Oracle Cloud Free Tier

Bouw, test en implementeer applicaties door natuurlijke taalverwerking toe te passen - helemaal gratis.

Wat is Security Assertion Markup Language (SAML)?

SAML: uitleg

Security Assertion Markup Language (SAML) is een open federatiestandaard waarmee een identiteitsprovider (IdP) gebruikers kan verifiëren en vervolgens een authenticatietoken kan doorgeven aan een andere applicatie, ook wel een serviceprovider (SP) genoemd. Via SAML kan de SP werken zonder een eigen authenticatie uit te voeren en de identiteit door te geven om interne en externe gebruikers te integreren. Zo kunnen beveiligingsreferenties worden gedeeld met een SP via een netwerk, meestal een applicatie of service. Met SAML kan in meerdere domeinen veilig worden gecommuniceerd tussen de openbare cloud en andere SAML-systemen, en een bepaald aantal andere identiteitsbeheersystemen die zich on-premises of in een andere cloud bevinden. U kunt met SAML eenmalige aanmelding (SSO) inschakelen voor uw gebruikers voor twee willekeurige applicaties die het SAML-protocol en SAML-services ondersteunen, zodat een SSO verschillende beveiligingsfuncties kan uitvoeren namens een of meer applicaties.

SAML heeft betrekking op de XML-varianttaal die wordt gebruikt om deze informatie te coderen en kan ook verschillende protocolberichten en profielen omvatten die deel uitmaken van de standaard.

Twee primaire beveiligingsfuncties van SAML

  • Authenticatie: controleren of gebruikers zijn wie ze beweren te zijn
  • Autorisatie: gebruikersautorisatie doorgeven aan apps voor toegang tot bepaalde systemen of content

Ontdek hoe Oracle SAML gebruikt om de beveiliging met één klik te verbeteren.


Bekijk deze video en leer alles over het gebruik van SAML, on-premises en in de cloud.

Hoe werkt SAML?

SAML geeft informatie over gebruikers, aanmeldingen en attributen door van de identiteitsprovider aan de SP. Elke gebruiker verifieert zich één keer bij een IdP en kan de authenticatiesessie vervolgens naadloos uitbreiden naar diverse applicaties. De IdP geeft een zogenaamde SAML-assertion door aan de SP wanneer de gebruiker toegang probeert te krijgen tot die services. De SP vraagt vervolgens om autorisatie en authenticatie van de identiteit.

Een voorbeeld van SAML:

  1. Meld u aan en open de SSO-authenticatie.
  2. Exporteer metadata van uw identiteitsprovider en importeer deze.
  3. Het identiteitssysteem krijgt meer inzicht in de SSO-identiteitsprovider voor het exporteren van metadata uit het identiteitssysteem.
  4. Stuur de metadata naar het team van uw SSO-identiteitsprovider.
  5. Test SSO en schakel dit in.
  6. Gebruikers kunnen zich het beste alleen aanmelden met hun SSO-referenties.

Wat is een SAML-provider?

Een SAML-provider is een systeem dat gebruikers helpt toegang te krijgen tot een benodigde service. SAML draagt identiteitsgegevens over tussen twee partijen, een IdP en een SP. Er zijn twee hoofdtypen SAML-providers:

Identiteitsprovider (IdP): de IdP voert de authenticatie uit en geeft de identiteit en het autorisatieniveau van de gebruiker door aan de serviceprovider (SP). De IdP heeft de gebruiker geverifieerd, terwijl de SP toegang toestaat op basis van het antwoord van de IdP.

Serviceprovider (SP): de SP vertrouwt de IdP en autoriseert de gebruiker voor toegang tot de gevraagde bron. Een SP vereist de authenticatie van de IdP om autorisatie aan de gebruiker te verlenen. Aangezien beide systemen dezelfde taal delen, hoeft de gebruiker zich maar één keer aan te melden.

Wat is een SAML-assertion?

