Trace Id is missing
Preskoči na glavno vsebino
Microsoftova varnost

Kaj je SAML?

Preberite, kako lahko s standardnim protokolom, označevalnim jezikom za potrditev varnosti (SAML), izboljšate varnostne ukrepe in izkušnjo vpisa.

Definicija tehnologije SAML

SAML je osnovna tehnologija, ki ljudem omogoča enkratno prijavo z enim nizom poverilnic in dostop do več aplikacij. Ponudniki identitet, kot je Microsoft Entra ID, preverijo uporabnike, ko se prijavijo, in nato s pomočjo tehnologije SAML posredujejo te podatke za preverjanje pristnosti ponudniku storitev, ki upravlja spletno mesto, storitev ali aplikacijo, do katere želijo uporabniki dostopati.

Za kaj se uporablja SAML?

Tehnologija SAML pomaga okrepiti varnost podjetij in poenostaviti postopek prijave za zaposlene, partnerje in stranke. Organizacije jo uporabljajo za omogočanje enotne prijave,, ki uporabnikom omogoča uporabo enega uporabniškega imena in gesla za dostop do več spletnih mest, storitev in aplikacij. Zmanjšanje števila gesel, ki si jih morajo ljudje zapomniti, ni le lažje zanje, ampak tudi zmanjša tveganje, da bo eno od teh gesel ukradeno. Organizacije lahko določijo tudi varnostne standarde za preverjanja pristnosti v aplikacijah, ki podpirajo tehnologijo SAML. Zahtevajo lahko na primer večkratno preverjanje pristnosti, preden lahko uporabniki dostopijo do omrežja in aplikacij na mestu uporabe, npr. Salesforce, Concur in Adobe. 

Organizacije lahko tehnologijo SAML uporabijo v teh primerih:

Poenoteno upravljanje identitete in dostopa:

Z upravljanjem preverjanja pristnosti in pooblastila v enem sistemu lahko ekipe za IT bistveno skrajšajo čas, ki ga porabijo za zagotavljanje uporabnikov in dodeljevanje pravic do identitete.

Omogočanje strategije Ničelno zaupanje:

Varnostna strategija Ničelno zaupanje zahteva, da organizacije preverijo zahteve za dostop in omejijo dostop do občutljivih informacij le za ljudi, ki jih res potrebujejo. Tehnične ekipe lahko z uporabo protokola SAML določijo pravilnike, kot sta večkratno preverjanje pristnosti in pogojni dostop, za vse svoje aplikacije. Omogočijo lahko tudi strožje varnostne ukrepe, kot je prisilna ponastavitev gesla, če je tveganje uporabnika povečano na podlagi njegovega vedenja, naprave ali lokacije.

Izboljšajte izkušnje zaposlenih:

Poleg poenostavitve dostopa za delavce lahko ekipe IT tudi označijo strani za vpis in tako ustvarijo dosledno izkušnjo v vseh aplikacijah. Zaposleni prihranijo čas tudi s samopostrežnimi izkušnjami, ki jim omogočajo enostavno ponastavitev gesel.

Kaj je ponudnik tehnologije SAML?

Ponudnik SAML je sistem, ki z drugimi ponudniki deli podatke o preverjanju pristnosti identitete. Obstajata dve vrsti ponudnikov tehnologije SAML:

  • Ponudniki identitete preverijo pristnost in pooblastijo uporabnike. Ponudijo stran za vpis, na kateri uporabniki vnesejo svoje poverilnice. Prav tako uveljavljajo varnostne pravilnike, na primer z zahtevo po večkratnem preverjanju pristnosti ali ponastavitvi gesla. Ko je pristnost uporabnika preverjena, ponudniki identitet posredujejo podatke ponudnikom storitev. 

  • Ponudniki storitev so aplikacije in spletna mesta, do katerih uporabniki želijo dostopiti. Ponudniki storitev svoje rešitve konfigurirajo tako, da zaupajo preverjanju pristnosti SAML in se pri preverjanju pristnosti identitet in pooblastitvi dostopa zanašajo na ponudnike identitet, namesto da bi od ljudi zahtevali individualno prijavo v svoje aplikacije. 

Kako deluje preverjanje pristnosti SAML?

Pri preverjanju pristnosti SAML si ponudniki storitev in ponudniki identitet izmenjujejo podatke o prijavah in uporabnikih, da potrdijo, da je pristnost vsake osebe, ki zahteva dostop, preverjena. Običajno poteka tako:

  1. Zaposleni začne delati tako, da se vpiše s stranjo za prijavo, ki jo zagotovi ponudnik identitete.

  2. Ponudnik identitete potrdi, da je zaposleni tisti, za katerega se izdaja, tako da potrdi kombinacijo podatkov za preverjanje pristnosti, kot so uporabniško ime, geslo, PIN, naprava ali biometrični podatki.

