SAML 的定義
SAML 是一種基礎技術,人員只需使用一組認證登入一次,就可以存取多個應用程式。Microsoft Entra ID 等識別提供者會在使用者登入時對他們進行驗證,然後使用 SAML,將該驗證資料傳遞給經營使用者想要存取的網站、服務或應用程式的服務提供者。
SAML 的用途是什麼?
SAML 可協助強化企業的安全性,並簡化員工、合作夥伴和客戶的登入程序。組織使用它來啟用 單一登入, 可讓人員使用一個使用者名稱和密碼來存取多個網站、服務和應用程式。減少人員必須記住的密碼數量不僅對人員來說較為輕鬆,同時也能降低其中一個密碼遭竊的風險。組織也可以針對 驗證 在其啟用 SAML 的應用程式之間設定安全性標準。例如,他們可能需要 多重要素驗證 ,使用者才能存取內部部署網路和應用程式,例如 Salesforce、Concur 和 Adobe。
SAML 可協助組織處理下列使用 案例:
整合身分識別和存取權管理:
IT 小組可以在單一系統中管理驗證和授權,藉此大幅減少在使用者佈建和身分識別權利方面所花費的時間。
實現零信任:
零信任安全性原則 要求組織必須驗證所有要求,並將對敏感性資訊的存取權限定於僅限需要該資訊的人員。技術小組可以使用 SAML 來對其所有應用程式設定原則,例如多重要素驗證和條件式存取。也可以啟用更嚴格的安全性措施,例如在使用者風險根據其行為、裝置或位置提高時,強制執行密碼重設。
讓員工體驗更加豐富:
除了簡化工作者的存取,IT 小組也可以將登入頁面品牌化,以在應用程式之間建立一致的體驗。員工也可以透過能讓他們輕鬆重設其密碼的自助式體驗節省時間。
什麼是 SAML 提供者?
SAML 提供者是與其他提供者共用身分識別驗證和授權資料的系統。有以下兩種類型的 SAML 提供者:
- 識別提供者 負責驗證和授權使用者。他們提供讓使用者輸入其認證的登入頁面。他們也會強制執行安全性原則,例如要求進行多重要素驗證或密碼重設。使用者獲得授權後,識別提供者就會將該資料傳遞給服務提供者。
- 服務提供者 是人員想要存取的應用程式和網站。服務提供者會將其解決方案設定為信任 SAML 授權並仰賴識別提供者驗證身分識別和授權存取權,而不要求人員個別登入其應用程式。
SAML 驗證如何運作?
在 SAML 驗證中,服務提供者和識別提供者會共用登入和使用者資料,以確認要求存取權的每個人員均已通過驗證。通常會按照下列步驟進行:
- 員工使用識別提供者所提供的登入頁面進行登入,以開始工作。
- 識別提供者確認驗證詳細資料的組合 (例如使用者名稱、密碼、PIN、裝置或生物特徵辨識資料),以驗證員工的真實身分。
- 員工啟動服務提供者應用程式,例如 Microsoft Word 或 Workday。
- 服務提供者會與識別提供者溝通,以確認員工已獲得授權,可存取該應用程式。
- 識別提供者傳回授權和驗證。
- 員工存取應用程式,而不需要登入第二次。
什麼是 SAML 聲明?
