SAML 定义
SAML 是一种基本技术,用户只需使用一组凭据登录一次,就可访问多个应用程序。标识提供者(如 Microsoft Entra ID)会在用户登录时进行用户验证,然后使用 SAML 将该身份验证数据传递给运行用户希望访问的站点、服务或应用的服务提供商。
SAML 有何用途?
SAML 有助于增强企业的安全性,并简化员工、合作伙伴和客户的登录过程。组织用它来实现 单一登录, 这使用户能够使用一个用户名加密码访问多个站点、服务和应用。减少用户必须记住的密码数量不仅对用户来说更容易操作,而且还能降低其中一个密码被盗的风险。组织也可在其已启用 SAML 的应用中设置 身份验证 的安全标准。例如,他们可要求用户先进行 多重身份验证 才能访问本地网络和应用(例如 Salesforce、Concur 和 Adobe)。
SAML 可帮助组织处理以下用 例:
统一标识和访问管理:
通过在一个系统中管理身份验证和授权,IT 团队可大大缩短他们在用户预配和标识权利方面耗费的时间。
启用零信任:
零信任安全策略 要求组织验证每个访问请求,并仅限需要敏感信息的用户访问这些信息。技术团队可使用 SAML 为其所有应用设置策略,例如多重身份验证和条件访问。当用户的行为、设备或位置导致用户风险增大时,他们还可实施更严格的安全措施,例如强制要求密码重置。
丰富员工体验:
除了简化员工访问,IT 团队还可在登录页面上标注品牌,跨应用创建一致的体验。员工也可通过自助服务体验轻松重置密码,从而节省时间。
什么是 SAML 提供程序?
SAML 提供程序是一种与其他提供程序共享标识身份验证和授权数据的系统。有两种类型的 SAML 提供程序:
- 标识提供者 对用户进行身份验证和授权。它们提供了登录页面,用户可在这里输入其凭据。他们还会强制实施安全策略,例如要求进行多重身份验证或密码重置。用户获得授权后,标识提供者会将数据传递给服务提供方。
- 服务提供方 是用户需要访问的应用和网站。服务提供方会配置其解决方案来信任 SAML 授权,并依赖标识提供者来验证标识和授权访问,而不是要求用户单独登录他们的应用。
SAML 身份验证的工作原理?
在 SAML 身份验证中,服务提供方和标识提供者共享登录和用户数据来确认需要访问权限的每个人都经过身份验证。通常采用以下步骤:
- 员工首先使用标识提供者提供的登录页面进行登录。
- 标识提供者通过确认一组身份验证详细信息(例如用户名、密码、PIN、设备或生物特征数据)来验证员工是否是本人。
- 员工启动一个服务提供方应用,例如 Microsoft Word 或 Workday。
- 服务提供方与标识提供者通信,来确认员工已获得授权可访问该应用。
- 标识提供者发回身份验证和授权。
- 员工无需再次登录即可访问应用。
什么是 SAML 断言?
