Oracle Cloud Free Tier

Erstellen, Testen und Bereitstellen von Anwendungen durch die Anwendung natürlicher Sprachverarbeitung – kostenlos.

Was ist Security Assertion Markup Language (SAML)?

Erläuterungen zu SAML

Security Assertion Markup Language (SAML) ist ein offener Föderationsstandard, mit dem ein Identitätsprovider (IdP) Benutzer authentifizieren und dann ein Authentifizierungstoken an eine andere Anwendung übergeben kann, die als Serviceprovider (SP) bezeichnet wird. Mit SAML kann der SP ausgeführt werden, ohne dass eine eigene Authentifizierung durchgeführt und die Identität an die Integration interner und externer Benutzer übergeben werden muss. Dadurch können Sicherheitszugangsdaten über ein Netzwerk, in der Regel eine Anwendung oder ein Service, mit einem SP gemeinsam verwendet werden. SAML ermöglicht eine sichere domainübergreifende Kommunikation zwischen Public Cloud und anderen SAML-fähigen Systemen sowie eine ausgewählte Anzahl von anderen Identity Management-Systemen On-Premise oder in einer anderen Cloud. Mit SAML können Sie eine Single Sign-On-(SSO-)Erfahrung für Ihre Benutzer in zwei beliebigen Anwendungen aktivieren, die SAML-Protokoll und -Services unterstützen, sodass ein SSO mehrere Sicherheitsfunktionen im Namen einer oder mehrerer Anwendungen ausführen kann.

SAML bezieht sich auf die XML-Variantensprache, mit der diese Informationen codiert werden, und kann auch verschiedene Protokollnachrichten und -profile abdecken, die Teil des Standards sind.

Zwei primäre Sicherheitsfunktionen von SAML

  • Authentifizierung: Feststellen, ob es sich bei Benutzern um die Benutzer handelt, für die sie sich ausgeben
  • Autorisierung: Benutzerautorisierung an Apps für den Zugriff auf bestimmte Systeme oder Inhalte übergeben

Erfahren Sie, wie Oracle SAML verwendet, um die Sicherheit mit nur einem Mausklick zu erhöhen.


Erfahren Sie mehr über die Nutzung von SAML von On-Premise bis zur Cloud.

Wie funktioniert SAML?

SAML funktioniert, indem Informationen über Benutzer, Anmeldungen und Attribute zwischen dem Identitätsprovider und dem SP übergeben werden. Jeder Benutzer authentifiziert sich einmal bei einem IdP und kann seine Authentifizierungssession dann nahtlos auf potenziell zahlreiche Anwendungen erweitern. Der IdP übergibt die sogenannte SAML-Assertion an den SP, wenn der Benutzer versucht, auf diese Services zuzugreifen. Der SP fordert die Autorisierung und Authentifizierung von der Identifikation an.

SAML-Beispiel:

  1. Melden Sie sich an, und greifen Sie auf die SSO-Authentifizierung zu.
  2. Exportieren Sie Metadaten aus Ihrem Identitätsprovider, und importieren Sie sie.
  3. Das Identity System versteht mehr über den SSO-Identitätsprovider, um Metadaten aus dem Identity System zu exportieren.
  4. Metadaten für Ihr SSO-Identitätsproviderteam bereitstellen.
  5. SSO testen und aktivieren
  6. Es wird empfohlen, dass sich Benutzer nur mit ihren SSO-Zugangsdaten anmelden.

Wer ist ein SAML-Provider?

Ein SAML-Provider ist ein System, das Benutzern den Zugriff auf einen erforderlichen Service erleichtert. SAML überträgt Identitätsdaten zwischen zwei Parteien, einem IdP und einem SP. Es gibt zwei Haupttypen von SAML-Providern:

Identitätsprovider (IdP): Führt die Authentifizierung durch und übergibt die Identität und Autorisierungsebene des Benutzers an den Serviceprovider (SP). Der IdP hat den Benutzer authentifiziert, während der SP den Zugriff basierend auf der Antwort zulässt, die vom IdP bereitgestellt wird.

Serviceprovider (SP): Vertraut dem IdP und autorisiert den angegebenen Benutzer, auf die angeforderte Ressource zuzugreifen. Ein SP erfordert die Authentifizierung durch den IdP, um dem Benutzer eine Autorisierung zu erteilen, und da beide Systeme dieselbe Sprache verwenden, muss sich der Benutzer nur einmal anmelden.

Was ist eine SAML-Assertion?

