Was ist SAML und wie funktioniert sie?

Security Assertion Markup Language (SAML) ist ein offener Standard, mit dem Identitätsprovider (IdP) Autorisierungsdaten an Dienstanbieter (SP) übergeben können. Dieser Fachbegriff bedeutet, dass Sie einen Satz von Anmeldeinformationen verwenden können,...
Michael Buckbee
3 minute gelesen
Letzte aktualisierung 27. Juni 2023

Security Assertion Markup Language (SAML) ist ein offener Standard, mit dem Identitätsprovider (IdP) Autorisierungsdaten an Dienstanbieter (SP) übergeben können. Dieser Fachbegriff bedeutet, dass Sie einen Satz von Anmeldeinformationen verwenden können, um sich bei vielen verschiedenen Websites anzumelden. Es ist viel einfacher, eine Anmeldung pro Benutzer zu verwalten, als separate Anmeldungen für E-Mail, Customer Relationship Management- (CRM) Software, das Active Directory usw.

Entdecken Sie Ihre Schwachstellen und stärken Sie Ihre Resilienz: Führen Sie einen kostenlosen Ransomware-Bereitschaftstest durch

SAML-Transaktionen verwenden Extensible Markup Language (XML) für die standardisierte Kommunikation zwischen dem Identitätsprovider und den Dienstanbietern. SAML ist das Bindeglied zwischen der Authentifizierung der Identität eines Benutzers und der Berechtigung zur Nutzung eines Dienstes.

Das OASIS Consortium hat im Jahr 2005 die Version SAML 2.0 freigegeben. Dabei gab es einige signifikante Veränderungen gegenüber Version 1.1, weshalb die Versionen nicht kompatibel sind. Durch die Einführung von SAML können IT-Anbieter Software als einen Dienst (SaaS) nutzen und gleichzeitig ein sicheres, miteinander verknüpftes Identitätsmanagementsystem betreiben.

Mit SAML wird Single-Sign On (SSO) möglich, was bedeutet, dass sich Benutzer einmalig anmelden und ihre dabei genutzten Anmeldeinformationen für die Anmeldung bei anderen Dienstanbietern wiederverwendet werden.

Wofür wird SAML verwendet?

SAML vereinfacht verknüpfte Authentifizierungs- und Autorisierungsprozesse für Benutzer, Identitätsprovider und Dienstanbieter. SAML bietet eine Lösung, mit der Ihr Identitätsprovider und Ihre Dienstanbieter getrennt voneinander geführt werden können, was die Benutzerverwaltung zentralisiert und den Zugriff auf SaaS-Lösungen ermöglicht.

SAML implementiert ein sicheres Verfahren zur Weitergabe von Benutzerauthentifizierungen und -berechtigungen zwischen dem Identitätsprovider und den Dienstanbietern. Wenn sich ein Benutzer bei einer SAML-fähigen Anwendung anmeldet, fordert der Dienstanbieter eine Autorisierung vom entsprechenden Identitätsprovider an. Der Identitätsprovider authentifiziert die Anmeldeinformationen des Benutzers und gibt dann die Berechtigung für den Benutzer an den Dienstanbieter zurück. Der Benutzer kann nun die Anwendung verwenden.

Die SAML-Authentifizierung ist der Prozess, bei dem die Identität und die Anmeldeinformationen des Benutzers (Passwort, Zwei-Faktor-Authentifizierung usw.) überprüft werden. Die SAML-Autorisierung teilt dem Dienstanbieter mit, welchen Zugriff er dem authentifizierten Benutzer gewähren soll.

Was ist ein SAML-Provider?

Two Types of SAML providers
Ein SAML-Provider ist ein System, das einem Benutzer hilft, auf einen benötigten Dienst zuzugreifen. Es gibt zwei Haupttypen von SAML-Providern: Dienstanbieter und Identitätsprovider.

Ein Dienstanbieter benötigt die Authentifizierung durch den Identitätsprovider, um dem Benutzer eine Berechtigung zu erteilen.