SAML 聲明是包含資料的 XML 文件,旨在向服務提供者確認正在登入的人員已通過驗證。
有以下三種類型的聲明:
- 驗證聲明 識別使用者並包含人員的登入時間以及使用的驗證類型,例如密碼或多重要素驗證。
- 屬性聲明 會將 SAML 權杖傳遞給提供者。此聲明包含有關使用者的特定資料。
- 授權決定聲明 會向服務提供者告知使用者是否已通過驗證,或因其認證相關問題或因不具備該服務的權限而遭到拒絕。
SAML 與OAuth
SAML 和 OAuth 皆可讓人員更輕鬆地存取多個服務,而不需要個別登入各個服務,但這兩個通訊協定使用不同的技術和程序。SAML 利用 XML 讓人員能夠使用相同的認證存取多個服務,而 OAuth 則是使用 JWT 或 JavaScript 物件標記法傳遞授權資料。
在 OAuth 中,人員選擇使用其 Google 或 Facebook 帳戶等第三方授權來登入服務,而不需要為該服務建立新的使用者名稱或密碼。可通過授權,同時 保護使用者的密碼。
SAML 在企業中的角色
SAML 可協助企業在其混合式工作場所中實現生產力和安全性。隨著越來越多人採用遠端工作模式,讓他們能夠隨時隨地輕鬆存取公司資源變得至關重要,但如果沒有適當的安全性控制措施,輕鬆存取會提高資料外洩的風險。透過 SAML,組織可以簡化員工的登入程序,同時在其員工使用的應用程式之間強制執行強大的原則,例如多重要素驗證和條件式存取。
若要開始使用,組織應投資 Microsoft Entra ID 等識別提供者解決方案。Microsoft Entra ID 使用內建安全性來保護使用者和資料,並將身分識別管理整合為單一解決方案。自助式和單一登入能讓員工輕鬆便利地持續發揮生產力。此外,Microsoft Entra ID 隨附預先建立 SAML 與數千個應用程式的整合,例如 Zoom、DocuSign、SAP Concur、Workday 和 Amazon Web Services (AWS)。
深入了解 Microsoft 安全性
常見問題集
-
SAML 包含下列構成要素:
- 識別服務提供者 負責驗證和授權使用者。他們提供讓人員輸入其認證的登入頁面並強制執行安全性原則,例如要求進行多重要素驗證或密碼重設。使用者獲得授權後,識別提供者就會將該資料傳遞給服務提供者。
- 服務提供者 是人員想要存取的應用程式和網站。服務提供者會將其解決方案設定為信任 SAML 授權並仰賴識別提供者驗證身分識別和授權存取權,而不要求人員個別登入其應用程式。
- 中繼資料 說明識別提供者和服務提供者將如何交換聲明,包括端點和技術。
- 聲明 是向服務提供者確認正在登入的人員已通過驗證的驗證資料。
- 登入認證 會確認聲明在往返兩個提供者之間時並未遭到操縱,以在識別提供者與服務提供者之間建立信任。
- 系統時鐘 會確認服務提供者與識別提供者的時間相同,以防範重新執行攻擊。
- 識別服務提供者 負責驗證和授權使用者。他們提供讓人員輸入其認證的登入頁面並強制執行安全性原則,例如要求進行多重要素驗證或密碼重設。使用者獲得授權後,識別提供者就會將該資料傳遞給服務提供者。
-
SAML 可為組織、其員工和合作夥伴提供下列優勢:
- 增強的使用者體驗。 SAML 能讓組織建立單一登入體驗,如此一來,員工和合作夥伴只需登入一次,就可以存取他們所有的應用程式。這讓工作變得更簡單便利,因為需要記住的密碼變少了,而且員工不必在每次切換工具時登入。
- 安全性。 減少密碼數量可降低帳戶遭到入侵的風險。此外,安全性小組可以使用 SAML,將強大的安全性原則套用到他們所有的應用程式。例如,他們可以要求必須進行多重要素驗證才能登入,或套用條件式存取原則,限制人員可以存取 哪些應用程式和資料。
- 統一管理。 技術小組可以使用 SAML 在單一解決方案中管理身分識別和安全性原則,而不需要針對各個應用程式使用個別的管理主控台。這可大幅簡化使用者佈建程序。
- 增強的使用者體驗。 SAML 能讓組織建立單一登入體驗,如此一來,員工和合作夥伴只需登入一次,就可以存取他們所有的應用程式。這讓工作變得更簡單便利,因為需要記住的密碼變少了,而且員工不必在每次切換工具時登入。
-
SAML 是一種開放式標準 XML 技術,能讓 Microsoft Entra ID 等識別提供者將驗證資料傳遞給軟體即服務應用程式等服務提供者。
單一登入是指人員只需登入一次,然後就可以存取多個不同網站和應用程式的情況。SAML 可實現單一登入,但您也可以透過其他技術部署單一登入。 -
輕量型目錄存取通訊協定 (LDAP) 是一種身分識別管理通訊協定,用於使用者身分識別的驗證和授權。許多服務提供者均可支援 LDAP,因此這對單一登入而言是很棒的解決方案,不過,由於它是一種較舊的技術,因此無法與 Web 應用程式搭配運作。
SAML 是一種較新的技術,適用於大多數 Web 和雲端應用程式,因此在集中式身分識別管理中是更熱門的選擇。
-
多重要素驗證是一種安全性措施,要求人員使用多項因素來證明其身分識別。一般而言,它會要求使用個人擁有的某個物品 (例如裝置),加上他們知道的某個資訊 (例如密碼或 PIN)。SAML 能讓技術小組將多重要素驗證套用到多個網站和應用程式。他們可以選擇將這種等級的驗證套用到所有與 SAML 整合的應用程式,或是也可以只針對其中一些應用程式 (而非全部) 強制執行多重要素驗證。
關注 Microsoft 安全性