Bezpłatna chmura Oracle Cloud Free Tier

Twórz, testuj i wdrażaj aplikacje, stosując przetwarzanie języka naturalnego — bezpłatnie.

Czym jest Security Assertion Markup Language (SAML)?

Omówienie SAML

Security Assertion Markup Language (SAML) to otwarty standard federacyjny, który pozwala dostawcy tożsamości (IdP) uwierzytelnić użytkowników, a następnie przekazać token uwierzytelnienia do innej aplikacji znanej jako dostawca usług (SP). SAML umożliwia dostawcy usług działanie bez konieczności przeprowadzania własnego uwierzytelniania i przekazywania tożsamości w celu zintegrowania użytkowników wewnętrznych i zewnętrznych. Pozwala na współdzielenie poświadczeń bezpieczeństwa z dostawcą usług w sieci, zazwyczaj w aplikacji lub usłudze. SAML umożliwia bezpieczną, międzydomenową komunikację pomiędzy chmurą publiczną a innymi systemami obsługującymi SAML, a także wybraną liczbą innych systemów zarządzania tożsamością znajdujących się w siedzibie firmy lub w innej chmurze. Dzięki SAML możesz umożliwić użytkownikom jednokrotne logowanie (SSO) w dwóch dowolnych aplikacjach, które obsługują protokół i usługi SAML, co pozwoli SSO na wykonywanie szeregu funkcji zabezpieczających w imieniu jednej lub wielu aplikacji.

SAML odnosi się do wariantu języka XML używanego do kodowania tych informacji i może również obejmować różne komunikaty protokołu i profile, które stanowią część standardu.

Dwie podstawowe funkcje zabezpieczające SAML

  • Uwierzytelnianie: sprawdzanie, czy użytkownicy są tym, za kogo się podają
  • Autoryzacja: przekazywanie aplikacjom autoryzacji użytkownika w celu zapewnienia dostępu do określonych systemów lub treści

Dowiedz się, jak Oracle wykorzystuje SAML do zwiększenia poziomu bezpieczeństwa za jednym kliknięciem.


Dowiedz się, jak wykorzystać SAML w środowiskach lokalnych i chmurowych.

Jak działa SAML?

SAML działa poprzez przekazywanie informacji o użytkownikach, logowaniach i atrybutach pomiędzy dostawcą tożsamości a dostawcą usług. Każdy użytkownik uwierzytelnia się raz u dostawcy tożsamości, a następnie może bezproblemowo rozszerzyć swoją sesję uwierzytelniania na wiele aplikacji. Dostawca tożsamości przekazuje tzw. asercję SAML do dostawcy tożsamości, gdy użytkownik próbuje uzyskać dostęp do tych usług. Dostawca usług żąda autoryzacji i uwierzytelnienia.

Przykład SAML:

  1. Zaloguj się i uzyskaj dostęp do uwierzytelniania SSO.
  2. Wyeksportuj metadane od swojego dostawcy tożsamości i zaimportuj je.
  3. System tożsamości uzyska więcej informacji o dostawcy tożsamości SSO w celu wyeksportowania metadanych z systemu tożsamości.
  4. Przekaż metadane swojemu zespołowi dostawcy tożsamości SSO.
  5. Przetestuj i włącz SSO.
  6. Zaleca się, aby użytkownicy logowali się tylko za pomocą swoich poświadczeń SSO.

Kto to jest dostawca SAML?

Dostawca SAML to system, który pomaga użytkownikom w uzyskaniu dostępu do potrzebnej usługi. SAML przekazuje dane o tożsamości pomiędzy dwoma stronami, dostawcą tożsamości i dostawcą usług. Istnieją dwa główne typy dostawców SAML:

Dostawca tożsamości (IdP) — dokonuje uwierzytelnienia i przekazuje tożsamość użytkownika oraz poziom autoryzacji do dostawcy usług (SP). Dostawca tożsamości uwierzytelnił użytkownika, a dostawca usług zezwala na dostęp na podstawie udzielonej przez niego odpowiedzi.

Dostawca usług (SP) — ufa dostawcy tożsamości i autoryzuje danego użytkownika, umożliwiając mu dostęp do żądanego zasobu. Dostawca usług wymaga uwierzytelnienia przez dostawcę tożsamości w celu autoryzacji użytkownika, a ponieważ oba systemy posługują się tym samym językiem, użytkownik musi zalogować się tylko raz.

Co to jest asercja SAML?