SAML 断言是一个包含数据的 XML 文档,用于向服务提供方确认登录的用户已经过身份验证。
有以下三种类型的断言:
- 身份验证断言 用于标识用户,并包含用户登录的时间及其使用的身份验证类型,例如密码或多重身份验证。
- 归因断言 将 SAML 令牌传递给提供商。此断言包括关于用户的特定数据。
- 授权决策断言 告知服务提供方用户是否经过身份验证,或者用户是否因自身凭据问题或因为没有该服务的权限而遭到拒绝。
SAML 与OAuth
用户使用 SAML 和 OAuth 可更轻松地访问多个服务,无需单独登录每个服务,但是这两个协议使用不同的技术和过程。SAML 使用 XML 来让用户使用相同的凭据访问多个服务,而 OAuth 使用 JWT 或 JavaScript 对象表示法来传递授权数据。
在 OAuth 中,用户选择使用第三方授权(例如 Google 或 Facebook 帐户)来登录服务,而不是为服务创建新的用户名或密码。在 保护用户密码的同时传递授权。
SAML 对企业的作用
SAML 可帮助企业在其混合工作场所实现高效工作和安全性。随着越来越多的人远程工作,赋予他们随处轻松访问公司资源的能力至关重要,但是如果没有适当的安全控制措施,轻松访问会带来泄漏的风险。借助 SAML,组织可简化员工的登录过程,同时在其员工使用的应用中强制实施多重身份验证和条件访问等强大策略。
首先,组织应投资 Microsoft Entra ID 等标识提供者解决方案。Microsoft Entra ID 使用内置安全性来保护用户和数据,同时将标识管理统一为单一解决方案。自助服务和单一登录能够让员工轻松、便捷地保持生产力。此外,Microsoft Entra ID 随附了与数千种应用的预构建 SAML 集成,例如 Zoom、DocuSign、SAP Concur、Workday 和 Amazon Web Services (AWS)。
详细了解 Microsoft 安全
常见问题解答
-
SAML 由以下部分组成:
- 标识服务提供方 对用户进行身份验证和授权。它们提供登录页面,用户可在这里输入其凭据并强制实施安全策略,例如要求进行多重身份验证或密码重置。用户获得授权后,标识提供者会将数据传递给服务提供方。
- 服务提供方 是用户需要访问的应用和网站。服务提供方会配置其解决方案来信任 SAML 授权,并依赖标识提供者来验证标识和授权访问,而不是要求用户单独登录他们的应用。
- 元数据 描述了标识提供者和服务提供方将如何交换终结点和技术等断言。
- 断言 是身份验证数据,用于向服务提供方确认登录的用户已经过身份验证。
- 登录凭据 通过确认在两个提供者之间传输时未操作断言,在标识提供者与服务提供方之间建立信任。
- 系统时钟 确认服务提供方和标识提供者有同样的时间来防御重放攻击。
- 标识服务提供方 对用户进行身份验证和授权。它们提供登录页面,用户可在这里输入其凭据并强制实施安全策略,例如要求进行多重身份验证或密码重置。用户获得授权后,标识提供者会将数据传递给服务提供方。
-
SAML 可为组织、其员工和合作伙伴提供以下优势:
- 增强了用户体验。 组织可使用 SAML 创建单一登录体验,这样员工和合作伙伴登录一次后就能访问其所有应用。这使操作变得更简单、更便捷,因为要记住的密码更少,而且员工不必每次切换工具时都要登录。
- 改进了安全性。 密码更少,因此账户被盗用的风险更低。此外,安全团队可使用 SAML 向其所有应用实施强大的安全策略。例如,他们可要求进行多重身份验证才能登录,或者应用限制用户可访问的用户和数据的条件访问策略。
- 统一管理。 通过使用 SAML,技术团队可在一个解决方案中管理标识和安全策略,而不是为每个应用使用单独的管理控制台。这大大简化了用户预配操作。
- 增强了用户体验。 组织可使用 SAML 创建单一登录体验,这样员工和合作伙伴登录一次后就能访问其所有应用。这使操作变得更简单、更便捷,因为要记住的密码更少,而且员工不必每次切换工具时都要登录。
-
SAML 是一种开放标准 XML 技术,标识提供者(例如 Microsoft Entra ID)可使用它将身份验证数据传递给服务型软件应用等服务提供方。
单一登录是指用户登录一次,然后就可访问多个不同的网站和应用。SAML 可实现单一登录,但也可使用其他技术部署单一登录。 -
轻型目录访问协议 (LDAP) 是一种标识管理协议,用于对用户标识进行身份验证和授权。很多服务提供方都支持 LDAP,因此它可能是非常适合单一登录的解决方案,但因为这项技术较旧,与 Web 应用程序搭配使用时效果不佳。
SAML 技术较新,可在大多数 Web 和云应用程序中使用,这使得它成为集中标识管理的更热门选择。
-
多重身份验证是一项安全措施,它要求用户使用多个要素来证明其身份。通常,它要求提供个人拥有的东西(例如设备)和用户知道的信息(例如密码或 PIN)。技术团队可使用 SAML 向多个网站和应用实施多重身份验证。他们可选择向与 SAML 集成的所有应用实施这一级别的身份验证,或者可对一些应用强制实施多重身份验证,但对其他应用不强制实施此验证。
关注 Microsoft 安全