Er extrahiert auch die Identität, Attribut- und Autorisierungsinformationen, die er benötigt, um zu bestimmen, ob der Zugriff gewährt werden soll und welche Berechtigungen der Benutzer haben wird.

  6. Benutzer greifen auf die Anwendung oder den Dienst zu.
     

 

Vom Dienstanbieter initiiertes SSO


SP-initiiertes SSO beginnt, wenn ein Benutzer versucht, direkt auf eine Anwendung oder einen Dienst zuzugreifen, anstatt sich zuerst über den IdP zu authentifizieren. Die Schritte, die bei dieser Art von Prozess beteiligt sind, werden im folgenden Diagramm dargestellt.
 

 

  1. Der Benutzer versucht, auf die Anwendung oder den Dienst zuzugreifen.

  2. Der SP leitet den Benutzer zur Authentifizierung zurück an den IdP und stellt dem Benutzer eine Ressourcen-URL zur Verfügung, um nach der Authentifizierung auf die Anwendung oder den Dienst zuzugreifen.

  3. Der SP bestimmt, welchen IdP der SP zur Authentifizierung des Benutzers verwenden soll. Zu den gängigen Methoden gehören:

    Der SP könnte den Benutzer nach seiner E-Mail-Adresse fragen und die Domain der E-Mail, wie z. B. bill@pingidentity.com, verwenden, um den entsprechenden IdP zu identifizieren.

    Der SP könnte eine Liste der unterstützten IdPs anzeigen und den Benutzer bitten, den passenden auszuwählen.

    Die Ressourcen-URL könnte spezifisch für einen IdP sein.

    Der SP könnte ein Cookie mit IdP-Informationen im Browser des Benutzers platziert haben, als sich der Benutzer zum ersten Mal erfolgreich über den IDP angemeldet hat, und wird diese Informationen für den nachfolgenden Zugriff verwenden.

  4. Der SP leitet den Benutzer an den entsprechenden IdP weiter. 

  5. Der IdP authentifiziert die Identität des Benutzers.

  6. Der IdP erstellt und signiert eine XML-basierte SAML-Assertion, die Informationen über die Identität des Benutzers sowie alle anderen Attributinformationen enthält, die der IdP und der SP vereinbart haben, um Benutzer zu authentifizieren.

  7. Der IdP sendet entweder die Assertion über einen Browser an den SP oder einen Verweis auf die Assertion, den der SP verwenden kann, um die Assertion sicher abzurufen.

  8. Der SP überprüft die Signatur, um sicherzustellen, dass die SAML-Assertion tatsächlich von seinem vertrauenswürdigen IdP stammt und dass keiner der Werte in der Assertion verändert wurde. Er extrahiert auch die Identität, Attribut- und Autorisierungsinformationen, die er benötigt, um zu bestimmen, ob der Zugriff gewährt werden soll und welche Berechtigungen der Benutzer haben wird.

  9. Benutzer greifen auf die Anwendung oder den Dienst zu.
     

SAML wird ausschließlich für Webanwendungen genutzt


Da es sich um ein XML-Framework handelt, ist SAML äußerst vielseitig. Viele verschiedene SSO-Verbindungen mit unterschiedlichen Identitätföderationspartnern können mit einer einzigen Implementierung unterstützt werden, weshalb sie häufig in Unternehmen verwendet wird.


Jedoch unterstützt SAML nur SSO für browserbasierte Anwendungen und Dienste. Es unterstützt kein SSO für mobile Anwendungen oder Anwendungen, die über die API auf Ressourcen zugreifen.
 


Ähnliche Ressourcen

Definition

Security Assertion Markup Language (SAML)

  

Whitepaper

SAML 101

  

Video

SAML 101

  

Starten Sie jetzt

Kontaktieren Sie uns

sales@pingidentity.com

Erfahren Sie, wie Ping Ihnen helfen kann, sichere Erlebnisse für Mitarbeiter, Partner und Kunden in einer sich schnell wandelnden digitalen Welt zu bieten.