This is the Trace Id: 60ebb8d1ab1ca41185e2864d2f4d30f7
Přeskočit na hlavní obsah Proč zabezpečení od Microsoftu? Kybernetická bezpečnost využívající AI Zabezpečení cloudu Zabezpečení dat a zásady správného řízení Identita a přístup k síti Ochrana osobních údajů a řízení rizik Zabezpečení pro AI Sjednocené operace zabezpečení Nulová důvěra (Zero Trust) Microsoft Defender Microsoft Entra Microsoft Intune Microsoft Priva Microsoft Purview Microsoft Sentinel Microsoft Security Copilot Microsoft Entra ID (Azure Active Directory) Microsoft Entra ID agenta Microsoft Entra Externí ID Microsoft Entra ID Governance Microsoft Entra ID Protection Microsoft Entra Přístup k Internetu Microsoft Entra Soukromý přístup Správa oprávnění Microsoft Entra Ověřené ID Microsoft Entra ID úloh Microsoft Entra Microsoft Entra Doménové služby Azure Key Vault Microsoft Sentinel Microsoft Defender for Cloud Microsoft Defender XDR Microsoft Defender pro koncový bod Microsoft Defender pro Office 365 Microsoft Defender for Identity Microsoft Defender for Cloud Apps Microsoft Security Exposure Management Microsoft Defender Správa zranitelností Analýza hrozeb v programu Microsoft Defender Sada služeb Microsoft Defender pro Business Premium Microsoft Defender for Cloud Řízení stavu zabezpečení cloudu v programu Microsoft Defender Cloud Security Posture Mgmt Microsoft Defender Správa externí potenciální oblasti útoku Azure Firewall Azure Web App Firewall Azure DDoS Protection Pokročilé zabezpečení pomocí GitHubu Microsoft Defender pro koncový bod Microsoft Defender XDR Microsoft Defender pro firmy Základní funkce služby Microsoft Intune Microsoft Defender for IoT Microsoft Defender Správa zranitelností Pokročilá analýza Microsoft Intune Správa oprávnění Microsoft Intune Endpoint Správa podnikových aplikací Microsoft Intune Pomoc na dálku Microsoft Intune Microsoft Cloud PKI Dodržování předpisů při komunikaci Microsoft Purview Správce dodržování předpisů Microsoft Purview Správa životního cyklu dat Microsoft Purview Microsoft Purview eDiscovery Microsoft Purview Audit Microsoft Priva Správa rizik zneužití osobních údajů Microsoft Priva Požadavky související s právy dotčených osob Microsoft Purview Řízení dat Sada služeb Microsoft Purview pro Business Premium Funkce zabezpečení dat pomocí Microsoft Purview Ceny Služby Partneři Zvyšování povědomí o kybernetické bezpečnosti Příběhy zákazníků Security 101 Zkušební verze produktů Uznání v oboru Microsoft Security Insider Zpráva Microsoft Digital Defense Report Security Response Center Blog o zabezpečení od Microsoftu Akce Microsoftu zaměřené na zabezpečení Microsoft Tech Community Dokumentace Knihovna technického obsahu Výuka a certifikace Program dodržování předpisů pro Microsoft Cloud Centrum zabezpečení Microsoftu Service Trust Portal Microsoft Iniciativa za bezpečnou budoucnost Centrum podnikových řešení Kontaktovat obchodní oddělení Začít používat bezplatnou zkušební verzi Microsoft Security Azure Dynamics 365 Microsoft 365 Microsoft Teams Windows 365 Microsoft AI Azure Space Hybridní realita Microsoft HoloLens Microsoft Viva Kvantové výpočetní prostředky Udržitelnost Vzdělávání Automobilový průmysl Finanční služby Státní správa Zdravotní péče Výroba Maloobchod Najít partnera Staňte se partnerem Partnerská síť Microsoft Marketplace Marketplace Rewards Společnosti vyvíjející software Blog Microsoft Advertising Středisko pro vývojáře Dokumentace Události Licencování Microsoft Learn Microsoft Research Zobrazit mapu stránek

Co je SAML?

Zjistěte, jak protokol SAML (Security Assertion Markup Language), který je standardním oborovým protokolem, posiluje opatření v oblasti zabezpečení a zlepšuje prostředí přihlašování.

Definice protokolu SAML

SAML je základní technologie, která umožňuje uživatelům přihlásit se jednou pomocí jedné sady přihlašovacích údajů a přistupovat k více aplikacím. Zprostředkovatelé identit, jako je Microsoft Entra ID, ověřují uživatele, když se přihlásí, a pak pomocí SAML předají tato ověřovací data poskytovateli služeb, který provozuje web, službu nebo aplikaci, ke které chtějí tito uživatelé získat přístup.

