This is the Trace Id: 19e116935de484659450a18a98cd83d5
Põhisisu juurde Microsoft Defender Microsoft Entra Microsoft Intune Microsoft Purview Microsoft Security Copilot Microsoft Sentinel Kuva kõik tooted Tehisintellektipõhine küberturve Pilvepõhine turve Andmete turvalisus ja juhtimine Identiteet ja juurdepääs võrgule Privaatsus ja riskihaldus Turvalisus tehisintellekti jaoks Väikese ja keskmise suurusega ettevõte Ühtne SecOps Täisusaldamatus Hinnakiri Teenused Partnerid Miks valida Microsofti turbeteenus Küberturve teadlikkus Kliendilood Sissejuhatus turbesse Toote prooviversioonid Valdkonnatunnustus Microsoft Security Insider Microsofti digitaalse kaitse aruanne Küberturbe reageerimiskeskus Microsofti turbeajaveeb Microsofti turbeüritused Microsoft Tech Community Dokumentatsioon Tehniline sisuteek Koolitus ja serdid Microsofti pilvteenuste vastavusprogramm Microsofti usalduskeskus Teenuste usaldusväärsuse portaal Microsofti turvalise tuleviku algatus Ärilahenduste keskus Võtke ühendust müügiosakonnaga Tasuta prooviversiooni kasutamise alustamine Microsofti turve Azure Dynamics 365 Microsoft 365 Microsoft Teams Windows 365 Microsoft AI Azure Space Hübriidreaalsus Microsoft HoloLens Microsoft Viva Kvantarvuti Haridus Autotööstus Finantsteenused Riigiasutused Tervishoid Tootmine Jaemüük Partneri otsimine Saage partneriks Partnervõrgustik Microsoft Marketplace Tarkvaraettevõtted Ajaveeb Microsoft Advertising Arenduskeskus Dokumentatsioon Sündmused Litsentseerimine Microsoft Learn Microsoft Research Kuva saidikaart
Mobiilseadet käes kasutav inimene

Mis on SAML?

Lugege, kuidas valdkonna standardprotokoll SAML ehk turvadeklaratsioonide märgistuskeel aitab turbemeetmeid tugevdada ja pakkuda paremat sisselogimiskogemust.
Microsoft Entra ID tutvustus

SAML-i määratlus

SAML on tehnoloogia, mis võimaldab inimestel ühe identimisteabega üks kord sisse logides pääseda juurde mitmele rakendusele. Identiteedipakkujad, näiteks Microsoft Entra ID, kontrollivad sisse logiva kasutaja identiteeti ning edastavad siis SAML-i abil need autentimisandmed kasutaja soovitud saiti, teenuste või rakendust käitavale teenusepakkujale.

Mileks SAML-i kasutatakse?

SAML aitab turvalisust ettevõtete jaoks suurendada ning lihtsustab töötajate, partnerite ja klientide jaoks sisselogimist. Organisatsioonid kasutavad seda, et võimaldada ühekordset sisselogimist, mis võimaldab inimestel kasutada ühte kasutajanime ja parooli mitme saidi, teenuse ja rakenduse kasutamiseks. Mida vähem paroole peavad inimesed meelde jätma, seda lihtsam neil on, kuid üksiti vähendab see ka ohtu, et mõni neist paroolidest varastatakse. Organisatsioonid saavad määrata ka turbestandardid autentimiste jaoks kõigis oma SAML-toega rakendustes. Näiteks saavad nad nõuda mitmikautentimist enne, kui inimesed pääsevad juurde kohapealsele võrgule ja rakendustele, nagu Salesforce, Concur ja Adobe.

SAML aitab organisatsioonidel lahendada järgmisi kasutusjuhtumeid:

Identiteedi- ja juurdepääsuhalduse ühendamine:

Autentimise ja autoriseerimise haldamine ühes süsteemis aitab IT-meeskondadel märkimisväärselt vähendada aega, mis neil kulub kasutajate ettevalmistamiseks ja identiteetidele õiguste andmiseks.

Täisusaldamatuse lubamine:

Täisusaldamatuse turbestrateegia nõuab, et organisatsioonid kontrolliksid iga juurdepääsupäringut ja piiraksid juurdepääsu delikaatsele teabele ainult inimestele, kes seda vajavad. Tehnikud saavad SAML-i abil rakendada poliitikad (nt mitmikautentimise ja tingimuspääsu) kõigile rakendustele. Samuti saavad nad lubada rangemaid turbemeetmeid, näiteks jõustada parooli lähtestamise, kui mõne kindla kasutaja risk on tema käitumise, seadme või asukoha tõttu tavapärasest suurem.

