Security Assertion Markup Language (SAML) ist ein offener Föderationsstandard, mit dem ein Identitätsprovider (IdP) Benutzer authentifizieren und dann ein Authentifizierungstoken an eine andere Anwendung übergeben kann, die als Serviceprovider (SP) bezeichnet wird. Mit SAML kann der SP ausgeführt werden, ohne dass eine eigene Authentifizierung durchgeführt und die Identität an die Integration interner und externer Benutzer übergeben werden muss. Dadurch können Sicherheitszugangsdaten über ein Netzwerk, in der Regel eine Anwendung oder ein Service, mit einem SP gemeinsam verwendet werden. SAML ermöglicht eine sichere domainübergreifende Kommunikation zwischen Public Cloud und anderen SAML-fähigen Systemen sowie eine ausgewählte Anzahl von anderen Identity Management-Systemen On-Premise oder in einer anderen Cloud. Mit SAML können Sie eine Single Sign-On-(SSO-)Erfahrung für Ihre Benutzer in zwei beliebigen Anwendungen aktivieren, die SAML-Protokoll und -Services unterstützen, sodass ein SSO mehrere Sicherheitsfunktionen im Namen einer oder mehrerer Anwendungen ausführen kann.
SAML bezieht sich auf die XML-Variantensprache, mit der diese Informationen codiert werden, und kann auch verschiedene Protokollnachrichten und -profile abdecken, die Teil des Standards sind.
Erfahren Sie, wie Oracle SAML verwendet, um die Sicherheit mit nur einem Mausklick zu erhöhen.
Erfahren Sie mehr über die Nutzung von SAML von On-Premise bis zur Cloud.
SAML funktioniert, indem Informationen über Benutzer, Anmeldungen und Attribute zwischen dem Identitätsprovider und dem SP übergeben werden. Jeder Benutzer authentifiziert sich einmal bei einem IdP und kann seine Authentifizierungssession dann nahtlos auf potenziell zahlreiche Anwendungen erweitern. Der IdP übergibt die sogenannte SAML-Assertion an den SP, wenn der Benutzer versucht, auf diese Services zuzugreifen. Der SP fordert die Autorisierung und Authentifizierung von der Identifikation an.
SAML-Beispiel:
Ein SAML-Provider ist ein System, das Benutzern den Zugriff auf einen erforderlichen Service erleichtert. SAML überträgt Identitätsdaten zwischen zwei Parteien, einem IdP und einem SP. Es gibt zwei Haupttypen von SAML-Providern:
Identitätsprovider (IdP): Führt die Authentifizierung durch und übergibt die Identität und Autorisierungsebene des Benutzers an den Serviceprovider (SP). Der IdP hat den Benutzer authentifiziert, während der SP den Zugriff basierend auf der Antwort zulässt, die vom IdP bereitgestellt wird.
Serviceprovider (SP): Vertraut dem IdP und autorisiert den angegebenen Benutzer, auf die angeforderte Ressource zuzugreifen. Ein SP erfordert die Authentifizierung durch den IdP, um dem Benutzer eine Autorisierung zu erteilen, und da beide Systeme dieselbe Sprache verwenden, muss sich der Benutzer nur einmal anmelden.
Eine SAML-Assertion ist ein den Benutzerautorisierungsstatus enthaltendes XML-Dokument, das der Identitätsprovider an den SP sendet. Die drei unterschiedlichen Typen von SAML-Assertions sind Authentifizierungs-, Attribut- und Autorisierungsentscheidungen.
SAML wird hauptsächlich verwendet, um Single Sign-On (SSO) des Webbrowsers zu aktivieren. Das Ziel der Benutzererfahrung für SSO besteht darin, einem Benutzer die einmalige Authentifizierung zu ermöglichen und Zugriff auf separat gesicherte Systeme zu erhalten, ohne die Zugangsdaten erneut einzugeben. Das Sicherheitsziel besteht darin, sicherzustellen, dass die Authentifizierungsanforderungen an jedem Sicherheitsperimeter erfüllt werden.
Die Benutzererfahrung ist für jede Anwendung äußerst wichtig und muss ab dem ersten Moment beginnen, in dem ein Benutzer mit der Anwendung interagiert. Die erste Aktivität ist im Allgemeinen der Anmeldeprozess. Wenn dieser Vorgang umständlich oder nicht intuitiv ist, kann er die allgemeine Erfahrung bei der Verwendung der Anwendung verringern. Oracle Identity Cloud Service (IDCS) verwaltet den Benutzerzugriff und Berechtigungen für eine Vielzahl von Cloud- und On-Premise-Anwendungen und -Services über eine cloud-native Identity-as-a-Service-(IDaaS-)Plattform, die als Vordertür in Oracle Cloud für externe Identitäten fungiert. Dadurch können Organisationen eine Zero Trust-Strategie verfolgen und das Benutzeridentitätsmanagement als neuen Sicherheitsperimeter einrichten.