Varonis debuts trailblazing features for securing Salesforce. Learn More

Wir stellen vor: Die Least Privilege Automation für Microsoft 365, Google Drive und Box

Mehr erfahren
Blog Datensicherheit

Was ist SAML und wie funktioniert sie?

Security Assertion Markup Language (SAML) ist ein offener Standard, mit dem Identitätsprovider (IdP) Autorisierungsdaten an Dienstanbieter (SP) übergeben können. Dieser Fachbegriff bedeutet, dass Sie einen Satz von Anmeldeinformationen verwenden können,...
Michael Buckbee
3 minute gelesen
Letzte aktualisierung 27. Juni 2023

Inhalt

    Security Assertion Markup Language (SAML) ist ein offener Standard, mit dem Identitätsprovider (IdP) Autorisierungsdaten an Dienstanbieter (SP) übergeben können. Dieser Fachbegriff bedeutet, dass Sie einen Satz von Anmeldeinformationen verwenden können, um sich bei vielen verschiedenen Websites anzumelden. Es ist viel einfacher, eine Anmeldung pro Benutzer zu verwalten, als separate Anmeldungen für E-Mail, Customer Relationship Management- (CRM) Software, das Active Directory usw.

    Entdecken Sie Ihre Schwachstellen und stärken Sie Ihre Resilienz: Führen Sie einen kostenlosen Ransomware-Bereitschaftstest durch

    SAML-Transaktionen verwenden Extensible Markup Language (XML) für die standardisierte Kommunikation zwischen dem Identitätsprovider und den Dienstanbietern. SAML ist das Bindeglied zwischen der Authentifizierung der Identität eines Benutzers und der Berechtigung zur Nutzung eines Dienstes.

    Das OASIS Consortium hat im Jahr 2005 die Version SAML 2.0 freigegeben. Dabei gab es einige signifikante Veränderungen gegenüber Version 1.1, weshalb die Versionen nicht kompatibel sind. Durch die Einführung von SAML können IT-Anbieter Software als einen Dienst (SaaS) nutzen und gleichzeitig ein sicheres, miteinander verknüpftes Identitätsmanagementsystem betreiben.

    Mit SAML wird Single-Sign On (SSO) möglich, was bedeutet, dass sich Benutzer einmalig anmelden und ihre dabei genutzten Anmeldeinformationen für die Anmeldung bei anderen Dienstanbietern wiederverwendet werden.

    Wofür wird SAML verwendet?

    SAML vereinfacht verknüpfte Authentifizierungs- und Autorisierungsprozesse für Benutzer, Identitätsprovider und Dienstanbieter. SAML bietet eine Lösung, mit der Ihr Identitätsprovider und Ihre Dienstanbieter getrennt voneinander geführt werden können, was die Benutzerverwaltung zentralisiert und den Zugriff auf SaaS-Lösungen ermöglicht.

    SAML implementiert ein sicheres Verfahren zur Weitergabe von Benutzerauthentifizierungen und -berechtigungen zwischen dem Identitätsprovider und den Dienstanbietern. Wenn sich ein Benutzer bei einer SAML-fähigen Anwendung anmeldet, fordert der Dienstanbieter eine Autorisierung vom entsprechenden Identitätsprovider an. Der Identitätsprovider authentifiziert die Anmeldeinformationen des Benutzers und gibt dann die Berechtigung für den Benutzer an den Dienstanbieter zurück. Der Benutzer kann nun die Anwendung verwenden.

    Die SAML-Authentifizierung ist der Prozess, bei dem die Identität und die Anmeldeinformationen des Benutzers (Passwort, Zwei-Faktor-Authentifizierung usw.) überprüft werden. Die SAML-Autorisierung teilt dem Dienstanbieter mit, welchen Zugriff er dem authentifizierten Benutzer gewähren soll.

    Was ist ein SAML-Provider?

    Two Types of SAML providers
    Ein SAML-Provider ist ein System, das einem Benutzer hilft, auf einen benötigten Dienst zuzugreifen. Es gibt zwei Haupttypen von SAML-Providern: Dienstanbieter und Identitätsprovider.