Ein Identitätsprovider überprüft bei der Authentifizierung, ob der Endbenutzer derjenige ist, für den er sich ausgibt, und sendet diese Daten zusammen mit den Zugriffsrechten des Benutzers für den Dienst an den Dienstanbieter.

Microsoft Active Directory oder Azure sind übliche Identitätsprovider. Salesforce und andere CRM-Lösungen sind in der Regel Dienstanbieter, da sie für die Benutzerauthentifizierung auf einen Identitätsprovider angewiesen sind.

Was ist die SAML Assertion?

Eine SAML Assertion ist das XML-Dokument, das der Identitätsprovider an den Dienstanbieter sendet, in dem die Benutzerberechtigung aufgeführt ist. Es gibt drei verschiedene Arten der SAML Assertions – Authentifizierungs-Assertion, Attributs-Assertion und Autorisierungsentscheidung.

  • Die Authentifizierungs-Assertion ist Beleg für die Identifizierung des Benutzers und gibt die Zeit an, in der sich der Benutzer angemeldet und welche Art der Authentifizierung er verwendet hat (z. B. Kerberos, 2-Faktor usw.).
  • Die Attributs-Assertion übergibt die SAML-Attribute an den Dienstanbieter – SAML-Attribute sind spezifische Daten, die Informationen über den Benutzer liefern.
  • Die Autorisierungsentscheidung gibt an, ob der Benutzer berechtigt ist, den Dienst zu nutzen, oder ob der Identitätsprovider die Anfrage aufgrund eines falschen Passworts oder fehlender Berechtigung für den Dienst abgelehnt hat.

Wie funktioniert SAML?

SAML vermittelt Informationen über Benutzer, Anmeldungen und Attribute zwischen dem Identitätsprovider und den Dienstanbietern. Jeder Benutzer meldet sich einmalig über Single-Sign-On beim Identitätsprovider an. Danach kann der Identitätsprovider SAML-Attribute an den Dienstanbieter übergeben, wenn der Benutzer versucht, auf diese Dienste zuzugreifen. Der Dienstanbieter fordert die Autorisierung und Authentifizierung vom Identitätsprovider an. Da beide Systeme die gleiche Sprache sprechen – SAML – muss sich der Benutzer nur einmal anmelden.

Jeder Identitätsprovider und Dienstanbieter muss sich auf die Konfiguration für SAML einigen. Beide Parteien müssen die genau gleiche Konfiguration haben, damit die SAML-Authentifizierung funktioniert.

What-is-saml example steps

SAML-Beispiel

  1. Frodo (ein Benutzer) meldet sich morgen früh als erstes über SSO an.
  2. Danach versucht Frodo, die Webseite seines CRM-Systems zu öffnen.
  3. Das CRM-System – der Dienstanbieter – überprüft die Anmeldeinformationen von Frodo beim Identitätsprovider.
  4. Der Identitätsprovider sendet Autorisierungs- und Authentifizierungsnachrichten an den Dienstanbieter zurück, wodurch sich Frodo beim CRM anmelden kann.
  5. Frodo kann das CRM nutzen und seine Arbeit erledigen.
    Ich brauche acht Freiwillige für ein anspruchsvolles Projekt…

SAML vs. OAuth

OAuth ist ein etwas neuerer Standard, der von Google und Twitter gemeinsam entwickelt wurde, um Anmeldeprozesse im Internet zu optimieren. OAuth verwendet eine ähnliche Methodik wie SAML, um Anmeldeinformationen auszutauschen. SAML bietet Unternehmen mehr Kontrolle für den Schutz ihrer SSO-Logins, während OAuth beser für den Einsatz auf Handys geeignet ist und JSON verwendet.

Facebook und Google sind zwei OAuth-Anbieter, mit denen Sie sich bei anderen Internetseiten anmelden können.