Töötajakogemuse rikastamine:

Lisaks juurdepääsu lihtsustamisele saavad IT-töötajad lisada ka sisselogimislehtedele kaubamärgikujunduse, et pakkuda inimestele ühtset kasutuskogemust kõigis rakendustes. Iseteenindusfunktsioonid, mis võimaldavad inimestel hõlpsasti ise oma paroole lähtestada, aitavad töötajatel aega kokku hoida.

Mis on SAML-i teenusepakkuja?

SAML-i teenusepakkuja on süsteem, mis jagab identiteetide autentimise ja autoriseerimise andmeid teiste teenusepakkujatega. SAML-i teenusepakkujaid on kahte tüüpi.
 
  • Identiteedipakkujad autentivad ja autoriseerivad kasutajaid. Nemad esitavad sisselogimislehe, kus kasutaja saab oma identimisteabe sisestada. Samuti jõustavad nad turbepoliitikaid, nõudes näiteks mitmikautentimist või paroolilähtestust. Kui kasutaja on autoriseeritud, edastavad identiteedipakkujad andmed teenusepakkujatele. 

  • Teenusepakkujad on rakendused ja veebisaidid, millele inimesed soovivad juurde pääseda. Selle asemel, et nõuda inimestelt igasse rakendusse eraldi sisselogimist, konfigureerivad teenusepakkujad oma lahendused SAML-i autoriseerimist usaldama ning lubavad identiteedipakkujatel identiteete kontrollida ja juurdepääsu autoriseerida. 

Kuidas SAML-i autentimine töötab?

SAML-i autentimise korral jagavad teenusepakkujad ja identiteedipakkujad üksteisega sisselogimisandmeid ja kasutajaandmeid veendumaks, et iga juurdepääsu taotlev isik on autenditud. Enamasti toimib see järgmiselt.
 
  1. Töötaja alustab tööd, logides sisse identiteedipakkuja esitatud sisselogimislehel.

  2. Identiteedipakkuja kontrollib, kas töötaja on see, kelle ta väidab end olevat. Selleks kontrollitakse üle teatud autentimisandmete (nt kasutajanime, parooli, PIN-koodi, seadme või biomeetriliste tunnuste) kombinatsioon.

  3. Töötaja käivitab teenusepakkuja rakenduse, näiteks Microsoft Wordi või Workday. 

  4. Teenusepakkuja suhtleb identiteedipakkujaga veendumaks, et töötajal on õigus seda rakendust kasutada.

  5. Identiteedipakkujad saadavad vastu autoriseerimise ja autentimise.

  6. Töötaja pääseb rakendusele juurde ilma uuesti sisse logimata.

Mis on SAML-i identsustõend?

SAML-i identsustõend on XML-dokument andmetega, mis kinnitavad teenusepakkujale, et sisse logiv inimene on autenditud.
 
Tõendeid on kolme tüüpi:

  • Autentimise kinnitus tuvastab kasutaja ning sisaldab sisselogimise aega ja kasutatud autentimise tüüpi, näiteks parooli või mitmikautentimist.

  • Atribuutide kinnitus edastab SAML-tõendi pakkujale. See tõend sisaldab kindlaid andmeid kasutaja kohta.

  • Autoriseerimisotsuse kinnitus teatab teenusepakkujale, kas kasutaja on autenditud või keeldutakse sellest kas tema identimisteabe probleemi tõttu või seetõttu, et tal puuduvad selle teenuse jaoks õigused. 

SAML ja OAuth

Nii SAML kui ka OAuth hõlbustavad inimestel mitmele teenusele juurde pääsemist ilma igasse teenusesse eraldi sisse logimata. Need protokollid kasutavad siiski erinevat tehnoloogiat ja protsesse. SAML kasutab XML-i, et lubada inimestel sama identimisteabe abil mitmele teenusele juurde pääseda, OAuth aga kasutab autoriseerimisandmete edastamiseks JWT-d või JavaScripti objektiesitust.

OAuthi korral valivad inimesed teenusesse sisselogimiseks kolmanda osapoole kaudu autoriseerimise, näiteks oma Google’i või Facebooki konto, mitte ei loo teenuse jaoks uut kasutajanime või parooli. Autoriseerimine edastatakse samal ajal kasutaja parooli kaitsmisega.

