Blog

SAML-Authentifizierung

SAML-Authentifizierung

Handbuch / SAML

SAML-Authentifizierung

Was ist SAML-Authentifizierung?

Security Assertion Markup Language (SAML) ist eine Standardmethode, um externen Apps und Diensten mitzuteilen, dass ein Benutzer dieselbe Person ist, die er vorgibt zu sein. Mit SAML ist Single Sign-On (SSO) möglich, da es eine Möglichkeit bietet, den Benutzer einmal zu authentifizieren und diese Authentifizierung an mehrere andere Apps weiterzugeben. Die neueste Version von SAML ist SAML 2.0.

Lassen Sie es uns anhand eines einfachen Beispiels verstehen. Sie sind gerade einer neuen Firma beigetreten, ABC. Das Unternehmen hat Ihnen eine geschäftliche E-Mail-Adresse und Zugriff auf ein Dashboard gegeben. Wenn Sie sich mit Ihren Anmeldeinformationen bei diesem Dashboard anmelden, sehen Sie alle Symbole externer Dienste, die das Unternehmen im Dashboard verwendet – Google Apps, AWS, Salesforce, Azure Office 365, Jira und mehr.

Sie klicken einfach auf das AWS-Symbol und sind bei AWS angemeldet, ohne jemals Anmeldeinformationen einzugeben. Wow Magie!!

SAML-Authentifizierung

Hier kommt SAML ins Spiel und Benutzer müssen sich nicht jedes Mal authentifizieren.

SAML ist ein XML-basierter offener Standard für die Übertragung von Identitätsdaten zwischen einem Identitätsanbieter (IdP) und einem Dienstanbieter (SP).

Identitätsanbieter – Bietet Authentifizierung und übergibt die Identität und Berechtigungsstufe des Benutzers an den Dienstanbieter.

Dienstanbieter – Vertraut dem Identitätsanbieter und autorisiert den angegebenen Benutzer, auf die angeforderte Ressource zuzugreifen.

Im obigen Beispiel wäre der Identitätsanbieter der IdP, den das Unternehmen ABC verwendet, d WebADM von RCDevs. Der Dienstanbieter wäre AWS.

SAML-Authentifizierungsworkflow

Lassen Sie uns in die technische Funktionsweise von SAML eintauchen. Für die Authentifizierung mit dem SAML-Protokoll befolgt der Benutzer im Allgemeinen das folgende Verfahren:

SAML-Authentifizierungsworkflow

1) Der Benutzer fordert über einen Webbrowser den Zugriff auf die gesicherte Anwendung/den SP an.

2) Der Dienstanbieter leitet zur Authentifizierung mit SAML-Authentifizierungsanforderung an einen bestimmten Identitätsanbieter (der beim Dienstanbieter registriert ist) weiter.

3) Der Browser stellt Authentifizierungsanfragen an den registrierten Identitätsanbieter. Der IdP validiert die SAML-Anfrage und gibt dem Benutzer/Browser ein Anmeldeformular.

4) Bei erfolgreicher Berechtigungsprüfung/oder Authentifizierung generiert der Identitätsanbieter eine XML-basierte Bestätigung, die die Identität des Benutzers verifiziert, und leitet diese an den Browser weiter. 

5)Der Browser leitet die XML-Einfügung an den Dienstanbieter weiter und richtet Cookies im Browser ein.

6)Der Benutzer/Browser erhält den Zugang, da er jetzt authentifiziert ist.

5 Vorteile von SAML Single Sign-On (SSO) im Unternehmen

1) Plattformunabhängig

Das SAML-Standardlayout wurde entwickelt, um mit jedem System unabhängig von der Ausführung zusammenzuarbeiten. Es abstrahiert das Sicherheitsframework von der Plattformarchitektur und allen spezifischen Anbieteransätzen. Daher gibt es einen offeneren Ansatz für Architektur und Identitätsföderation.

2) Bessere Sicherheit

SAML bietet einen einzigen Authentifizierungspunkt, der beim Identitätsanbieter stattfindet. Es stellt sicher, dass die Anmeldeinformationen nur direkt vom Dienstanbieter an den IdP gesendet werden.

3)Verbesserte Benutzererfahrung

Einzelpersonen müssen sich nur einmal anmelden, um Zugang zu mehreren Dienstanbietern zu erhalten. Dies ermöglicht einen viel schnelleren Authentifizierungsprozess und eine viel geringere Erwartung des Benutzers, sich mehrere Anmeldeinformationen für jede einzelne Anwendung zu merken. Im obigen Szenario hätte dieser Benutzer auf eines der verschiedenen Symbole in seinem Dashboard geklickt und sich sofort anmelden können, ohne zusätzliche Anmeldeinformationen einzugeben.