SAML-Tutorials

Einige Ressourcen, die Ihnen bei Ihren Recherchen zur Implementierung von SAML nützlich sein können:

SAML und SSO sind wichtig für jede Cybersicherheitsstrategie in Unternehmen. Bewährte Verfahren für das Identitätsmanagement sehen vor, dass Benutzerkonten sowohl auf die Ressourcen beschränkt werden, die der Benutzer für seine Arbeit benötigt, als auch zentral überprüft und verwaltet werden. Mit einer SSO-Lösung können Sie Konten aus einem System deaktivieren und den Zugriff auf alle verfügbaren Ressourcen auf einmal unterbinden, was Ihre Daten vor Diebstahl schützt.

Varonis schützt Ihre zentralen Active Directory-Dienste, was wiederum zum Schutz Ihrer SSO- und SAML-Systeme beiträgt. Varonis fängt Angriffe auf Ihr AD-System ab, lang bevor sie auf SSO-Ressourcen zugreifen können. Sichern Sie sich eine 1:1-Demo, um zu sehen, wie Varonis Ihr Active Directory und Ihre wichtigsten Datenspeicher vor Cyber-Angriffen und Insider-Risiken schützt.

 

Wie soll ich vorgehen?

Im Folgenden finden Sie drei Möglichkeiten, wie Sie das Datenrisiko in Ihrem Unternehmen verringern können:

1

Vereinbaren Sie eine Demo mit uns, um Varonis in Aktion zu erleben. Wir passen die Session an die Datensicherheitsanforderungen Ihres Unternehmens an und beantworten alle Fragen.

2

Sehen Sie sich ein Beispiel unserer Datenrisikobewertung an und erfahren Sie, welche Risiken in Ihrer Umgebung lauern könnten. Varonis DRA ist völlig kostenlos und bietet einen klaren Weg zur automatischen Sanierung.

3

Folgen Sie uns auf LinkedIn, YouTubeund X (Twitter), um kurze Einblicke in alle Themen der Datensicherheit zu erhalten, einschließlich Data Security Posture Management (DSPM), Bedrohungserkennung, KI-Sicherheit und mehr.

Testen Sie Varonis gratis.

Detaillierte Zusammenfassung Ihrer Datensicherheitsrisiken
Umsetzbare Empfehlungen, die auf Ihre Bedürfnisse zugeschnitten sind
Ohne Bedingungen und Auflagen

Weiter lesen

Varonis bewältigt Hunderte von Anwendungsfällen und ist damit die ultimative Plattform, um Datenschutzverletzungen zu stoppen und Compliance sicherzustellen.

was-ist-terraform:-alles,-was-sie-wissen-müssen
Was ist Terraform: Alles, was Sie wissen müssen
Terraform ist eine IaC-Lösung (Infrastructure-as-Code), mit der DevOps-Teams Multi-Cloud-Bereitstellungen verwalten können. Erfahren Sie, was Terraform ist, welche Vorteile IaC bietet und wie Sie loslegen können.
was-ist-ein-smb-port-und-erklärung-der-ports-445-und-139
Was ist ein SMB-Port und Erklärung der Ports 445 und 139
Mithilfe des SMB-Protokolls, das der „Prozesskommunikation“ dient, können Anwendungen und Dienste auf über ein Netzwerk verbundenen Computern untereinander kommunizieren – man könnte also auch sagen, dass SMB eine der Sprachen...
undichte-server-in-neuseeland-zeigen-notwendigkeit-für-management-und-schutz-von-informationen
Undichte Server in Neuseeland zeigen Notwendigkeit für Management und Schutz von Informationen
von Rob Sobers Wie ein Permissions Report das Loch der undichten neuseeländischen Server hätte stopfen können Anfang dieser Woche bloggte Keith Ng über massive Sicherheitslücken im Netzwerk des Ministeriums für Soziale Entwicklung...
so-bereiten-sie-sich-auf-einen-salesforce-berechtigungsaudit-vor
So bereiten Sie sich auf einen Salesforce-Berechtigungsaudit vor
In diesem Beitrag werde ich Ihnen erklären, was ein Salesforce-Audit ist, wie Berechtigungen funktionieren, und gebe Tipps, wie Sie sich vorbereiten können.