Eine SAML-Assertion ist ein den Benutzerautorisierungsstatus enthaltendes XML-Dokument, das der Identitätsprovider an den SP sendet. Die drei unterschiedlichen Typen von SAML-Assertions sind Authentifizierungs-, Attribut- und Autorisierungsentscheidungen.

  • Mit Authentifizierungs-Assertions kann die Identifizierung eines Benutzers überprüft und die Zeit angegeben werden, zu der sich ein Benutzer anmeldet und welche Authentifizierungsmethode verwendet wird (z.B. Passwort, MFA, Kerbeos usw.).
  • Die zugewiesene Assertion übergibt das SAML-Token an den SP. Es wird davon ausgegangen, dass das von SAML zur Identifizierung des Benutzers verwendete Attribut sowohl im IdP- als auch im SP-Verzeichnis identisch ist. SAML-Attribute sind bestimmte Datenelemente, die Informationen über den Benutzer bereitstellen
  • Eine Autorisierungsentscheidungs-Assertion gibt an, ob ein Benutzer zur Verwendung eines Service autorisiert ist oder ob der Identitätsprovider die Anforderung wegen eines Kennwortfehlers oder mangelnder Rechte an einem Service abgelehnt hat

Anwendungsfälle für SAML und OAuth

SAML wird hauptsächlich verwendet, um Single Sign-On (SSO) des Webbrowsers zu aktivieren. Das Ziel der Benutzererfahrung für SSO besteht darin, einem Benutzer die einmalige Authentifizierung zu ermöglichen und Zugriff auf separat gesicherte Systeme zu erhalten, ohne die Zugangsdaten erneut einzugeben. Das Sicherheitsziel besteht darin, sicherzustellen, dass die Authentifizierungsanforderungen an jedem Sicherheitsperimeter erfüllt werden.

  • Verwaltung von Identitäten in der Cloud und On-Premises. Ermöglichen Sie mit cloudbasierten Workflows sowie einer vereinfachten Benutzerbereitstellung und einem Selfservice für Benutzer einen einheitlichen Ansatz für das Identitäts- und Zugriffsmanagement. Durch die Integration offener Standards werden Gemeinkosten und Wartungsaufwand reduziert und ein vereinfachtes Benutzer-Provisioning und Management in der Cloud und On-Premise ermöglicht
  • Optimieren von Identitätsaufgaben. Reduziert die Erforderlichkeit sich wiederholender Benutzer-, Rollen- und Gruppenänderungen über mehrere Umgebungen hinweg. So erhalten Sie eine Identitätsbrücke, mit der Identitätsberechtigungen zwischen On-Premise- und Cloud-Services synchronisiert werden.
  • Zero Trust-Strategie. Verstärken Sie die Zugriffsrichtlinien mit einem cloudbasierten Service für Single Sign-On (SSO), einer starken Kennwortdurchsetzung und einer Multifaktor-Authentifizierung (MFA). Mit der adaptiven Authentifizierung wird das Risiko durch Erhöhung der Anmeldeanforderungen verringert, wenn der Benutzerzugriff basierend auf dem Gerät, dem Standort oder der Aktivität als risikoreicher betrachtet wird
  • Verwaltung des digitalen Zugangs durch Verbraucher. Verbessern Sie die Benutzerzugriffserfahrung mit Self-Service-Benutzeroberflächen und markengerechten Anmeldebildschirmen. Dank der flexiblen Kundenzugriffsberechtigung können Drittanbieterservices und benutzerdefinierte Anwendungen mit REST-APIs und standardbasierter Integration integriert werden

Optimierung der Benutzeranmeldeerfahrung

Die Benutzererfahrung ist für jede Anwendung äußerst wichtig und muss ab dem ersten Moment beginnen, in dem ein Benutzer mit der Anwendung interagiert. Die erste Aktivität ist im Allgemeinen der Anmeldeprozess. Wenn dieser Vorgang umständlich oder nicht intuitiv ist, kann er die allgemeine Erfahrung bei der Verwendung der Anwendung verringern. Oracle Identity Cloud Service (IDCS) verwaltet den Benutzerzugriff und Berechtigungen für eine Vielzahl von Cloud- und On-Premise-Anwendungen und -Services über eine cloud-native Identity-as-a-Service-(IDaaS-)Plattform, die als Vordertür in Oracle Cloud für externe Identitäten fungiert. Dadurch können Organisationen eine Zero Trust-Strategie verfolgen und das Benutzeridentitätsmanagement als neuen Sicherheitsperimeter einrichten.

Weitere Informationen zu Oracle Identity Cloud Service.