Blog Datensicherheit

Was ist SAML und wie funktioniert sie?

Security Assertion Markup Language (SAML) ist ein offener Standard, mit dem Identitätsprovider (IdP) Autorisierungsdaten an Dienstanbieter (SP) übergeben können. Dieser Fachbegriff bedeutet, dass Sie einen Satz von Anmeldeinformationen verwenden können,...
Michael Buckbee
3 minute gelesen
Letzte aktualisierung 27. Juni 2023

Contents

    Security Assertion Markup Language (SAML) ist ein offener Standard, mit dem Identitätsprovider (IdP) Autorisierungsdaten an Dienstanbieter (SP) übergeben können. Dieser Fachbegriff bedeutet, dass Sie einen Satz von Anmeldeinformationen verwenden können, um sich bei vielen verschiedenen Websites anzumelden. Es ist viel einfacher, eine Anmeldung pro Benutzer zu verwalten, als separate Anmeldungen für E-Mail, Customer Relationship Management- (CRM) Software, das Active Directory usw.

    Entdecken Sie Ihre Schwachstellen und stärken Sie Ihre Resilienz: Führen Sie einen kostenlosen Ransomware-Bereitschaftstest durch

    SAML-Transaktionen verwenden Extensible Markup Language (XML) für die standardisierte Kommunikation zwischen dem Identitätsprovider und den Dienstanbietern. SAML ist das Bindeglied zwischen der Authentifizierung der Identität eines Benutzers und der Berechtigung zur Nutzung eines Dienstes.

    Das OASIS Consortium hat im Jahr 2005 die Version SAML 2.0 freigegeben. Dabei gab es einige signifikante Veränderungen gegenüber Version 1.1, weshalb die Versionen nicht kompatibel sind. Durch die Einführung von SAML können IT-Anbieter Software als einen Dienst (SaaS) nutzen und gleichzeitig ein sicheres, miteinander verknüpftes Identitätsmanagementsystem betreiben.

    Mit SAML wird Single-Sign On (SSO) möglich, was bedeutet, dass sich Benutzer einmalig anmelden und ihre dabei genutzten Anmeldeinformationen für die Anmeldung bei anderen Dienstanbietern wiederverwendet werden.

    Wofür wird SAML verwendet?

    SAML vereinfacht verknüpfte Authentifizierungs- und Autorisierungsprozesse für Benutzer, Identitätsprovider und Dienstanbieter. SAML bietet eine Lösung, mit der Ihr Identitätsprovider und Ihre Dienstanbieter getrennt voneinander geführt werden können, was die Benutzerverwaltung zentralisiert und den Zugriff auf SaaS-Lösungen ermöglicht.

    SAML implementiert ein sicheres Verfahren zur Weitergabe von Benutzerauthentifizierungen und -berechtigungen zwischen dem Identitätsprovider und den Dienstanbietern. Wenn sich ein Benutzer bei einer SAML-fähigen Anwendung anmeldet, fordert der Dienstanbieter eine Autorisierung vom entsprechenden Identitätsprovider an. Der Identitätsprovider authentifiziert die Anmeldeinformationen des Benutzers und gibt dann die Berechtigung für den Benutzer an den Dienstanbieter zurück. Der Benutzer kann nun die Anwendung verwenden.

    Die SAML-Authentifizierung ist der Prozess, bei dem die Identität und die Anmeldeinformationen des Benutzers (Passwort, Zwei-Faktor-Authentifizierung usw.) überprüft werden. Die SAML-Autorisierung teilt dem Dienstanbieter mit, welchen Zugriff er dem authentifizierten Benutzer gewähren soll.

    Was ist ein SAML-Provider?

    Two Types of SAML providers
    Ein SAML-Provider ist ein System, das einem Benutzer hilft, auf einen benötigten Dienst zuzugreifen. Es gibt zwei Haupttypen von SAML-Providern: Dienstanbieter und Identitätsprovider.

    Ein Dienstanbieter benötigt die Authentifizierung durch den Identitätsprovider, um dem Benutzer eine Berechtigung zu erteilen.

