Javascript is actually
a good thing!
Make sure it's turned on
so that pingidentity.com can work properly.
SAML | Ping Identity
Basiswissen über Identität
Authentifizierung
Ein-Faktor-, Zwei-Faktor- und Multi-Faktor-Authentifizierung
Passwortlose Authentifizierung
FIDO (Fast Identity Online)
Risikobasierte Authentifizierung
Zertifikatsbasierte Authentifizierung
Tokenbasierte Authentifizierung
Single Sign-on (SSO)
Föderiertes Identitätsmanagement
CHAP-Authentifizierung
Was ist die kontinuierliche Authentifizierung?
Identitätsorchestrierung
Identitäts-und Access-Management
Identitätsprovider und Serviceprovider
Zentrales und dezentrales Identitätsmanagement
Zero Trust-Sicherheit
Standards bei der Authentifizierung und Autorisierung
Autorisierung
Autorisierungsmethoden
Nutzer- und Kontenprovisionierung
So funktioniert Single Sign-on mit einem Verzeichnis
Was ist dynamische Autorisierung?
Authentifizierungs- und Autorisierungsprotokolle
LDAP
SCIM
WebAuthn
Kerberos
Was ist WS-Trust?
Expand All | Collapse All

SAML


SAML (Security Assertion Markup Language) ist ein offener Authentifizierungs-Standard, der das Single Sign-on (SSO) für Webanwendungen ermöglicht. SSO ermöglicht Nutzer die Anmeldung bei mehreren webbasierten Anwendungen und Diensten mit einer einzigen Kombination von Anmeldedaten. SAML wurde entwickelt, um den Nutzern die Anmeldung zu vereinfachen. Es wird vor allem in Unternehmen eingesetzt und ermöglicht den Zugriff auf zahlungspflichtige Anwendungen und Dienste.


Vor allen Dingen sind Anmeldungen mit SAML sicher, da die Anmeldeinformationen der Nutzer zu keinem Zeitpunkt übertragen werden. Das Handling erfolgt stattdessen über Identitätsprovider (IdP) und Serviceprovider (SP):
 

  • Der IdP speichert alle für die Autorisierung erforderlichen Anmeldedaten und Informationen und stellt sie dem SP auf Anfrage zur Verfügung. Es liegt bei ihm zu erklären: „Ich kenne diese Person, und sie sollte auf diese Ressourcen zugreifen können.“
     

  • Der SP hostet die Anwendungen und Dienste, auf die der Nutzer zugreifen möchte. Bei diesen Anwendungen oder Diensten kann es sich um E-Mail-Plattformen handeln, wie beispielsweise Google oder Microsoft Office, oder aber auch um Kommunikations-Apps wie Slack oder Skype. Es ist der SP, der erklärt: „Sie können auf diese Anwendungen oder Dienste für einen bestimmten Zeitraum zugreifen, ohne sich erneut anmelden zu müssen.“

Wenn Nutzer versuchen, auf diese Anwendungen oder Dienste zuzugreifen, bittet der SP den IdP um die Überprüfung ihrer Identitäten. Der IdP stellt SAML-Assertions oder Token aus, die notwendige Informationen zur Bestätigung der Benutzeridentität enthalten. Dazu gehören unter anderem der Zeitpunkt der Ausstellung und die Bedingungen für die Gültigkeit der Assertions. Nachdem der SP die Assertions empfangen hat, gewährt er dem Nutzer Zugang zu den angeforderten Ressourcen.


Sie können die SAML-Anmeldung mit dem Ausleihen eines Buches in einer Bibliothek vergleichen:
 

  • Sie suchen sich ein Buch aus, das Sie lesen möchten, und nehmen es mit an den Schalter.
     

  • Die Bibliothekarin fragt Sie, ob Sie einen Bibliotheksausweis haben. Sie antworten: „Nein, ich bin gerade erst in die Stadt gezogen.“ Die Bibliothekarin sagt: „Nun, solange Sie keinen Bibliotheksausweis haben, kann ich Ihnen das Buch nicht ausleihen. Gehen Sie hinüber zum Bibliotheksassistenten, und lassen Sie sich einen Ausweis ausstellen, damit wir Unterlagen über Ihre Person haben.“
     

  • Sie gehen zum Schalter und geben dem Bibliotheksassistenten Ihren Führerschein. Dieser gibt Ihren Namen und Ihre Adresse in das Bibliothekssystem ein, erstellt den Ausweis, den Sie dann erhalten. Mit dem Ausweis kehren Sie zur Bibliothekarin zurück, sie scannt ihn ein und leiht Ihnen das Buch aus. Sie können das Buch nun für einen bestimmten Zeitraum mit nach Hause nehmen.