    Ein Dienstanbieter benötigt die Authentifizierung durch den Identitätsprovider, um dem Benutzer eine Berechtigung zu erteilen.

    Ein Identitätsprovider überprüft bei der Authentifizierung, ob der Endbenutzer derjenige ist, für den er sich ausgibt, und sendet diese Daten zusammen mit den Zugriffsrechten des Benutzers für den Dienst an den Dienstanbieter.

    Microsoft Active Directory oder Azure sind übliche Identitätsprovider. Salesforce und andere CRM-Lösungen sind in der Regel Dienstanbieter, da sie für die Benutzerauthentifizierung auf einen Identitätsprovider angewiesen sind.

    Was ist die SAML Assertion?

    Eine SAML Assertion ist das XML-Dokument, das der Identitätsprovider an den Dienstanbieter sendet, in dem die Benutzerberechtigung aufgeführt ist. Es gibt drei verschiedene Arten der SAML Assertions – Authentifizierungs-Assertion, Attributs-Assertion und Autorisierungsentscheidung.

    • Die Authentifizierungs-Assertion ist Beleg für die Identifizierung des Benutzers und gibt die Zeit an, in der sich der Benutzer angemeldet und welche Art der Authentifizierung er verwendet hat (z. B. Kerberos, 2-Faktor usw.).
    • Die Attributs-Assertion übergibt die SAML-Attribute an den Dienstanbieter – SAML-Attribute sind spezifische Daten, die Informationen über den Benutzer liefern.
    • Die Autorisierungsentscheidung gibt an, ob der Benutzer berechtigt ist, den Dienst zu nutzen, oder ob der Identitätsprovider die Anfrage aufgrund eines falschen Passworts oder fehlender Berechtigung für den Dienst abgelehnt hat.

    Wie funktioniert SAML?

    SAML vermittelt Informationen über Benutzer, Anmeldungen und Attribute zwischen dem Identitätsprovider und den Dienstanbietern. Jeder Benutzer meldet sich einmalig über Single-Sign-On beim Identitätsprovider an. Danach kann der Identitätsprovider SAML-Attribute an den Dienstanbieter übergeben, wenn der Benutzer versucht, auf diese Dienste zuzugreifen. Der Dienstanbieter fordert die Autorisierung und Authentifizierung vom Identitätsprovider an. Da beide Systeme die gleiche Sprache sprechen – SAML – muss sich der Benutzer nur einmal anmelden.

    Jeder Identitätsprovider und Dienstanbieter muss sich auf die Konfiguration für SAML einigen. Beide Parteien müssen die genau gleiche Konfiguration haben, damit die SAML-Authentifizierung funktioniert.

    What-is-saml example steps

    SAML-Beispiel

    1. Frodo (ein Benutzer) meldet sich morgen früh als erstes über SSO an.
    2. Danach versucht Frodo, die Webseite seines CRM-Systems zu öffnen.
    3. Das CRM-System – der Dienstanbieter – überprüft die Anmeldeinformationen von Frodo beim Identitätsprovider.
    4. Der Identitätsprovider sendet Autorisierungs- und Authentifizierungsnachrichten an den Dienstanbieter zurück, wodurch sich Frodo beim CRM anmelden kann.
    5. Frodo kann das CRM nutzen und seine Arbeit erledigen.
      Ich brauche acht Freiwillige für ein anspruchsvolles Projekt…

    SAML vs. OAuth

    OAuth ist ein etwas neuerer Standard, der von Google und Twitter gemeinsam entwickelt wurde, um Anmeldeprozesse im Internet zu optimieren. OAuth verwendet eine ähnliche Methodik wie SAML, um Anmeldeinformationen auszutauschen. SAML bietet Unternehmen mehr Kontrolle für den Schutz ihrer SSO-Logins, während OAuth beser für den Einsatz auf Handys geeignet ist und JSON verwendet.

    Facebook und Google sind zwei OAuth-Anbieter, mit denen Sie sich bei anderen Internetseiten anmelden können.