  3. Zaposleni zažene aplikacijo ponudnika storitev, na primer Microsoft Word ali Workday. 

  4. Ponudnik storitev komunicira s ponudnikom identitete in potrdi, da je zaposleni pooblaščen za dostop do te aplikacije.

  5. Ponudniki identitet nazaj pošljejo rezultat preverjanja in pooblastilo.

  6. Zaposleni dostopa do aplikacije, ne da bi se drugič prijavil.

Kaj je izjava SAML?

Izjava SAML je dokument XML, ki vsebuje podatke, ki ponudniku storitev potrjujejo, da je bila pristnost osebe, ki se prijavlja, preverjena.

Na voljo so tri vrste:

  • Izjava o preverjanju pristnosti identificira uporabnika in vključuje čas, ko se je oseba prijavila, ter vrsto preverjanja, ki jo je uporabila, na primer geslo ali večkratno preverjanje pristnosti.

  • Izjava o dodelitvi posreduje žeton SAML ponudniku. Ta izjava vključuje posebne podatke o uporabniku.

  • Izjava o odločitvi o pooblastilu ponudniku storitev pove, ali je bila pristnost uporabnika preverjena ali zavrnjena bodisi zaradi težav z njegovimi poverilnicami bodisi ker nima dovoljenj za to storitev. 

Primerjava tehnologij SAML in OAuth

Tako SAML kot OAuth olajšujeta dostop do več storitev, ne da bi se prijavili v vsako posebej, vendar oba protokola uporabljata različne tehnologije in postopke. Tehnologija SAML z jezikom XML omogoča uporabo istih poverilnic za dostop do več storitev, OAuth pa posreduje podatke o preverjanju pristnosti z uporabo tehnologije JWT ali JavaScript Object Notation.


Pri protokolu OAuth se uporabniki namesto ustvarjanja novega uporabniškega imena ali gesla za storitev prijavijo v storitev z uporabo pooblastil tretjih oseb, na primer svojih računov Google ali Facebook, in ne ustvarijo novega uporabniškega imena ali gesla za storitev. Preverjanje pristnosti je uspešno zaključeno, pri tem pa je uporabniško geslo zaščiteno.

Vloga tehnologije SAML za podjetja

Podjetja s tehnologijo SAML zagotavljajo produktivnost in varnost na hibridnih delovnih mestih. Ker vse več ljudi dela na daljavo, jim je treba omogočiti enostaven dostop do virov podjetja od koder koli, vendar brez pravega varnostnega nadzora enostaven dostop povečuje tveganje za kršitev. S tehnologijo SAML lahko organizacije poenostavijo postopek vpisa za zaposlene in hkrati uveljavijo stroge pravilnike, kot sta večkratno preverjanje pristnosti in pogojni dostop do aplikacij, ki jih zaposleni uporabljajo.
Za začetek morajo organizacije vložiti v rešitev ponudnika identitet, kot je Microsoft Entra ID. Microsoft Entra ID varuje uporabnike in podatke z vgrajeno varnostjo ter združuje upravljanje identitet v enotno rešitev. Samopostrežna storitev in enotna prijava zaposlenim omogočata enostavno in priročno ohranjanje produktivnosti. Poleg tega ima storitev Microsoft Entra ID vnaprej pripravljeno integracijo SAML s tisočimi aplikacijami, kot so Zoom, DocuSign, SAP Concur, Workday in AWS (Amazon Web Services).

Več informacij o Microsoftovi varnosti

Microsoftove rešitve za identitete in dostop

Raziščite celovite Microsoftove rešitve za identiteto in dostop.

Microsoft Entra ID

Zaščitite svojo organizacijo s celovito rešitvijo za zaščito identitete.

Enotna prijava

Poenostavite dostop do programske opreme kot so storitvene aplikacije (SaaS), aplikacije v oblaku ali aplikacije na mestu uporabe.

Večkratno preverjanje pristnosti

Zaščitite svojo organizacijo pred kršitvami zaradi izgubljenih ali ukradenih poverilnic.

Pogojni dostop

Izvajajte granularni nadzor dostopa s prilagodljivimi pravilniki v realnem času.

Predhodno pripravljene integracije aplikacij

Z vnaprej pripravljenimi integracijami lahko svoje uporabnike varneje povežete z njihovimi aplikacijami.

Spletni dnevnik o identiteti in dostopu

Bodite na tekočem z najnovejšimi idejnimi vodji na področju upravljanja identitet in dostopa.