SAML-i roll ettevõtetes

SAML aitab ettevõtetel toetada hübriidtöökohtades nii tööviljakust kui ka turvalisust. Kuna aina enam inimesi töötab kodukontoris, on äärmiselt oluline võimalus pääseda ettevõtte ressurssidele hõlpsalt juurde täpselt seal, kus nad parajasti viibivad, ent ilma õigete turbemeetmeteta suurendab lihtne juurdepääs turbemurrete ohtu. SAML-i abil saavad ettevõtted ja asutused sisselogimisprotsessi töötajate jaoks sujuvamaks muuta, viies samas kõigis töötajate kasutatavates rakendustes sisse tugevad poliitikad, näiteks mitmikautentimist ja tingimuspääsu.

Alustamiseks peaksid organisatsioonid investeerima mõnda identiteedipakkuja lahendusse, näiteks Microsoft Entra ID. Microsoft Entra ID kaitseb kasutajaid ja andmeid sisseehitatud turbemeetmetega ning koondab identiteedihalduse ühte lahendusse. Iseteenindus ja ühekordne sisselogimine aitavad töötajatel tõhusalt ja viljakalt tööd teha. Lisaks tuleb Microsoft Entra ID-ga kaasa sisseehitatud SAML-i integratsioon tuhandete rakendustega, mille hulgas on näiteks Zoom, DocuSign, SAP Concur, Workday ja Amazon Web Services (AWS).
Ressursid

Lisateave Microsofti turbeteenuse kohta

  1.
Naine vaatamas koodi monitoril

Microsofti identiteet ja juurdepääs

Uurige lähemalt Microsofti pakutavaid laiahaardelisi identiteedi- ja juurdepääsulahendusi.
Lisateave

Microsoft Entra ID

Ettevõtet aitab kaitsta sujuv identiteedilahendus.
Lisateave
Naine kasutamas sülearvutit konverentsiruumis

Ühekordne sisselogimine

Ühekordne sisselogimine (SSO) lihtsustab juurdepääsu teie tarkvarateenuste (SaaS) rakendustele, pilvrakendustele ja kohapealsetele rakendustele.
Lisateave
Naine kasutamas tahvelarvutit hämaras valguses

Mitmikautentimine

Kaitske oma asutuse turvalisust kaotsiläinud või varastatud identimisteabest tingitud turbemurrete eest.
Lisateave
Kolleegid vaatamas üle tööd monitoridel

Tingimuspääs

Reaalajas kohanduvad poliitikad võimaldavad kasutusele võtta üksikasjaliku juurdepääsu reguleerimise.
Lisateave
Sülearvutitega mees ja naine istuvad laua taga.

Rakenduste valmisintegratsioonid

Valmisintegratsioonid võimaldavad kasutajatel luua rakendustega turvalisema ühenduse.
Lisateave
Mustas mantlis naine vaatamas oma telefoni kollase musta noolega märgi lähedal.

Identiteetide ja juurdepääsu ajaveeb

Püsige kursis identiteedi- ja juurdepääsuhalduse uusimate teooriate ja aruteludega.
Lisateave
Tagasi navigeerimise karuselljuhtelementide juurde
KKK

Korduma kippuvad küsimused

  • SAML hõlmab järgmisi komponente:
     
    • Identiteediteenuse pakkujad autentivad ja autoriseerivad kasutajaid. Nad esitavad sisselogimislehe, kus inimesed saavad oma identimisteabe sisestada, ning rakendavad turbepoliitikaid (nõudes näiteks mitmikautentimist või paroolilähtestust). Kui kasutaja on autoriseeritud, edastavad identiteedipakkujad andmed teenusepakkujatele.

    • Teenusepakkujad on rakendused ja veebisaidid, millele inimesed soovivad juurde pääseda. Selle asemel, et nõuda inimestelt igasse rakendusse eraldi sisselogimist, konfigureerivad teenusepakkujad oma lahendused SAML-i autoriseerimist usaldama ning lubavad identiteedipakkujatel identiteete kontrollida ja juurdepääsu autoriseerida.

    • Metaandmed kirjeldavad, kuidas identiteedipakkujad ja teenusepakkujad vahetavad kinnitusi, sealhulgas lõpp-punkte ja tehnoloogiat.

    • Kinnitus on autentimisandmed, mis kinnitavad teenusepakkujale, et sisselogiv isik on autenditud.

    • Allkirjastamissertifikaadid loovad usalduse identiteedipakkuja ja teenusepakkuja vahel, kinnitades, et kinnitusega ei manipuleeritud kahe pakkuja vahel liikumisel.

