SAML – Autorisierungs- und Authentifikationsprotokoll

Die von OASIS entwickelte Security Assertion Markup Language (SAML) ist ein open source XML-basiertes Authentifizierungsprotokoll für Webanwendungen, die von vielen Unternehmen eingesetzt wird. Wir möchten dir folgend einen Überblick über Funktionen, Workflow und eventuellen Vor- und Nachteilen von SAML geben.

Security Assertion Markup Language

Heutzutage ist SAML für viele Unternehmen ein beliebtes Authentifizierungs- und Autorisierungsprotokoll. Die Gründe hierfür sind zum einen die gewährte Sicherheit durch Single Sign-On (SSO), welche eine zentrales Login für mehrere Dienste und ohne wiederholte Anmeldung ermöglicht. Zum anderen gibt es auch ein Single Logout Service, welches eine zentrale Abmeldung von allen Dienste ermöglicht. Dies ist vorteilhaft, wenn beispielsweise ein Mitarbeiter die Firma verlässt. Aufgrund der XML-Dokumentation von Anfragen und Antworten ist die SAML-Installation unabhängig von Betriebssystem und Webserver.

SAML Workflow

SAML hat einen im Vergleich zu anderen Authentifizierungsprotokollen einen einfacheren Workflow. Bei dem Workflow spielen immer drei Komponenten eine bedeutende Rolle: Benutzer, Service Provider und Identitätsprovider. Wie interagieren aber diese drei Komponenten?

Benutzer möchte auf einen Dienst (Service Provider) zugreifen. Er wird dann zum Identitätsprovider weitergeleitet und wird dort identifiziert. Der Identitätsprovider erstellt einen SAML-Token und schickt es an den Service Provider weiter. Das Token besteht aus Claims der Nutzer (sog. Assertions) und wird durch XML-Signatur und Encryption verschlüsselt und signiert. So kann der Nutzer auf den Dienst zugreifen.

SAML Vor- und Nachteile

Es gibt viele Vorteile, die für SAML sprechen aber auch einige Nachteile. Ein Vorteil ist, dass SAML von unterschiedliche Transportprotokollen, zum Beispiel neben HTTP auch über SMTP (Simple Mail Transfer Protocol), übertragen werden kann. Ein weiterer Vorteil ist, dass durch das SSO-Login die Administrationsarbeiten deutlich abnimmt, da es eine einzige Datenbank zu verwalten gibt. Da SAML ein XML-Framework ist, werden alle Antworten und Fragen als XML-Dokument ausgeliefert. Dies ermöglicht, dass SAML auf allen Plattformen Anwendung findet.

Aus der technischen Perspektive ist ein XML-basierende SAML sehr komplex. Es besteht eine Abhängigkeit zum Identitätsprovider, sodass ohne Verfügbarkeit der Identitätsprovider kein Zugriff auf den Service Provider möglich ist.

SAML bei gridscale

gridscale als langjähriger Service Provider unterstützt SAML und verwendet unter anderem Google G-Suite. Ebenso profitieren Partner und deren Kunden von SAML. Dadurch musst du dir nicht viele Usernamen und Passwörter merken, sondern es reicht nur ein einziges Credential für eine Zentralanmeldung. Dies erhöht vor allem den Schutz vor Phishing-Angriffen.

Nutzermanagement

Das Nutzermanagement beschäftigt sich mit der Verwaltung der Benutzer. Dabei wird beispielsweise innerhalb eines Unternehmens die Identität und Rechte der Benutzer bei Zugriff auf verschiedene Dienste kontrolliert. SAML ermöglicht mit Hilfe der SSO-Technologie ein skalierbares Nutzermanagement, welches die Verwendung von weiteren Technologien wie Cloud-Diensten oder funktionsübergreifenden Diensten mehrerer Unternehmen vereinfacht. IT-Sicherheit und Compliance-Richtlinien werden durch Standards wie SAML verstärkt.

Fazit

SAML hat sich mittlerweile als eine Standard innerhalb vieler Unternehmen fest verankert. Egal ob du es für deine Mitarbeiter oder als Service für deine Kunden anbieten möchtest, ist SAML vielseitig und betriebssystemunabhängig. Ein zentraler Bestandteil ist der Single-Sign-On. Man hat also die verschiedenen Zugriffe der Benutzer immer im Griff und die Administrationsarbeit wird bei richtiger Konfiguration deutlich reduziert. Jedoch ist SAML technisch recht komplex und es besteht eine gewisse Abhängigkeit vom Identitätsprovider.