Header Background
 
  •  ▸ 
  • Über uns  ▸ 
  • Wissensblog
 
 

SAML (Security Assertion Markup Language): Standard für föderierte Authentifizierung und Single Sign-On

SAML (Security Assertion Markup Language) ist ein XML-basierter Standard für den sicheren Austausch von Authentifizierungs- und Autorisierungsinformationen zwischen vertrauenswürdigen Parteien, typischerweise einem Identity Provider (IdP) und einem Service Provider (SP). SAML wurde von der OASIS-Gruppe entwickelt und ist eine der meistverbreiteten Technologien für Single Sign-On (SSO) in webbasierten Anwendungen, besonders im Unternehmensumfeld. Ziel von SAML ist es, Benutzern den Zugang zu mehreren Anwendungen mit nur einer Anmeldung zu ermöglichen, wodurch sowohl die Benutzerfreundlichkeit als auch die Sicherheit verbessert werden.

Funktionsweise von SAML: Authentifizierung durch Föderation

Beteiligte Rollen

  1. User (Endnutzer) – der Benutzer, der sich authentifizieren möchte
  2. Identity Provider (IdP) – verwaltet Identitätsinformationen und führt die Authentifizierung durch
  3. Service Provider (SP) – die Anwendung oder Dienstleistung, auf die der Benutzer zugreifen möchte

Authentifizierungsfluss

  1. Zugriffsanforderung: Der Benutzer ruft eine geschützte Ressource beim Service Provider auf.
  2. Weiterleitung zum IdP: Der SP erkennt, dass der Benutzer nicht authentifiziert ist, und leitet ihn an den konfigurierten IdP weiter.
  3. Benutzerauthentifizierung: Der Benutzer meldet sich beim IdP an (z. B. per Benutzername/Passwort oder Zwei-Faktor-Authentifizierung).
  4. SAML-Assertion: Nach erfolgreicher Authentifizierung erzeugt der IdP eine SAML-Assertion – ein signiertes XML-Dokument, das die Identität des Benutzers und ggf. zusätzliche Attribute (z. B. Rollen) enthält.
  5. Übermittlung an SP: Die Assertion wird über den Browser (per Redirect oder POST) an den SP übermittelt.
  6. Zugriffserlaubnis: Der SP überprüft die Signatur und ggf. weitere Sicherheitsaspekte (Gültigkeitsdauer, Ziel-URL) und gewährt dann den Zugriff.

Technische Details

Assertion-Typen

  • Authentication Assertion: Bestätigt, dass der Benutzer authentifiziert wurde
  • Attribute Assertion: Enthält zusätzliche Informationen (z. B. Benutzerrollen, Gruppen)
  • Authorization Decision Assertion: Gibt an, ob ein Benutzer auf eine Ressource zugreifen darf

Sicherheitsmechanismen

  • Digitale Signaturen: Integrität und Authentizität der Assertion
  • SSL/TLS: Schutz des Transports
  • Expiration & Conditions: Einschränkungen bezüglich Zeit und Gültigkeit
  • Audience Restriction: Assertion darf nur von bestimmten SPs verwendet werden

Anwendungsbeispiele

  • Enterprise Single Sign-On (SSO): Benutzer melden sich einmal bei einem zentralen IdP an und erhalten Zugriff auf Dienste wie Salesforce, Google Workspace, Office 365.
  • Identitätsföderation zwischen Organisationen: Partnerunternehmen tauschen vertrauenswürdig Identitätsdaten aus.
  • Cloud Access Management: SAML dient als Brücke zwischen lokalen Identitätsdiensten (z. B. Active Directory) und Cloud-Anwendungen.

Vorteile

  • Benutzerfreundlichkeit: Einmal anmelden, auf mehrere Systeme zugreifen.
  • Sicherheitsvorteile: Zentrale Authentifizierung reduziert die Angriffsfläche (z. B. weniger Passworteingaben).
  • Standardisiert und breit unterstützt: Nahezu alle Enterprise- und Cloud-Anwendungen unterstützen SAML.
  • Zentrale Benutzerverwaltung: Rollen, Zugriffsrechte und Authentifizierungsrichtlinien werden zentral gesteuert.

Nachteile

  • Komplexität bei der Integration: Konfiguration von Trust-Relationships und XML-Sicherheit ist fehleranfällig.
  • Abhängigkeit von IdP-Verfügbarkeit: Fällt der IdP aus, können Benutzer nicht auf Dienste zugreifen.
  • Nicht ideal für moderne Mobile- und API-basierte Anwendungen: Hier sind OAuth2/OIDC besser geeignet.
  • Veraltete Technik in manchen Bereichen: SAML 2.0 ist robust, aber mittlerweile über 15 Jahre alt.

Fazit: Bewährter Standard mit Einschränkungen

SAML hat sich als Standard für sichere, föderierte Authentifizierung in Unternehmensumgebungen etabliert. Es ermöglicht eine konsistente und sichere Verwaltung von Benutzeridentitäten über zahlreiche Anwendungen hinweg. Trotz einiger technischer Herausforderungen und der Konkurrenz durch modernere Protokolle wie OpenID Connect (OIDC) bleibt SAML in vielen Unternehmen – insbesondere im Zusammenspiel mit etablierten Identitätsdiensten wie ADFS oder Shibboleth – ein unverzichtbarer Bestandteil der IT-Sicherheitsarchitektur.

Autor: Florian Deinhard Autor

LinkedIn Profil von: Florian Deinhard Florian Deinhard

Artikel erstellt: 23.04.2025
Artikel aktualisiert: 10.06.2025

zurück zur Übersicht

 
 
 
Diese Seite weiterempfehlen:
0
Merkzettel öffnen
0
Besuchsverlauf ansehen
IT-Schulungen.com Control Panel