Een SAML-assertion is een XML-document dat de identiteitsprovider naar de SP stuurt met daarin de autorisatiestatus van de gebruiker. De drie verschillende typen SAML-assertions zijn authenticatie-, attribuut- en autorisatiebeslissingen.

  • Met authenticatie-assertions kan de identificatie van een gebruiker worden geverifieerd en kan worden aangegeven wanneer een gebruiker zich aanmeldt en met welke authenticatiemethode (bijvoorbeeld wachtwoord, MFA, Kerberos, enzovoort).
  • De toegewezen assertion geeft het SAML-token door aan de SP. Het attribuut dat door SAML wordt gebruikt om de gebruiker te identificeren, moet hetzelfde zijn in zowel de IdP- als de SP-directory. SAML-attributen zijn specifieke gegevens die informatie over de gebruiker geven.
  • Een assertion met een autorisatiebeslissing geeft aan of een gebruiker is geautoriseerd om een service te gebruiken of dat de identiteitsprovider de aanvraag heeft geweigerd vanwege een wachtwoordfout of onvoldoende rechten voor een service.

Gebruiksscenario's voor SAML en OAuth

SAML wordt voornamelijk gebruikt om eenmalige aanmelding (SSO) te activeren in de webbrowser. Het doel van SSO is ervoor zorgen dat een gebruiker maar één keer hoeft te worden geverifieerd om toegang te krijgen tot afzonderlijk beveiligde systemen zonder dat hij steeds opnieuw aanmeldingsgegevens moet invoeren. Het beveiligingsdoel is ervoor zorgen dat bij elke beveiligingsperimeter wordt voldaan aan de authenticatievereisten.

  • Beheer identiteiten in de cloud en on-premises. Zorg voor een uniforme aanpak van identiteits- en toegangsbeheer met cloudworkflows, vereenvoudigde gebruikersinitialisatie en selfservice voor gebruikers. Integratie met open standaarden vermindert overhead en onderhoud en biedt vereenvoudigde gebruikersinitialisatie en beheer in de cloud en on-premises.
  • Stroomlijn identiteitstaken. Verminder de behoefte aan herhalende gebruikers-, rol- en groepswijzigingen in meerdere omgevingen. Zo beschikt u over een identiteitsbrug die identiteitsrechten synchroniseert tussen on-premises services en cloudservices.
  • Zero-trust strategie. Dwing toegangsbeleid af via een cloudservice voor eenmalige aanmelding (SSO), het afdwingen van sterke wachtwoorden en meervoudige verificatie (MFA). Met adaptieve authenticatie loopt u minder risico door de aanmeldingsvereisten te verhogen wanneer gebruikerstoegang als hoog risico wordt beschouwd op basis van apparaat, locatie of activiteit.
  • Beheer digitale toegang voor consumenten. Breid de toegangservaring voor consumenten uit met selfservice-gebruikersinterfaces en aanmeldingsschermen die voor uw bedrijf kunnen worden aangepast. De flexibele toegang voor klanten helpt bij het integreren van services van derden en aangepaste applicaties met behulp van REST-API's en op standaarden gebaseerde integratie.

Optimalisatie van de gebruikerservaring voor aanmelding

De gebruikerservaring is uitermate belangrijk voor elke applicatie en moet direct vanaf het eerste moment goed werken voor de gebruiker. De eerste activiteit is meestal het aanmeldingsproces. Als dit omslachtig of niet intuïtief is, kan dit nadelig zijn voor de algehele gebruikservaring van de applicatie. Oracle Identity Cloud Service (IDCS) beheert gebruikerstoegang en -rechten voor een breed scala aan cloud- en on-premises applicaties en services met behulp van een cloud-native IDaaS-platform (IDentity as a Service) dat fungeert als ingang voor Oracle Cloud voor externe identiteiten. Hiermee kunnen organisaties een zero-trust strategie implementeren en gebruikersidentiteitsbeheer instellen als een nieuwe beveiligingsperimeter.

Meer informatie over Oracle Identity Cloud Service.