K čemu se SAML používá?

SAML pomáhá posílit zabezpečení pro firmy a zjednodušit proces přihlašování pro zaměstnance, partnery a zákazníky. Organizace tento protokol používají k zavedení  jednotného přihlašování, které umožňuje uživatelům používat jedno uživatelské jméno a heslo pro přístup k více webům, službám a aplikacím. Snížení počtu hesel, která si lidé musí zapamatovat, je nejen jednodušší, ale snižuje také riziko, že některé z těchto hesel bude odcizeno. Organizace také můžou nastavit standardy zabezpečení pro ověřování pro všechny své aplikace s podporou protokolu SAML. Před přístupem uživatelů k místní síti a aplikacím, jako jsou Salesforce, Concur a Adobe, můžou například vyžadovat vícefaktorové ověřování . 

SAML pomáhá organizacím řešit následující případy použití:

Sjednocení správy identit a přístupu:

Díky správě ověřování a autorizace v jednom systému můžou IT týmy výrazně zkrátit čas, který tráví zřizováním uživatelů a přidělováním identit.

Zavedení modelu nulové důvěry (Zero Trust):

 Strategie zabezpečení na principu nulové důvěry (Zero Trust) vyžaduje, aby organizace ověřovaly všechny žádosti o přístup a omezily přístup k citlivým informacím jenom na uživatele, kteří je potřebují. Technické týmy můžou pomocí protokolu SAML nastavit zásady, jako je vícefaktorové ověřování a podmíněný přístup, pro všechny aplikace. Můžou také zavést přísnější opatření zabezpečení, jako je vynucení resetování hesla, když se zvýší riziko u určitých uživatelů na základě jejich chování, zařízení nebo polohy.

Obohacení prostředí pro zaměstnance:

Kromě zjednodušení přístupu pro pracovníky můžou IT týmy také přidávat na přihlašovací stránky firemní branding a vytvořit konzistentní prostředí napříč aplikacemi. Zaměstnanci také šetří čas díky samoobslužným funkcím, které jim umožňují snadno resetovat hesla.

Co je zprostředkovatel SAML?

Zprostředkovatel SAML je systém, který sdílí data ověřování a autorizace identity s jinými zprostředkovateli. Existují dva typy zprostředkovatelů SAML:

  • Zprostředkovatelé identity ověřují a autorizují uživatele. Poskytují přihlašovací stránku, na které uživatelé zadávají své přihlašovací údaje. Vynucují také zásady zabezpečení, jako je vyžadování vícefaktorového ověřování nebo resetování hesla. Jakmile je uživatel autorizován, předávají zprostředkovatelé identity data poskytovatelům služeb. 

  • Poskytovatelé služeb jsou aplikace a weby, ke kterým chtějí uživatelé přistupovat. Místo toho, aby se uživatelé museli přihlašovat k aplikacím jednotlivě, nakonfigurují poskytovatelé služeb svá řešení tak, aby důvěřovala autorizaci SAML, a spoléhají na zprostředkovatele identity, aby ověřili identity a autorizovali přístup. 

Jak ověřování SAML funguje?

V ověřování SAML poskytovatelé služeb a zprostředkovatelé identit sdílejí přihlašovací údaje a uživatelská data, aby si potvrdili, že každá osoba, která žádá o přístup, je ověřená. Obvykle se postupuje podle následujících kroků:

  1. Zaměstnanec začne tím, že se přihlásí pomocí přihlašovací stránky poskytnuté zprostředkovatelem identity.

  2. Zprostředkovatel identity ověří, že zaměstnanec je skutečně osobou, za kterou se vydává, tím, že potvrdí kombinaci podrobností ověření, například uživatelské jméno, heslo, PIN kód, zařízení nebo biometrická data.

  3. Zaměstnanec spustí příslušnou aplikaci poskytovatele služeb, například Microsoft Word nebo Workday. 

  4. Poskytovatel služeb komunikuje se zprostředkovatelem identity, aby si potvrdil, že tento zaměstnanec má oprávnění k přístupu k dané aplikaci.

  5. Zprostředkovatelé identity pošlou zpět autorizaci a ověření.

  6. Zaměstnanec získá přístup k dané aplikaci bez nutnosti se podruhé přihlašovat.

Co je kontrolní výraz SAML?

Kontrolní výraz SAML je dokument XML obsahující data, která poskytovali služeb potvrzují, že osoba, která se přihlašuje, byla ověřena.

Existují tři typy:

  • Ověřovací kontrolní výraz identifikuje uživatele a zahrnuje čas přihlášení tohoto uživatele a typ ověřování, které použil, například heslo nebo vícefaktorové ověřování.

