什麼是安全聲明標記語言 (SAML)?
瞭解 SAML
安全聲明標記語言 (SAML) 為開放的聯合標準,可讓身分識別提供者 (IdP) 驗證使用者,並將驗證憑證傳送給另一個稱為服務供應商 (SP) 的應用程式。SAML 可讓 SP 無需執行自己的驗證並通過識別來整合內部和外部使用者。其允許透過網路 (通常是應用程式或服務) 與 SP 共用安全證明資料,一般為應用程式或服務。SAML 可在公有雲與其他啟用 SAML 的系統之間進行安全的跨網域通訊,以及選定數量的其他身分識別管理系統 (位於企業內部部署環境或不同的雲端)。透過 SAML,您可以在支援 SAML 通訊協定與服務的任何兩個應用程式中,為您的使用者啟用單一登入 (SSO) 體驗,讓 SSO 代表一或多個應用程式執行數個安全性功能。
SAML 與用於編碼此資訊的 XML 變數語言相關,也可以涵蓋組成部分標準的各種通訊協定訊息和設定檔。
SAML 的兩個主要安全性功能
探索 Oracle 如何使用 SAML 透過單鍵提升安全性。
瞭解從企業內部部署到雲端運用 SAML 的方式。
SAML 如何運作?
SAML 透過傳送身分識別提供者與 SP 之間的使用者、登入以及屬性相關資訊來運作。各使用者僅會認證為 IdP 一次,然後就可以將認證階段作業無縫延伸至潛在數目眾多的應用程式。當使用者嘗試存取該服務時,IdP 會將稱為 SAML 宣告的內容傳送給 SP。SP 會要求識別中的授權和認證。
SAML 範例:
- 登入並存取 SSO 認證。
- 從身分識別提供者匯出中繼資料,然後匯入。
- 識別系統會進一步瞭解 SSO 身分識別提供者,以從識別系統匯出中繼資料。
- 將中繼資料提供給您的 SSO 身分識別提供者團隊。
- 測試並啟用 SSO。
- 建議使用者僅使用其 SSO 證明資料登入。
誰是 SAML 供應商?
SAML 供應商為可協助使用者存取所需服務的系統。SAML 會在兩方、IdP 及 SP 之間傳輸識別資料。SAML 供應商有兩種主要類型:
身分識別提供者 (IdP) - 執行認證,並將使用者的身分識別和授權層次傳送給服務提供者 (SP)。IdP 已認證使用者,而 SP 則允許根據 IdP 提供的回應進行存取。
服務供應商 (SP) - 信任 IdP 並授權給定使用者存取所要求的資源。SP 需要 IdP 的認證來授予使用者授權,因為這兩種系統共用相同的語言,所以使用者只需要登入一次。
什麼是 SAML 宣告?
SAML 宣告為 XML 文件,身分識別提供者會傳送至含有使用者授權狀態的 SP。三種不同類型的 SAML 宣告為認證、屬性及授權決策。
- 認證宣告可協助確認使用者的身分,並提供使用者登入的時間,以及使用哪種認證方法 (例如密碼、MFA、Kerbeos 等)。
- 指定的宣告會將 SAML 憑證傳送至 SP。SAML 用於識別使用者的屬性在 IdP 和 SP 目錄中均假設為相同。SAML 屬性是提供使用者相關資訊的特定資料片段
- 授權決策宣告說明使用者有權使用服務,或者身分識別提供者因密碼失敗或缺少服務權限而拒絕要求
SAML 和 OAuth 使用案例
SAML 主要用於啟用全球資訊網瀏覽器單一登入 (SSO)。SSO 的使用者體驗目標為允許使用者認證一次,而無需重新提交證明資料即可獲得獨立保護的系統存取權。安全目標是確保每個安全周邊皆符合認證需求。
- 管理雲端和內部部署的身分識別。運用雲端工作流程、簡化的使用者佈建及使用者自助服務,實現身分識別和存取管理的統一方法。開放標準整合可減少開銷和維護,在雲端和企業內部部署環境中提供簡化的使用者佈建與管理功能
- 簡化身分識別任務。降低在多個環境之間重複變更使用者、角色和群組的需求。這提供識別橋接器,可同步內部部署和雲端服務的識別資格
- 零信任策略。使用單一登入 (SSO)、強化密碼強制實施及多重要素驗證 (MFA) 的雲端型服務來強制執行存取原則。若使用調適型認證,當根據裝置、位置或活動將使用者存取視為高風險時,可藉由提升登入需求降低風險
- 管理消費者數位存取。透過自助服務使用者介面和品牌可自訂的登入畫面,提供豐富的消費者存取體驗。彈性的客戶存取啟用功能,透過 REST API 和標準型整合協助整合第三方服務和自訂應用程式
優化使用者登入體驗
使用者體驗對任何應用程式極為重要,而且必須從使用者與其互動的起始階段開始。第一個活動通常是登入程序。如果此作業繁複或不直覺,可以減少使用應用程式的整體經驗。Oracle Identity Cloud Service (IDCS) 使用雲端原生的身分識別即服務 (IDaaS) 平台作為外部識別的前門,管理各種雲端和企業內部部署應用程式和服務的使用者存取和資格。組織可以憑此啟用零信任策略,並將使用者身分識別管理建立為新的安全周邊。