Security Assertion Markup Language (SAML) is een open federatiestandaard waarmee een identiteitsprovider (IdP) gebruikers kan verifiëren en vervolgens een authenticatietoken kan doorgeven aan een andere applicatie, ook wel een serviceprovider (SP) genoemd. Via SAML kan de SP werken zonder een eigen authenticatie uit te voeren en de identiteit door te geven om interne en externe gebruikers te integreren. Zo kunnen beveiligingsreferenties worden gedeeld met een SP via een netwerk, meestal een applicatie of service. Met SAML kan in meerdere domeinen veilig worden gecommuniceerd tussen de openbare cloud en andere SAML-systemen, en een bepaald aantal andere identiteitsbeheersystemen die zich on-premises of in een andere cloud bevinden. U kunt met SAML eenmalige aanmelding (SSO) inschakelen voor uw gebruikers voor twee willekeurige applicaties die het SAML-protocol en SAML-services ondersteunen, zodat een SSO verschillende beveiligingsfuncties kan uitvoeren namens een of meer applicaties.
SAML heeft betrekking op de XML-varianttaal die wordt gebruikt om deze informatie te coderen en kan ook verschillende protocolberichten en profielen omvatten die deel uitmaken van de standaard.
Ontdek hoe Oracle SAML gebruikt om de beveiliging met één klik te verbeteren.
Bekijk deze video en leer alles over het gebruik van SAML, on-premises en in de cloud.
SAML geeft informatie over gebruikers, aanmeldingen en attributen door van de identiteitsprovider aan de SP. Elke gebruiker verifieert zich één keer bij een IdP en kan de authenticatiesessie vervolgens naadloos uitbreiden naar diverse applicaties. De IdP geeft een zogenaamde SAML-assertion door aan de SP wanneer de gebruiker toegang probeert te krijgen tot die services. De SP vraagt vervolgens om autorisatie en authenticatie van de identiteit.
Een voorbeeld van SAML:
Een SAML-provider is een systeem dat gebruikers helpt toegang te krijgen tot een benodigde service. SAML draagt identiteitsgegevens over tussen twee partijen, een IdP en een SP. Er zijn twee hoofdtypen SAML-providers:
Identiteitsprovider (IdP): de IdP voert de authenticatie uit en geeft de identiteit en het autorisatieniveau van de gebruiker door aan de serviceprovider (SP). De IdP heeft de gebruiker geverifieerd, terwijl de SP toegang toestaat op basis van het antwoord van de IdP.
Serviceprovider (SP): de SP vertrouwt de IdP en autoriseert de gebruiker voor toegang tot de gevraagde bron. Een SP vereist de authenticatie van de IdP om autorisatie aan de gebruiker te verlenen. Aangezien beide systemen dezelfde taal delen, hoeft de gebruiker zich maar één keer aan te melden.
Een SAML-assertion is een XML-document dat de identiteitsprovider naar de SP stuurt met daarin de autorisatiestatus van de gebruiker. De drie verschillende typen SAML-assertions zijn authenticatie-, attribuut- en autorisatiebeslissingen.
SAML wordt voornamelijk gebruikt om eenmalige aanmelding (SSO) te activeren in de webbrowser. Het doel van SSO is ervoor zorgen dat een gebruiker maar één keer hoeft te worden geverifieerd om toegang te krijgen tot afzonderlijk beveiligde systemen zonder dat hij steeds opnieuw aanmeldingsgegevens moet invoeren. Het beveiligingsdoel is ervoor zorgen dat bij elke beveiligingsperimeter wordt voldaan aan de authenticatievereisten.
De gebruikerservaring is uitermate belangrijk voor elke applicatie en moet direct vanaf het eerste moment goed werken voor de gebruiker. De eerste activiteit is meestal het aanmeldingsproces. Als dit omslachtig of niet intuïtief is, kan dit nadelig zijn voor de algehele gebruikservaring van de applicatie. Oracle Identity Cloud Service (IDCS) beheert gebruikerstoegang en -rechten voor een breed scala aan cloud- en on-premises applicaties en services met behulp van een cloud-native IDaaS-platform (IDentity as a Service) dat fungeert als ingang voor Oracle Cloud voor externe identiteiten. Hiermee kunnen organisaties een zero-trust strategie implementeren en gebruikersidentiteitsbeheer instellen als een nieuwe beveiligingsperimeter.