    • Süsteemikell kinnitab, et teenusepakkujal ja identiteedipakkujal on sama aeg, et kaitsta kordusrünnete eest.
  • SAML pakub organisatsioonidele, nende töötajatele ja partneritele järgmisi eeliseid ja hüvesid:
     
    • Täiustatud kasutuskogemus. SAML võimaldab asutustel ja ettevõtetel luua ühekordset sisselogimist kasutava keskkonna, et töötajad ja partnerid peaksid kõigile oma rakendustele juurdepääsuks sisse logima ainult üks kord. See muudab töö lihtsamaks ja mugavamaks, kuna meeldejätmist nõudvaid paroole on vähem ning kasutajad ei pea tööriista vahetades iga kord uuesti sisse logima.

    • Parem turve. Vähemate paroolide kasutamine vähendab kontode ründe ohvriks langemise riski. Lisaks saavad turbemeeskonnad kasutada SAML-i kõigile rakendustele tugeva turbepoliitika rakendamiseks. Näiteks saavad nad sisselogimiseks nõuda mitmikautentimist või rakendada tingimusjuurdepääsu põhimõtteid, mis piiravad, millistele rakendustele ja andmetele inimesed juurde pääsevad.

    • Ühtne haldus. SAML-i kasutamine võimaldab tehnikutel hallata identiteete ja turbepoliitikaid ühes lahenduses koos – neil pole vaja kasutada iga rakenduse jaoks omaette halduskonsooli. See lihtsustab kasutajate ettevalmistamist oluliselt.
  • SAML on avatud standardil põhinev XML-tehnoloogia, mis võimaldab identiteedipakkujatel (nt Microsoft Entra ID) edastada autentimisandmeid teenusepakkujale, näiteks SaaS-rakendusele.
    Ühekordse sisselogimise korral tuleb inimestel sisse logida ainult üks kord ning seejärel pääsevad nad juurde mitmele veebisaidile ja rakendusele. SAML lubab ühekordse sisselogimise, ent ühekordset sisselogimist saab kasutada ka teiste tehnoloogiatega.
  • LDAP (Lightweight Directory Access Protocol ehk lihtsustatud kataloogisirvimise protokoll) on identiteedihalduse protokoll, mida kasutatakse kasutajaidentiteetide autentimiseks ja autoriseerimiseks. Kuna paljud teenusepakkujad toetavad LDAP-d, võib see olla ühekordse sisselogimise jaoks hea lahendus. Siiski tuleb arvestada, et tegemist on vanema tehnoloogiaga, mis veebirakenduste korral nii hästi ei toimi.

    SAML on uuem tehnoloogia, mis on saadaval enamikus veebi- ja pilvrakendustes. Seetõttu on see tsentraliseeritud identiteedihalduse jaoks parem valik.
  • Mitmikautentimine (MFA) on turbemeede, mis nõuab inimestel oma identiteedi tõendamiseks rohkem kui ühe variandi kasutamist. Enamasti on selleks vaja midagi sellist, mis on inimesel olemas (nt seade), ja lisaks veel midagi sellist, mida inimene teab (nt parool või PIN-kood). SAML lubab tehnikutel mitmikautentimist rakendada mitmel veebisaidil ja rakenduses. Tehnikud saavad valida, kas rakendada see autentimistase kõigile SAML-iga integreeritud rakendustele või kasutada mitmikautentimist üksnes mõne, mitte kõigi rakenduste jaoks.

Jälgige Microsofti turbeteenust

Copilot organisatsioonidele Copilot isiklikuks kasutuseks Microsoft 365 Windows 11 rakendused Konto profiil Allalaadimiskeskus Tagastused Tellimuse jälgimine Ringlussevõtt Commercial Warranties Microsoft Education Haridusseadmed Microsoft Teams haridusasutustele Microsoft 365 Education Office Education Haridustöötajate koolitus ja arendus Pakkumised õpilastele ja vanematele Azure õpilastele
Microsoft AI Microsofti turve Azure Dynamics 365 Microsoft 365 Microsoft Advertising Microsoft 365 Copilot Microsoft Teamsi jaoks Microsofti arendaja Microsoft Learn Tehisintellekti-turuplatsi rakenduste tugi Microsofti tehnoloogiakogukond Microsoft Marketplace Microsoft Power Platform Tarkvaraettevõtted Visual Studio Töökohad Teave Microsofti kohta Privaatsus Microsoftis Investorid
Eesti (Eesti) Tarbijaseisundi privaatsus Võtke Microsoftiga ühendust Privaatsus Halda küpsiseid Kasutustingimused Kaubamärgid Reklaamide kohta EU Compliance DoCs