Asercja SAML to dokument XML, który dostawca tożsamości wysyła do dostawcy usług; zawiera on status autoryzacji użytkownika. Istnieją trzy różne typy asercji SAML — są to decyzje dotyczące uwierzytelnienia, atrybutów i autoryzacji.

  • Asercje uwierzytelnienia pomagają zweryfikować identyfikację użytkownika i podają czas, w którym się on loguje, oraz metodę uwierzytelnienia, która została użyta (np. hasło, MFA, Kerbeos, itd.).
  • Przydzielona asercja przekazuje token SAML do dostawcy usług. Zakłada się, że atrybut używany przez SAML do identyfikacji użytkownika jest taki sam zarówno w katalogu dostawcy tożsamości, jak i dostawcy usług. Atrybuty SAML są specyficznymi częściami danych, które dostarczają informacji o użytkowniku
  • Asercja decyzji o autoryzacji stwierdza, czy użytkownik jest uprawniony do korzystania z usługi lub czy dostawca tożsamości odrzucił żądanie z powodu błędu hasła lub braku uprawnień do usługi

Przypadki użycia SAML i OAuth

SAML służy przede wszystkim do włączania jednokrotnego logowania (SSO) w przeglądarce internetowej. Celem SSO w zakresie środowiska użytkownika jest umożliwienie użytkownikowi jednokrotnego uwierzytelnienia się i uzyskania dostępu do oddzielnie zabezpieczonych systemów bez ponownego podawania poświadczeń. Celem w zakresie bezpieczeństwa jest zapewnienie, że wymagania dotyczące uwierzytelniania zostały spełnione na każdym obwodzie zabezpieczeń.

  • Zarządzaj tożsamościami w chmurze i lokalnie. Zapewnij ujednolicone podejście do zarządzania tożsamością i dostępem dzięki opartym na chmurze przepływom zadań, uproszczonemu tworzeniu kont użytkowników i możliwości samodzielnej obsługi przez użytkowników. Integracja na bazie otwartych standardów redukuje koszty ogólne i konserwacyjne, zapewniając uproszczone tworzenie kont użytkowników i zarządzanie nimi — w chmurze i lokalnie.
  • Usprawniaj realizację zadań związanych z tożsamością. Redukuje potrzebę wprowadzania powtarzających się zmian dotyczących użytkowników, ról i grup w wielu środowiskach. Dzięki temu powstaje tzw. pomost tożsamości, który synchronizuje uprawnienia tożsamości pomiędzy usługami lokalnymi i chmurowymi.
  • Strategia zerowego zaufania. Egzekwuj zasady dostępu, korzystając z opartej na chmurze usługi jednokrotnego logowania (SSO), wymuszania silnych haseł i uwierzytelniania wieloskładnikowego (MFA). Dzięki adaptacyjnemu uwierzytelnianiu ryzyko jest redukowane poprzez zwiększenie wymagań dotyczących logowania, gdy dostęp użytkownika jest uważany za wysoce ryzykowny na podstawie urządzenia, lokalizacji lub aktywności.
  • Zarządzaj dostępem cyfrowym konsumentów. Wzbogać proces uzyskiwania dostępu przez konsumentów o samoobsługowe interfejsy i ekrany logowania dostosowane do Twojej marki. Elastyczny dostęp pomaga zintegrować usługi innych firm i niestandardowe aplikacje za pomocą interfejsów API REST i procesie opartym na standardach

Optymalizacja środowiska logowania użytkowników

Środowisko użytkownika jest niezwykle ważne w przypadku każdej aplikacji i musi być intuicyjne już od momentu pierwszej interakcji. Pierwszą czynnością jest na ogół logowanie. Jeśli ta operacja jest uciążliwa lub nieintuicyjna, może negatywnie wpłynąć na ogólny komfort korzystania z aplikacji. Oracle Identity Cloud Service (IDCS) zarządza dostępem i uprawnieniami użytkowników w szerokiej gamie aplikacji i usług chmurowych i lokalnych, wykorzystując natywną platformę chmurową IDaaS (identity as a service), która pełni rolę drzwi wejściowych do systemu Oracle Cloud dla zewnętrznych tożsamości. Dzięki temu organizacje mogą wprowadzić strategię zerowego zaufania i wykorzystać proces zarządzania tożsamością użytkownika jako nowy obwód zabezpieczeń.

Dowiedz się więcej o Oracle Identity Cloud Service.