Was ist SAML?

Was ist die Security Assertion Markup Language (SAML)?

SAML hilft, wenn Unternehmen die richtige Balance zwischen dem Schutz ihrer digitalen Assets und benutzerfreundlicher Bedienung suchen. Denn ohne sichere Passwörter und Log-ins gibt es keine ausreichende Cybersicherheit. Ohne eine Option für einen schnellen und sicheren Log-in – idealerweise mit einem einzigen Satz von Anmeldedaten (Single Sign-on, SSO) – gibt es kein positives User Experience (UX). SAML bietet als einer der dominierenden Standards SSO im gesamten Web. Erfahren Sie hier, wie die Security Assertion Markup Language funktioniert und welche Vorteile sie mit sich bringt. 

Definition: Was ist SAML?

Die Security Assertion Markup Language, kurz SAML, ist ein offener Standard und bietet eine grundlegende Technologie für den Single Sign-on, (SSO). Für die Authentifizierung nutzt SAML einen Identitätsprovider (IdP), der Autorisierungsdaten sicher an Service Provider (SP) überträgt. Dadurch können sich User mit einem Satz von Anmeldeinformationen bei verschiedenen Websites, Diensten oder Anwendungen anmelden.  

Wofür wird SAML verwendet?

Mit SAML können Unternehmen für mehr Sicherheit sorgen und gleichzeitig den Anmeldeprozess für Mitarbeitende, Partner und Kunden vereinfachen. Das kann folgende Anwendungsfälle umfassen:  

  1. Identitäts- und Zugriffsmanagement: Die Verwaltung der Authentifizierung und Autorisierung über ein einheitliches System reduziert den Zeitaufwand für das On- und Off-Boarding sowie für die Überprüfung von Identitätsberechtigungen. 
  2. Zero Trust: SAML ermöglicht Unternehmen die Implementierung einer Sicherheitsstrategie nach den Prinzipien von Zero Trust. IT-Teams können mit SAML die dafür notwendigen Richtlinien für die Authentifizierung und Autorisierung von Usern und Userinnen definieren, die bei Zero Trust bei jeder Zugriffsanfrage erfolgt.  
  3. User Experience (UX): Die Security Assertion Markup Language ermöglicht nicht nur einen einfacheren Zugang für Mitarbeitende über Single Sign-on: Unternehmen können außerdem alle Anmeldeseiten einheitlich gestalten und Self-Service-Funktionen bereitstellen, beispielsweise zur Passwortverwaltung.  

Wie funktioniert SAML?

Bei der SAML-Authentifizierung oder SAML-Auth tauschen Identitätsanbieter und Service Provider die angeforderten Anmeldedaten und Benutzerinformationen aus. Das Prozedere bestätigt, dass die Zugriffsanfrage von einer authentifizierten und autorisierten Person erfolgt. Es beinhaltet in der Regel folgende Schritte:  

  1. Anmeldung über eine vom Identitätsanbieter bereitgestellte Anmeldeseite.
  2. Bestätigung des Identitätsanbieters über eine Kombination von Authentifizierungsdaten wie Benutzername, Passwort, PIN, ein Gerät oder biometrische Daten. 
  3. Öffnen einer Anwendung des Service Providers, beispielsweise Microsoft Office. 
  4. Anfrage des Service Providers beim Identitätsprovider für die Prüfung der Zugriffsanfrage auf die App. 
  5. Rücksendung der Autorisierung und Authentifizierung durch IdP bei berechtigter Zugriffsanfrage. 
  6. Öffnen der Anwendung ohne zusätzlich Anmeldung 

Damit die SAML-Authentifizierung funktioniert, müssen der IdP und SP dieselbe Konfiguration für die Security Assertion Markup Language verwenden.  

Was ist eine SAML-Assertion?

Bei der SAML-Authentifizierung übernimmt die SAML-Assertion die Rolle, die ein Reisepass bei Fernreisen spielt: Sie ist ein XML-Dokument mit Daten, die dem Dienstanbieter bestätigen, dass die Zugriffsanfrage von einer authentifizierten Person erfolgt.  