    Ein Identitätsprovider überprüft bei der Authentifizierung, ob der Endbenutzer derjenige ist, für den er sich ausgibt, und sendet diese Daten zusammen mit den Zugriffsrechten des Benutzers für den Dienst an den Dienstanbieter.

    Microsoft Active Directory oder Azure sind übliche Identitätsprovider. Salesforce und andere CRM-Lösungen sind in der Regel Dienstanbieter, da sie für die Benutzerauthentifizierung auf einen Identitätsprovider angewiesen sind.

    Was ist die SAML Assertion?

    Eine SAML Assertion ist das XML-Dokument, das der Identitätsprovider an den Dienstanbieter sendet, in dem die Benutzerberechtigung aufgeführt ist. Es gibt drei verschiedene Arten der SAML Assertions – Authentifizierungs-Assertion, Attributs-Assertion und Autorisierungsentscheidung.

    • Die Authentifizierungs-Assertion ist Beleg für die Identifizierung des Benutzers und gibt die Zeit an, in der sich der Benutzer angemeldet und welche Art der Authentifizierung er verwendet hat (z. B. Kerberos, 2-Faktor usw.).
    • Die Attributs-Assertion übergibt die SAML-Attribute an den Dienstanbieter – SAML-Attribute sind spezifische Daten, die Informationen über den Benutzer liefern.
    • Die Autorisierungsentscheidung gibt an, ob der Benutzer berechtigt ist, den Dienst zu nutzen, oder ob der Identitätsprovider die Anfrage aufgrund eines falschen Passworts oder fehlender Berechtigung für den Dienst abgelehnt hat.

    Wie funktioniert SAML?

    SAML vermittelt Informationen über Benutzer, Anmeldungen und Attribute zwischen dem Identitätsprovider und den Dienstanbietern. Jeder Benutzer meldet sich einmalig über Single-Sign-On beim Identitätsprovider an. Danach kann der Identitätsprovider SAML-Attribute an den Dienstanbieter übergeben, wenn der Benutzer versucht, auf diese Dienste zuzugreifen. Der Dienstanbieter fordert die Autorisierung und Authentifizierung vom Identitätsprovider an. Da beide Systeme die gleiche Sprache sprechen – SAML – muss sich der Benutzer nur einmal anmelden.

    Jeder Identitätsprovider und Dienstanbieter muss sich auf die Konfiguration für SAML einigen. Beide Parteien müssen die genau gleiche Konfiguration haben, damit die SAML-Authentifizierung funktioniert.

    What-is-saml example steps

    SAML-Beispiel

    1. Frodo (ein Benutzer) meldet sich morgen früh als erstes über SSO an.
    2. Danach versucht Frodo, die Webseite seines CRM-Systems zu öffnen.
    3. Das CRM-System – der Dienstanbieter – überprüft die Anmeldeinformationen von Frodo beim Identitätsprovider.
    4. Der Identitätsprovider sendet Autorisierungs- und Authentifizierungsnachrichten an den Dienstanbieter zurück, wodurch sich Frodo beim CRM anmelden kann.
    5. Frodo kann das CRM nutzen und seine Arbeit erledigen.
      Ich brauche acht Freiwillige für ein anspruchsvolles Projekt…

    SAML vs. OAuth

    OAuth ist ein etwas neuerer Standard, der von Google und Twitter gemeinsam entwickelt wurde, um Anmeldeprozesse im Internet zu optimieren. OAuth verwendet eine ähnliche Methodik wie SAML, um Anmeldeinformationen auszutauschen. SAML bietet Unternehmen mehr Kontrolle für den Schutz ihrer SSO-Logins, während OAuth beser für den Einsatz auf Handys geeignet ist und JSON verwendet.

    Facebook und Google sind zwei OAuth-Anbieter, mit denen Sie sich bei anderen Internetseiten anmelden können.

    SAML-Tutorials

    Einige Ressourcen, die Ihnen bei Ihren Recherchen zur Implementierung von SAML nützlich sein können:

    SAML und SSO sind wichtig für jede Cybersicherheitsstrategie in Unternehmen. Bewährte Verfahren für das Identitätsmanagement sehen vor, dass Benutzerkonten sowohl auf die Ressourcen beschränkt werden, die der Benutzer für seine Arbeit benötigt, als auch zentral überprüft und verwaltet werden. Mit einer SSO-Lösung können Sie Konten aus einem System deaktivieren und den Zugriff auf alle verfügbaren Ressourcen auf einmal unterbinden, was Ihre Daten vor Diebstahl schützt.