Pogosta vprašanja

  • Protokol SAML vključuje te komponente:

    • Ponudniki storitev identitete preverijo pristnost in pooblastijo uporabnike. Zagotavljajo prijavno stran, na kateri uporabniki vnesejo svoje poverilnice, in izvajajo varnostne pravilnike, na primer zahtevajo večkratno preverjanje pristnosti ali ponastavitev gesla. Ko je pristnost uporabnika preverjena, ponudniki identitet posredujejo podatke ponudnikom storitev.

    • Ponudniki storitev so aplikacije in spletna mesta, do katerih uporabniki želijo dostopiti. Ponudniki storitev svoje rešitve konfigurirajo tako, da zaupajo preverjanju pristnosti SAML in se pri preverjanju pristnosti identitet in pooblastitvi dostopa zanašajo na ponudnike identitet, namesto da bi od ljudi zahtevali individualno prijavo v svoje aplikacije.

    • Metapodatki opisujejo, kako si bodo ponudniki identitete in ponudniki storitev izmenjevali izjave, vključno s končnimi točkami in tehnologijo.

    • Izjava so podatki o preverjanju pristnosti, ki ponudniku storitev potrjujejo, da je bila pristnost osebe, ki se prijavlja, preverjena.

    • Potrdila s podpisom vzpostavljajo zaupanje med ponudnikom identitete in ponudnikom storitev, saj potrjujejo, da trditev med potovanjem med ponudnikoma ni bila prirejena.

    • Sistemska ura potrjuje, da imata ponudnik storitev in ponudnik identitete enak čas za zaščito pred napadi ponovitve.
  • Protokol SAML organizacijam, njihovim zaposlenim in partnerjem ponuja naslednje prednosti:

    • Izboljšana uporabniška izkušnja. SAML organizacijam omogoča, da ustvarijo izkušnjo enotne prijave, tako da se zaposleni in partnerji enkrat prijavijo in pridobijo dostop do vseh svojih aplikacij. Tako je delo lažje in priročnejše, saj si je treba zapomniti manj gesel, zaposlenim pa se ni treba prijavljati vsakič, ko zamenjajo orodje.

    • Izboljšana varnost. Manjše število gesel zmanjšuje tveganje ogrožanja računov. Poleg tega lahko varnostne ekipe uporabljajo protokol SAML za uporabo strogih varnostnih pravilnikov v vseh aplikacijah. Za prijavo lahko na primer zahtevajo večkratno preverjanje pristnosti ali uporabijo pravilnike pogojnega dostopa, ki omejujejo, do katerih aplikacij in podatkov  imajo ljudje dostop.

    • Poenoteno upravljanje. Tehnične ekipe s protokolom SAML upravljajo identitete in varnostne pravilnike v eni rešitvi in ne uporabljajo ločenih konzol za upravljanje za vsako aplikacijo posebej. To bistveno poenostavi postopek omogočanja za uporabnike.
  • Protokol SAML je tehnologija XML odprtega standarda, ki ponudnikom identitet, kot je Microsoft Entra ID, omogoča posredovanje podatkov o preverjanju pristnosti ponudniku storitev, na primer aplikaciji programske opreme kot storitve.
    Enotna prijava pomeni, da se uporabniki enkrat prijavijo in nato pridobijo dostop do več različnih spletnih mest in aplikacij. Protokol SAML omogoča enotno prijavo, vendar jo je mogoče uvesti tudi z drugimi tehnologijami.

  • Protokol LDAP (Lightweight directory access protocol) je protokol za upravljanje identitet, ki se uporablja za preverjanje pristnosti in pooblastitev identitet uporabnikov. Veliko ponudnikov storitev podpira protokol LDAP, zato je lahko dobra rešitev za enotno prijavo, ker pa gre za starejšo tehnologijo, ne deluje tako dobro s spletnimi aplikacijami.

    SAML je novejša tehnologija, ki je na voljo v večini spletnih aplikacij in aplikacij v oblaku, zato je bolj priljubljena izbira za centralizirano upravljanje identitete.

  • Večkratno preverjanje pristnosti je varnostni ukrep, ki od ljudi zahteva, da za dokazovanje svoje identitete uporabijo več kot en dejavnik. Običajno zahteva nekaj, kar posameznik ima, na primer napravo, in nekaj, kar pozna, na primer geslo ali kodo PIN. SAML tehničnim ekipam omogoča uporabo večkratnega preverjanja pristnosti za več spletnih mest in aplikacij. Odločijo se lahko, da bodo to raven preverjanja pristnosti uporabili za vse aplikacije, integrirane s protokolom SAML, ali pa uveljavijo večkratno preverjanje pristnosti za nekatere aplikacije, za druge pa ne. 

Spremljajte Microsoftovo varnost