Es gibt drei Arten von SAML-Assertions:  

  1. Die Authentifizierungs-Assertion belegt die Identifizierung des Users oder der Userin inklusive des Zeitpunkts und der Art der Authentifizierung.
  2. Die Attributs-Assertion enthält die SAML-Attribute über den Benutzer oder die Benutzerin und geht an den Service Provider.
  3. Die Assertion für die Autorisierungsentscheidung bestätigt dem Service Provider, ob der Identitätsprovider den Zugriff authentifiziert oder verweigert hat.  

Unabhängig von ihrer Art signiert der Identity Provider alle Assertions mit einem X.509-Zertifikat. Der Service Provider wiederum überprüft die Echtheit der Assertion mit einer Kopie des Zertifikats, um unbefugten Zugriff über eine gefälschte SAML-Assertion zu verhindern.  

Was ist ein SAML-Provider?

Unter dem Begriff SAML-Provider sind sowohl der Identitätsprovider (IdP) als auch der Service Provider zusammengefasst. Beide Arten von SAML-Providern sind notwendig, damit die Security Assertion Markup Language als System funktioniert.  

Identitätsanbieter (IdP)

Der Identitätsanbieter (identity provider, IdP) ist ein Softwaredienst, der die Benutzeridentität in einer Cloud speichert und auf Anfrage bestätigt. Der SAML Single Sign-on (SSO) erfolgt normalerweise über einen Anmeldevorgang, bei dem der IdP bestätigt: „Ich kenne diese Person und sie darf Folgendes tun“.  

Service Provider (SP)

Beim Service Provider handelt es sich um alle Dienste und Anwendungen, auf die User und Userinnen zugreifen und für die sie sich dementsprechend anmelden möchten. Statt sich also direkt bei Google Mail, Microsoft Office, Slack oder Skype anzumelden, erfolgt der Zugriff mit SAML über SSO.  

SAML im Vergleich

SAML 2.0 ist nicht die einzige Technologie, die SSO ermöglicht. Im Folgenden werfen wir einen Blick darauf, was die Security Assertion Markup Language von anderen Optionen unterscheidet.  

SAML vs. OAuth

Auch das von Google und Twitter entwickelte OAuth ist ein Protokoll, das Anmeldeprozesse im Internet optimiert. Im Vergleich zu SAML ist es etwas neuer, verwendet eine ähnliche Methodik und nutzt JSON statt XML für den Datenaustausch. Der Hauptunterschied ist aber folgender: SAML authentifiziert die Nutzeridentität und OAuth autorisiert die spezifischen Funktionen einer Anwendung, die Usern und Userinnen nach erfolgreicher Identitätsprüfung zur Verfügung stehen. Mit SAML können Unternehmen ihre SSO-Logins besser kontrollieren und schützen, OAuth eignet sich dafür besser für die Nutzung auf Handys.  

SAML vs. SSO

Beim Vergleich von SAML vs. SSO geht es weniger darum, was beide Technologien unterscheidet, sondern wie sie zusammenarbeiten. Wie bereits erwähnt: SAML ermöglicht den Single Sign-on (SSO), bei dem eine Anmeldung für die Nutzung verschiedener Anwendungen und Webdienste genügt. Das SAML-Protokoll bietet eine technische Variante, über die Anwendungen und Online-Diensten mit Identitätsanbietern (IdP) kommunizieren können, um die Anmeldedaten der Benutzer und Benutzerinnen für den SSO zu überprüfen. 

Vorteile von SAML

SAML ist aus gutem Grund eine weit verbreitete Lösung, die Unternehmen zahlreiche Vorteile bietet. Diese konzentrieren sich im Wesentlichen auf das User Experience und die Sicherheit 

  • Ermöglicht SSO und dadurch einen schnelleren Authentifizierungsprozess 
  • Nur ein Satz von Anmeldeinformationen pro Person erforderlich 
  • Weniger Helpdesk-Anfragen, beispielsweise für die Zurücksetzung von Kennwörtern 
  • Speicherung der Anmeldeinformationen über den Identitätsanbieter  
  • Keine Speicherung von Benutzerinformationen beim Service Provider 
  • Ermöglicht die Implementierung von Zero Trust mit mehreren Sicherheitsebenen 

Gemeinsam sorgen diese Punkte für eine höhere Produktivität und geringere Kosten 

Zusammenfassung

Immer mehr Unternehmen ermöglichen ihrer Belegschaft hybride Arbeitsumgebungen, wodurch diese auch unterwegs auf Unternehmensressourcen zugreifen. Aber egal ob im Büro oder im Homeoffice – SAML sorgt durch konsequente Kontrollen bei der Authentifizierung und beschränkten Zugriff bei der Autorisierung von Mitarbeitenden für bestimmte Anwendungen für mehr Sicherheit. Gleichzeitig vereinfacht und beschleunigt SAML den Anmeldeprozess dank SSO und kann so die User Experience und schlussendlich die Produktivität verbessern.  