In diesem Szenario authentifizieren Sie sich beim Bibliotheksassistenten (IdP), indem Sie ihm Ihren Führerschein vorlegen. Anschließend erstellt er den Ausweis anhand Ihrer Angaben. Wenn Sie den Bibliotheksausweis der Bibliothekarin (SP) vorlegen, benutzt sie ihn, um Ihnen das Buch auszuleihen.


Dieses kurze Video demonstriert anhand weiterer Beispiele, wie SAML eingesetzt wird, um Mitarbeiter, Partner und Kunden schnell und sicher mit den digitalen Ressourcen eines Unternehmens zu verbinden.
 

 

Wie funktioniert SAML?


SAML ist ein XML-basiertes Framework, d. h. es ist äußerst flexibel, kann auf jeder Plattform eingesetzt und über eine Vielzahl von Protokollen (z. B. HTTP und SMTP) übertragen werden. Partner in einem Verbund können selbst wählen, welche Informationen sie in einer SAML-Assertion weitergeben, so lange diese in XML dargestellt werden können.


Eine typische SAML-Authentifizierung läuft folgendermaßen ab:

 

 

  1. Der Nutzer meldet sich an und beantragt Zugriff auf gewünschte Anwendungen oder Dienste des SP.

  2. Der SP fordert vom IdP Informationen, um den Nutzer zu authentifizieren.

  3. Der IdP erstellt eine SAML-formatierte, digital signierte Antwort, die den Nutzer authentifiziert. Diese Antwort kann in Form einer SAML-Assertion oder eines SAML-Tokens erfolgen. Die Antwort kann auch Informationen über die Berechtigungen des Nutzers enthalten.

  4. Der IdP signiert die Assertion und übermittelt sie an den SP.

  5. Der SP ruft die Assertion ab, überprüft die Gültigkeit, und authentifiziert den Nutzer.

  6. Der Nutzer greift auf die Anwendung oder den Dienst des Serviceproviders zu.

 

Anmeldungen mit SAML bieten Sicherheit, da die Anmeldeinformationen der Nutzer zu keinem Zeitpunkt übertragen werden. Stattdessen werden SAML-Assertions oder Token verwendet.
 

Was sind SAML-Assertions?


SAML-Assertions sind XML-Dokumente, die von einem IdP an einen SP gesendet werden, um Nutzer zu identifizieren. Sie enthalten relevante Informationen über Nutzer und ihre Berechtigungen für die angefragte Anwendung oder den Dienst. Diese Meldungen versichern auch die Gültigkeit der Informationen und geben an, wie lange die Benutzer auf die jeweiligen Ressourcen zugreifen können, ohne sich erneut anmelden zu müssen.


SAML-Assertions werden in erster Linie für die Authentifizierung verwendet, können aber auch Informationen für die Autorisierung enthalten:
 

  • Authentifizierungs-Assertions: Identifizieren Benutzer und liefern Anmeldeinformationen, wie unter anderem den Zeitpunkt der Anmeldung und die bei der Authentifizierung verwendete Methode.

  • Attribut-Assertions: Enthalten Informationen über Nutzerattribute, die sowohl im IdP- als auch im SP-Verzeichnis vorhanden sind und im Zuge der Authentifizierung abgeglichen werden.

  • Autorisierungs-Assertions: Zeigen an, ob der Benutzer zum Zugriff auf die Anwendung oder den Dienst berechtigt ist.

SAML findet häufige Anwendung in Unternehmen für den Austausch von Identitätsinformationen zwischen IAM-Systemen und Webanwendungen. Die Methoden der Implementierung hängen davon ab, ob die Anmeldeprozesse vom IdP oder vom SP initiiert werden.

 

IdP-initiiertes SSO


IdP-initiiertes SSO findet man häufig bei Lösungen für Mitarbeiter. Die hierbei verwendeten Schritte werden im folgenden Diagramm dargestellt.
 

 

  1. Ein Nutzer meldet sich mit seinem Benutzernamen und Passwort bei seinem System an und bekommt einen Anwendungskatalog mit Symbolen für die webbasierten Anwendungen und Dienste angezeigt, auf die er zugreifen kann. 

  2. Er klickt auf ein Symbol, um auf eine dieser Anwendungen oder Dienste zuzugreifen. 

  3. Der IdP erstellt und signiert eine SAML-Assertion, die Informationen über die Identität des Benutzers und alle weiteren Attribute enthält, die der IdP und der SP zur Authentifizierung von Nutzern vereinbart haben.

