Security-Assertion-Markup-Language-Protokoll in der Praxis

Single-Sign-On statt Login-Marathon

Identity Provider - das zentrale Steuerelement

Der Identity Provider ist das Kernelement eines solchen SAML-Single-Sign-On-Systems. Er wird im Unternehmensnetzwerk eingerichtet, verfügt über ein Nutzerverzeichnis und kennt die Authentifizierungsmechanismen der Webdienste. Im Identity Provider lassen sich für die unternehmensinternen Nutzer Konten anlegen, in denen der Administrator nutzerspezifisch festlegen kann, welchem Mitarbeiter welche Webanwendungen wann zugänglich gemacht werden.

Bei einer SAML-Integration, beispielsweise bei der Enterprise-Linux-Distribution Univention Corporate Server (UCS), lässt sich der Zugriff auf Cloud-Dienste direkt mit der Active-Directory-Benutzerverwaltung administrieren - entweder auf Microsoft Server über den Active Directory Connector oder auf UCS in den integrierten, auf Samba basierenden Active-Directory-Diensten. Administratoren entsteht damit kein zusätzlicher Mehraufwand, da der SAML-Identity-Provider die jeweiligen Berechtigungen eines Nutzers direkt aus Active Directory ausliest.

Einmalig: Nach dem ersten Login stehen alle weiteren abgesicherten Dienste und Services sofort ohne weiter Authentifizierung zur Verfügung.
Einmalig: Nach dem ersten Login stehen alle weiteren abgesicherten Dienste und Services sofort ohne weiter Authentifizierung zur Verfügung.

Nach dem Login am Identity Provider kann der Mitarbeiter dann an seinem Client sämtliche für ihn freigegebene Webdienste ohne weitere Login-Vorgänge nutzen. Er ruft einfach in seinem Browser die Anwendung auf und es öffnet sich direkt die Arbeitsoberfläche. Der Identity Provider hat in der Zwischenzeit die Berechtigung des Nutzers anhand der hinterlegten Kontoeinstellungen geprüft, einen sicheren SAML-Token generiert, diesen an den Webdienst geschickt und den Nutzer damit authentifiziert.

Damit der Service Provider den Token auch akzeptiert, tauschen bei der Einrichtung des Webdienstes der Identity Provider und der Dienste-Anbieter Zertifikate aus, durch die sich beide Seiten fortan als vertrauenswürdig ausweisen. Statt der üblichen Login-Daten werden bei einer Anmeldung eines Nutzers beim Service Provider anschließend nur noch Informationen übertragen, mit denen kein Dritter Zugang zu der Anwendung erlangen kann.

Für den Anwender im Unternehmen hat SAML damit den Vorteil, dass er sich nicht mehr für jeden Dienst seine individuellen Login-Daten merken und diese bei der Anmeldung eingeben muss, sondern unmittelbar Zugriff auf die Arbeitsoberfläche sowie sämtliche anderen Inhalte hat, für die er berechtigt ist. Ruft er eine andere Anwendung auf, ist diese ebenso sofort verfügbar - vorausgesetzt, der Nutzer ist im Identity Provider auch dafür freigeschaltet.