Deshalb nutzt auch Nexus die Security Assertion Markup Language für unsere Lösungen für sichere Identitäten von Mitarbeitenden und IoT-Geräten in einer vernetzten Welt. Kontaktieren Sie uns für weitere Informationen über unsere Produkte und Services.  

Häufig gestellte Fragen (FAQ)

Was ist SAML SSO?

SAML SSO ist schlicht und ergreifend der Begriff für den Single Sign-on mit Hilfe von SAML. Der SAML SSO erleichtert den Anmeldeprozess aus Benutzersicht und sorgt für mehr Cybersicherheit in Unternehmen. Unter anderem, weil Anwender und Anwenderinnen sich nur einen Satz von Anmeldeinformationen merken müssen.  

Wer hat SAML erfunden?

Das sogenannte OASIS-Konsortium hat SAML für den Single Sign-on entwickelt. Unternehmen wie Sun Microsystems (inzwischen von Oracle übernommen), IBM, Nokia und SAP sind Teil dieses Konsortium. 

Wann wurde SAML erfunden?

Das OASIS-Konsortium hat im Januar 2001 mit der Entwicklung von SAML begonnen und SAML 1.0 im November 2002 als OASIS-Standard vorgestellt. Im September 2003 folgte SAML 1.1 und SAML 2.0 ist seit März 2005 im Einsatz.  

Ist SAML veraltet?

Die Security Assertion Markup Language 2.0 gibt es zwar schon seit 2005, trotzdem ist SAML weiter in vielen Branchen im Einsatz. Beispielsweise im Gesundheits- und Bildungswesen nutzen es viele Unternehmen und Organisationen zur sicheren Authentifizierung von Benutzern und Benutzerinnen. SAML ermöglicht den Austausch von Anmeldeinformationen zwischen einem Identitätsanbieter und einem Service Provider.  

 

Published 25 Oktober, 2024

Diese Website verwendet Cookies

Cookies sind kleine Textdateien, die Daten enthalten, welche auf Ihrem Gerät gespeichert werden. Für das Speichern bestimmter Arten von Cookies ist Ihre Einwilligung erforderlich. - Bei „“ verwenden wir folgende Arten von Cookies. Mehr darüber, welche Cookies wir verwenden und wie lange diese gespeichert werden, erfahren Sie, in unserer Cookie-Richtlinie.

Cookie-Einstellungen bearbeiten

Erforderliche Cookies

Erforderliche Cookies sind solche Cookies, die gespeichert werden müssen, damit die grundlegenden Funktionen der Website gewahrt bleiben. Grundlegende Funktionen sind zum Beispiel die Verwendung der Menüs und die Navigation auf der Seite.

Funktionale Cookies

Funktionale Cookies müssen für eine Website gespeichert werden, damit diese entsprechend Ihren Erwartungen funktioniert. Dazu gehört unter anderem die von Ihnen bevorzugte Sprache oder das Erkennen, ob Sie angemeldet sind oder nicht. Sie sorgen zudem für die Sicherheit der Website, erinnern sich an Anmeldedaten oder ermöglichen, dass Sie auf der Website die Produkte entsprechend Ihren Wünschen sortieren.

Statistik-Cookies

Damit wir Ihre Interaktion auf der Website messen können, speichern wir Statistik-Cookies. Diese anonymisieren die personenbezogenen Daten.

Cookies für das Ad-Tracking

Damit wir Ihnen einen besseren Service und eine bessere Wahrnehmung beim Besuch der Website ermöglichen können, speichern wir Cookies, die passende Werbung bereitstellen. Sie ermöglichen außerdem, Produkte und Serviceleistungen zu bewerben, kundenspezifische Angebote bereitzustellen und Empfehlungen auszusprechen, die sich an früher erworbenen Produkten orientieren.