  • Kontrolní výraz přiřazení předává token SAML poskytovali. Tento kontrolní výraz obsahuje konkrétní data o uživateli.

  • Kontrolní výraz rozhodnutí o autorizaci informuje poskytovatele služeb, jestli je uživatel ověřený nebo jestli mu byl přístup zamítnut kvůli problému s přihlašovacími údaji nebo kvůli tomu, že nemá oprávnění k dané službě. 

Porovnání protokolů SAML a OAuth

SAML i OAuth usnadňují uživatelům přístup k více službám, aniž by se k nim museli přihlašovat samostatně, ale tyto dva protokoly používají různé technologie a procesy. Protokol SAML používá XML k tomu, aby uživatelům umožnil používat stejné přihlašovací údaje pro přístup k více službám, zatímco OAuth předává autorizační data pomocí metody JWT nebo ve formátu JavaScript Object Notation.


V případě protokolu OAuth se uživatelé přihlašují k nějaké službě pomocí autorizace třetí strany, jako jsou jejich účty služeb Google nebo Facebook, a nevytváří pro danou službu nové uživatelské jméno nebo heslo. Autorizace se předává při současném zachování ochrany hesla uživatele.

Role protokolu SAML pro firmy

SAML pomáhá firmám zajistit produktivitu i zabezpečení na hybridních pracovištích. Když pracuje na dálku více lidí, je důležité jim umožnit snadný přístup k firemním prostředkům odkudkoli. Bez správných prvků zabezpečení však snadný přístup zvyšuje riziko porušení zabezpečení. Pomocí protokolu SAML můžou organizace zjednodušit proces přihlašování zaměstnanců a současně vynucovat silné zásady, jako je vícefaktorové ověřování a podmíněný přístup napříč aplikacemi, které zaměstnanci používají.
Na začátku by měly organizace investovat do některého řešení zprostředkovatele identity, jako je například Microsoft Entra ID. Microsoft Entra ID chrání uživatele a data pomocí integrovaného zabezpečení a sjednocuje správu identit do jediného řešení. Díky samoobslužnému režimu a jednotnému přihlašování můžou zaměstnanci snadno a pohodlně produktivně pracovat. Microsoft Entra ID se navíc dodává s předem připravenou integrací protokolu SAML s velkým počtem aplikací, jako jsou Zoom, DocuSign, SAP Concur, Workday a Amazon Web Services (AWS).

Další informace o zabezpečení od Microsoftu

Identity a přístupy od Microsoftu

Prozkoumejte komplexní řešení pro identity a přístupy od Microsoftu.

Další informace

Microsoft Entra ID

Chraňte svou organizaci pomocí uceleného řešení pro identity.

Další informace

Jednotné přihlašování

Zjednodušte přístup k aplikacím SaaS (software jako služba), cloudovým aplikacím nebo místním aplikacím.

Další informace

Vícefaktorové ověřování

Chraňte svou organizaci před porušením zabezpečení, ke kterému může dojít v důsledku ztracených nebo odcizených přihlašovacích údajů.

Další informace

Podmíněný přístup

Vynucujte podrobné řízení přístupu pomocí adaptivních zásad v reálném čase.

Další informace

Předem vytvořené integrace aplikací

Využívejte předem vytvořené integrace k lépe zabezpečenému připojování uživatelů k aplikacím.

Další informace

Blog o identitách a přístupu

Udržujte si přehled o nejnovějších poznatcích v oblasti správy identit a přístupu.

Další informace

Časté otázky

  • SAML zahrnuje následující součásti:

    • Zprostředkovatelé služeb identity ověřují a autorizují uživatele. Poskytují přihlašovací stránku, na které uživatelé zadávají své přihlašovací údaje, a vynucují zásady zabezpečení, jako je vyžadování vícefaktorového ověřování nebo resetování hesla. Jakmile je uživatel autorizován, předávají zprostředkovatelé identity data poskytovatelům služeb.

    • Poskytovatelé služeb jsou aplikace a weby, ke kterým chtějí uživatelé přistupovat. Místo toho, aby se uživatelé museli přihlašovat k aplikacím jednotlivě, nakonfigurují poskytovatelé služeb svá řešení tak, aby důvěřovala autorizaci SAML, a spoléhají na zprostředkovatele identity, aby ověřili identity a autorizovali přístup.

    • Metadata popisují, jak si zprostředkovatelé identity a poskytovatelé služeb budou vyměňovat kontrolní výrazy – včetně koncových bodů a technologie.

    • Kontrolní výraz jsou data ověřování, která poskytovali služeb potvrzují, že osoba, která se přihlašuje, byla ověřena.