  4. Entweder sendet der IdP dann die Assertion über den Browser des Benutzers an den SP, oder er sendet einen Verweis auf die Assertion, den der SP für das sichere Abrufen der Assertion verwenden kann.

  5. Der SP validiert die Signatur, um sicherzustellen, dass die SAML-Assertion wirklich von seinem vertrauenswürdigen IdP stammt und dass keiner der Werte in der Assertion geändert wurde. Er extrahiert auch die Identitäts-, Attribut- und Autorisierungsinformationen, die er benötigt, um festzustellen, ob der Zugriff gewährt werden soll und welche Berechtigungen dem Nutzer zustehen.

  6. Die Nutzer greifen auf die Anwendung oder den Dienst zu.
     

 

SP-initiiertes SSO


Das SP-initiierte SSO beginnt mit dem direkten Zugriff eines Nutzers auf eine Anwendung oder einen Dienst, ohne vorherige Authentifizierung über den IdP. Die hierbei verwendeten Schritte werden im folgenden Diagramm dargestellt.
 

 

  1. Der Nutzer versucht auf die Anwendung oder den Dienst zuzugreifen.

  2. Der SP leitet den Nutzer zwecks Authentifizierung zurück zum IdP und gibt ihm eine Ressourcen-URL für den Zugriff auf die Anwendung oder den Dienst, sobald er authentifiziert wurde.

  3. Der SP ermittelt den passenden IdP für die Authentifizierung des Nutzers. Dazu verwendet er unter anderem die folgenden gängigen Methoden:

    Der SP erfragt vom Nutzer zum Beispiel die E-Mail-Adresse und nutzt dann die Domäne der E-Mail, z. B. bill@pingidentity.com, um den entsprechenden IdP zu identifizieren.

    Der SP zeigt eine Liste der von ihm unterstützten IdPs an und fordert den Nutzer auf, den passenden IdP auszuwählen.

    Möglicherweise verweist die Ressourcen-URL bereits auf einen bestimmten IdP.

    Der SP hat u. U. ein Cookie mit IdP-Informationen im Browser des Nutzers platziert, als dieser sich beim ersten Mal erfolgreich über den IdP angemeldet hat, und verwendet diese Informationen nun bei nachfolgenden Zugriffen.

  4. Der SP leitet den Nutzer dann an den entsprechenden IdP weiter.  

  5. Der IdP authentifiziert die Anmeldeinformationen des Nutzers.

  6. Der IdP erstellt und signiert eine XML-basierte SAML-Assertion, die Informationen über die Identität des Benutzers und alle weiteren Attribute enthält, die der IdP und der SP zur Authentifizierung von Nutzern vereinbart haben.

  7. Entweder sendet der IdP dann die Assertion über den Browser des Benutzers an den SP, oder er sendet einen Verweis auf die Assertion, den der SP für das sichere Abrufen der Assertion verwenden kann.

  8. Sobald der SP die SAML-Assertion erhalten hat, validiert er die Signatur mithilfe des öffentlichen Schlüssels, um sicherzustellen, dass die SAML-Assertion tatsächlich von seinem vertrauenswürdigen IdP stammt und dass keiner der Werte in der Assertion geändert wurde. Er extrahiert auch die Identitäts-, Attribut- und Autorisierungsinformationen, die er benötigt, um festzustellen, ob der Zugriff gewährt werden soll und welche Berechtigungen dem Nutzer zustehen.

  9. Die Nutzer greifen auf die Anwendung oder den Dienst zu.
     

SAML wird nur für Webanwendungen verwendet


Da es sich um ein XML-Framework handelt, ist SAML äußerst vielseitig. Es bietet die Option, viele verschiedene SSO-Verbindungen mit unterschiedlichen Partnern im Identitätsverbund mit einer einzigen Implementierung zu unterstützen, und wird daher häufig in geschäftlichen und unternehmerischen Bereich eingesetzt.


SAML unterstützt jedoch nur SSO für browserbasierte Anwendungen und Dienste. Das SSO für mobile Anwendungen oder Anwendungen, die über APIs auf Ressourcen zugreifen, wird nicht unterstützt.
 

Verwandte Ressourcen:

Definition

SAML

  

Whitepaper
SAML 101

  

Artikel
SAML (Security Assertion Markup Language)

  

Video

SAML 101

  

Starten Sie jetzt

Kontaktieren Sie uns

sales@pingidentity.com

Erfahren Sie, wie Ping Sie dabei unterstützen kann, sichere Mitarbeiter- und Kundenerlebnisse in einer sich schnell entwickelnden digitalen Welt zu schaffen.