4)Reduzierte Kosten für Dienstleister 

Mit SAML müssen Sie keine Kontoinformationen über mehrere Dienste hinweg pflegen. Diese Last trägt der Identitätsanbieter.

5) Lose Kopplung von Verzeichnissen

SAML benötigt keine Benutzerdaten, die zwischen Verzeichnissen gepflegt und synchronisiert werden.

SAML-Authentifizierung mit der RCDevs-Sicherheitslösung

Wenn es um die Implementierung von SAML geht, ist WebADM von RCDevs die  Identity Provider (IDP), der mit verschiedenen Service Providern (SP) in OpenOTP für Authentifizierungsprozesse arbeitet.

Herunterladen und konfigurieren Sie WebADM kostenlos.

Die Installation von SAML IdP ist unkompliziert und besteht nur aus dem Ausführen des Self-Installers und der Konfiguration der Anwendung in WebADM.

Zunächst müssen die SAML-Clients (Dienstanbieter) die SAML-IdP-Endpunkte kennen. Die meisten Clients akzeptieren die automatische Konfiguration mit einer XML-basierten Metadaten-URL.

Sie finden Client-Konfigurationen wie:

  • Die SAML-Entitäts-ID des IdP.
  • Das SAML-Serverzertifikat.
  • Die SingleSignOnService-URL.
  • Die SingleLogoutService-URL.

Die folgende Abbildung zeigt eine Liste der Dienstanbieter, die RCDevs unterstützt, dies ist jedoch keine vollständige Liste. alle Anwendungen, die die SAML 2-Authentifizierung unterstützen, werden von RCDevs IDP unterstützt. Sie haben auch die Möglichkeit, im Dashboard einen benutzerdefinierten Service Provider zu konfigurieren.

SAML-Konfiguration

Lassen Sie uns beispielsweise WebADM konfigurieren, um Authentifizierungen mit Amazon Web Service (AWS) zu verwalten, aber Sie können mit jedem SP Ihrer Wahl folgen.

SAML-Authentifizierung auf AWS

In der AWS-Konsole fügen wir WebADM hinzu, dh den IdP.

SAML-Authentifizierung auf AWS

Dann erstellen wir Rollen und wählen unseren SAML-Anbieter

SAML-Authentifizierung auf AWS

Wir wählen eine Berechtigungsrichtlinie aus und fügen Namen hinzu, um Rollen zu erstellen.

SAML-Authentifizierung auf AWS

Sobald dies erledigt ist, müssen wir die vom IdP initiierte Authentifizierung für AWS aktivieren.

Konfigurieren Sie WebADM IDP für AWS

Wir öffnen die Konfiguration in der WebADM GUI und aktivieren die Anwendung SSO und AmazonWS.

SAML-Authentifizierung auf AWS

Wir wählen den Testbenutzer aus und klicken auf WebADM-Einstellungen. Wir wählen OpenID aus, fügen AWS-Rollennamen hinzu und wenden uns an. Wir können die AWS-Rolle auch zu einer oder mehreren LDAP-Gruppen hinzufügen, um Benutzern, die bestimmten Gruppen angehören, den Zugriff auf die AWS-Rolle zu ermöglichen.

Testen

Öffnen Sie zum Testen die Webanwendung und melden Sie sich mit dem Benutzer an:

SAML-Authentifizierung auf AWS – Testen

Wählen Sie Anwendungs-SSO aus, klicken Sie auf Amazon AWS.

SAML-Authentifizierung auf AWS – Testen

Das war's, wir sind jetzt mit AWS verbunden.

Im Vergleich zu anderen SAML-Implementierungen ist die SSO-Lösung von RCDevs sehr einfach zu implementieren: Sofern Sie bereits über einen funktionierenden WebADM-Server mit OpenOTP und/oder TiQR verfügen, besteht die Einrichtung lediglich aus dem Hinzufügen der OpenID/SAML-WebApp in WebADM. 

SAML-Authentifizierung auf AWS

Überprüfen Sie RCDevs' Dokumentation für mehr Details.

Weitere SAML-Konfiguration von RCDevs:

SP-initiierte SAML-Authentifizierung

SAML-Authentifizierung für Apache Guacamole

SAML-Authentifizierung für GitLab

SAML-Authentifizierung für MS Office 365/Azure

SAML-Authentifizierung für Slack

Für mehr Informationen Kontakt uns.

de_DEDE