    Varonis schützt Ihre zentralen Active Directory-Dienste, was wiederum zum Schutz Ihrer SSO- und SAML-Systeme beiträgt. Varonis fängt Angriffe auf Ihr AD-System ab, lang bevor sie auf SSO-Ressourcen zugreifen können. Sichern Sie sich eine 1:1-Demo, um zu sehen, wie Varonis Ihr Active Directory und Ihre wichtigsten Datenspeicher vor Cyber-Angriffen und Insider-Risiken schützt.

     

    What should I do now?

    Below are three ways you can continue your journey to reduce data risk at your company:

    1

    Schedule a demo with us to see Varonis in action. We'll personalize the session to your org's data security needs and answer any questions.

    2

    See a sample of our Data Risk Assessment and learn the risks that could be lingering in your environment. Varonis' DRA is completely free and offers a clear path to automated remediation.

    3

    Follow us on LinkedIn, YouTube, and X (Twitter) for bite-sized insights on all things data security, including DSPM, threat detection, AI security, and more.

    Michael Buckbee
    Michael Buckbee Michael hat als Systemadministrator und Softwareentwickler für Startups im Silicon Valley, die US Navy und alles dazwischen gearbeitet.

    Testen Sie Varonis gratis.

    Detaillierte Zusammenfassung Ihrer Datensicherheitsrisiken
    Umsetzbare Empfehlungen, die auf Ihre Bedürfnisse zugeschnitten sind
    Ohne Bedingungen und Auflagen
    Erste Schritte Vorschau des Beispielreports

    Weiter lesen

    Varonis bewältigt Hunderte von Anwendungsfällen und ist damit die ultimative Plattform, um Datenschutzverletzungen zu stoppen und Compliance sicherzustellen.

    was-ist-ein-dcom-(distributed-component-object-model)?
    Was ist ein DCOM (Distributed Component Object Model)?
    was-ist-ein-dcom-(distributed-component-object-model)?
    Michael Buckbee
    12. Oktober 2018
    DCOM (Distributed Component Object Model ) ist eine von Microsoft entwickelte Softwarekomponente, mit der COM-Objekte über das Netzwerk miteinander kommunizieren können. Mit diesem Programmierungsmodell, kann ein Computer Programme über das...
    was-ist-ein-smb-port-und-erklärung-der-ports-445-und-139
    Was ist ein SMB-Port und Erklärung der Ports 445 und 139
    was-ist-ein-smb-port-und-erklärung-der-ports-445-und-139
    Michael Buckbee
    21. Februar 2019
    Mithilfe des SMB-Protokolls, das der „Prozesskommunikation“ dient, können Anwendungen und Dienste auf über ein Netzwerk verbundenen Computern untereinander kommunizieren – man könnte also auch sagen, dass SMB eine der Sprachen...
    ultimativer-ransomware-leitfaden:-arten-und-definitionen-von-ransomware-angriffen
    Ultimativer Ransomware-Leitfaden: Arten und Definitionen von Ransomware-Angriffen
    ultimativer-ransomware-leitfaden:-arten-und-definitionen-von-ransomware-angriffen
    David Harrington
    31. August 2021
    Ransomware-Angriffe können zu einem erheblichen Verlust von Daten, Systemfunktionen und finanziellen Ressourcen führen. Aber was genau ist Ransomware? Ransomware kann eine Vielzahl von Formen annehmen. Außerdem entwickeln sich Angreifer ständig...
    was-ist-terraform:-alles,-was-sie-wissen-müssen
    Was ist Terraform: Alles, was Sie wissen müssen
    was-ist-terraform:-alles,-was-sie-wissen-müssen
    David Harrington
    15. Juni 2022
    Terraform ist eine IaC-Lösung (Infrastructure-as-Code), mit der DevOps-Teams Multi-Cloud-Bereitstellungen verwalten können. Erfahren Sie, was Terraform ist, welche Vorteile IaC bietet und wie Sie loslegen können.