    • Podpisové certifikáty zřizují vztah důvěryhodnosti mezi zprostředkovatelem identity a poskytovatelem služeb tím, že potvrzují, že s kontrolním výrazem během cesty mezi těmito dvěma poskytovateli nebylo manipulováno.

    • Systémové hodiny potvrzují, že poskytovatel služeb a zprostředkovatel identity mají stejný čas, kvůli ochraně proti útokům přehráním.

  • SAML nabízí organizacím, jejich zaměstnancům a partnerům následující výhody:

    • Lepší uživatelské prostředí. SAML umožňuje organizacím vytvořit prostředí pro jednotné přihlašování, aby se zaměstnanci a partneři přihlásili jednou a získali přístup ke všem svým aplikacím. Díky tomu je práce jednodušší a pohodlnější, protože je potřeba si pamatovat méně hesel a zaměstnanci se nemusí přihlašovat pokaždé, když chtějí začít používat jiný nástroj.

    • Vylepšené zabezpečení. Menší počet hesel snižuje riziko napadení účtů. Týmy zodpovídající za zabezpečení můžou navíc pomocí protokolu SAML používat silné zásady zabezpečení u všech aplikací. Pro přihlášení můžou například vyžadovat vícefaktorové ověřování nebo můžou používat zásady podmíněného přístupu, které omezují přístup uživatelů ke konkrétním aplikacím a datům.

    • Sjednocená správa. Pomocí protokolu SAML technické týmy spravují identity a zásady zabezpečení v jednom řešení, místo aby pro každou aplikaci používaly samostatné konzoly pro správu. To výrazně zjednodušuje zřizování uživatelů.

  • SAML je technologie XML založená na otevřeném standardu, která umožňuje zprostředkovatelům identit, jako je Microsoft Entra ID, předávat data ověřování poskytovateli služeb, jako je například aplikace SaaS.
    Jednotné přihlašování znamená, že se lidé přihlásí jednou a získají tím přístup k několika různým webům a aplikacím. SAML umožňuje jednotné přihlašování, ale jednotné přihlašování je možné nasadit i pomocí jiných technologií.

  • Protokol LDAP (Lightweight Directory Access Protocol) je protokol pro správu identit, který se používá k ověřování a autorizaci identit uživatelů. Mnoho poskytovatelů služeb protokol LDAP podporuje, takže může být dobrým řešením pro jednotné přihlašování. Jedná se však o starší technologii, která nefunguje tak dobře u webových aplikací.

    SAML je novější technologie, která je dostupná ve většině webových a cloudových aplikací, a je proto oblíbenější volbou pro centralizovanou správu identit.

  • Vícefaktorové ověřování je opatření zabezpečení, které vyžaduje, aby lidé k prokázání své identity použili více než jeden faktor. Obvykle vyžaduje něco, co daný jednotlivec má, například zařízení, a něco, co zná, třeba heslo nebo PIN kód. SAML umožňuje technickým týmům používat vícefaktorové ověřování u více webů a aplikací. Můžou se rozhodnout používat tuto úroveň ověřování u všech aplikací integrovaných s protokolem SAML nebo můžou vynucovat vícefaktorové ověřování pro některé aplikace, a pro jiné ne. 

Sledujte zabezpečení od Microsoftu

Surface Pro Surface Laptop Surface Laptop Studio 2 Copilot pro organizace Copilot pro osobní používání Microsoft 365 Prohlédnout produkty Microsoft Profil účtu Centrum stahování Podpora pro Microsoft Store Vrácení Sledování objednávky Recyklace Commercial Warranties Microsoft Education Zařízení pro vzdělávání Microsoft Teams pro vzdělávání Microsoft 365 Education Office Education Vzdělávání a rozvoj pedagogů Akce pro studenty a rodiče Azure pro studenty
Microsofts kunstige intelligens Microsoft Security Azure Dynamics 365 Microsoft 365 Microsoft Advertising Microsoft 365 Copilot Microsoft Teams Microsoft pro vývojáře Microsoft Learn Podpora aplikací s umělou inteligenci v obchodě Marketplace Odborná komunita Microsoft Microsoft Marketplace Microsoft Power Platform Marketplace Rewards Visual Studio Kariéra Novinky u společnosti Microsoft a ochrana osobních údajů Investoři Udržitelnost
Čeština (Česko)
Ikona nesouhlasu s volbami ochrany osobních údajů Vaše volby ochrany osobních údajů
Ochrana osobních údajů spotřebitele ve zdravotnictví Kontaktovat Microsoft Ochrana osobních údajů Spravovat soubory cookie Podmínky používání Ochranné známky O našich reklamách EU Compliance DoCs