    SAML-Tutorials

    Einige Ressourcen, die Ihnen bei Ihren Recherchen zur Implementierung von SAML nützlich sein können:

    SAML und SSO sind wichtig für jede Cybersicherheitsstrategie in Unternehmen. Bewährte Verfahren für das Identitätsmanagement sehen vor, dass Benutzerkonten sowohl auf die Ressourcen beschränkt werden, die der Benutzer für seine Arbeit benötigt, als auch zentral überprüft und verwaltet werden. Mit einer SSO-Lösung können Sie Konten aus einem System deaktivieren und den Zugriff auf alle verfügbaren Ressourcen auf einmal unterbinden, was Ihre Daten vor Diebstahl schützt.

    Varonis schützt Ihre zentralen Active Directory-Dienste, was wiederum zum Schutz Ihrer SSO- und SAML-Systeme beiträgt. Varonis fängt Angriffe auf Ihr AD-System ab, lang bevor sie auf SSO-Ressourcen zugreifen können. Sichern Sie sich eine 1:1-Demo, um zu sehen, wie Varonis Ihr Active Directory und Ihre wichtigsten Datenspeicher vor Cyber-Angriffen und Insider-Risiken schützt.

     

    What you should do now

    Below are three ways we can help you begin your journey to reducing data risk at your company:

    1. Schedule a demo session with us, where we can show you around, answer your questions, and help you see if Varonis is right for you.
    2. Download our free report and learn the risks associated with SaaS data exposure.
    3. Share this blog post with someone you know who'd enjoy reading it. Share it with them via email, LinkedIn, Reddit, or Facebook.
    Michael Buckbee
    Michael Buckbee

    Michael hat als Systemadministrator und Softwareentwickler für Startups im Silicon Valley, die US Navy und alles dazwischen gearbeitet.

    Testen Sie Varonis gratis.
    Detaillierte Zusammenfassung Ihrer Datensicherheitsrisiken
    Umsetzbare Empfehlungen, die auf Ihre Bedürfnisse zugeschnitten sind
    Ohne Bedingungen und Auflagen
    Erste Schritte Vorschau des Beispielreports
    Keep reading
    hinter-dem-varonis-rebranding
    Hinter dem Varonis-Rebranding
    hinter-dem-varonis-rebranding
    Courtney Bernard
    20. Februar 2024
    Entdecken Sie die Strategie, die hinter dem Rebranding von Varonis steht – mit einem Übergang zu einem Heldenarchetyp und der Einführung von Protector 22814.
    cybersecurity-trends-2024:-was-sie-wissen-müssen
    Cybersecurity-Trends 2024: Was Sie wissen müssen
    cybersecurity-trends-2024:-was-sie-wissen-müssen
    Lexi Croisdale
    16. Januar 2024
    Erfahren Sie mehr über Datensicherheitsmanagement, KI-Sicherheitsrisiken, Änderungen bei der Compliance und mehr, um Ihre Cybersecurity-Strategie für 2024 vorzubereiten.
    das-war-2023 – so-wird-2024
    Das war 2023 – so wird 2024
    das-war-2023 – so-wird-2024
    Sebastian Mehle
    13. Dezember 2023
    Im Kielwasser der massiven Verbreitung von WannaCry im letzten Monat sorgt gerade eine neue Variante von Ransomware für massive Störungen, dieses Mal unter der Bezeichnung „NotPetya“. Fast den gesamten Morgen...
    podcast-empfehlung:-alles,-was-sie-zu-data-security-posture-management
    Podcast-Empfehlung: Alles, was Sie zu Data Security Posture Management
    podcast-empfehlung:-alles,-was-sie-zu-data-security-posture-management
    Sebastian Mehle
    8. Dezember 2023
    Im Gespräch mit Oliver Schonschek, News-Analyst bei Insider Research, hatte ich die Möglichkeit, das Konzept Data Security Posture Management zu erklären und zu zeigen, wie es sich in der Praxis umsetzen lässt. Dabei stand zunächst die Frage im Raum, ob und inwieweit wir unsere bisherigen Security-Konzepte neu denken müssen. Werden durch DSPM bewährte Praktiken wie Endpoint-Sicherheit, Firewalls und ähnliches gar obsolet?