SAML-SSO für Cloud-Anwendungen

SAML (Security Assertion Markup Language) ist ein XML-basierter offener Standard, der den Bedarf nach zahlreichen anwendungsspezifischen Benutzernamen und Passwörtern aus der Welt schafft. Dies wird durch sicheren Austausch von Authentifizierungs- und Autorisierungsdaten zwischen Anwendungen erreicht. SAML zählt zu den meist genutzten Standards, die Benutzer sicheren Ein-Klick-Zugriff auf etliche Cloud-Anwendung per Einmalanmeldung (SSO) ermöglichen. Alle größeren Cloud-Anwendungen unterstützen SAML, darunter Office 365, Google Workspace (vormals G Suite), Salesforce, Dropbox, und ServiceNow.

ADSelfService Plus unterstützt SSO für sämtliche SAML-2.0-fähigen Cloud-Anwendungen.

Wie funktioniert die SAML-Authentifizierung?

Die SAML-Authentifizierung benötigt drei Entitäten:

• Einen Benutzer – die Person, die einen Service aufruft.
• Einen Serviceanbieter (SP) – die Applikation, die den Service bereitstellt (z. B. Office 365 und Google Workspace(G Suite).
• Einen Identitätsanbieter (IdP) – die Applikation, die den Nutzer authentifiziert (zum Beispiel ADSelfService Plus).

In manchen Fällen speichert der Identitätsanbieter des Benutzers selbst und nutzt diese zur Authentifizierung. In anderen Fällen wird eine andere Identitätsinfrastruktur zur Authentifizierung eingesetzt. ADSelfService Plus ermöglicht Benutzerauthentifizierung durch Einsatz von Active-Directory-Identitäten.

Zum Konfigurieren SAML-basierter Einmalanmeldung müssen Identitätsanbieter und Serviceanbieter eine gegenseitige Vertrauensverbindung aufbauen. Beim Aufbau eines solchen Vertrauens wird gewöhnlich der Serviceanbieter mit der SSO-Anmeldung-URL und SSO-Abmeldung-URL sowie einem vom Identitätsanbieter ausgestellten X.509-Zertifikat konfiguriert. Der Identitätsanbieter dagegen wird mit einigen eindeutigen spezifischen Serviceanbieterattributen konfiguriert. Sobald das Vertrauen aufgebaut wurde, delegiert der Serviceanbieter Authentifizierungsverantwortlichkeiten an den Identitätsanbieter.

SAML-SSO in ADSelfService Plus initiieren

Zum Initiieren der SAML-SSO in ADSelfService Plus können Anwender mit dem Serviceanbieter oder dem Identitätsanbieter beginnen. Das bedeutet, dass SAML-SSO grundsätzlich funktioniert – unabhängig davon, ob sich Anwender zuerst an der Cloud-App oder an ADSelfService Plus anmelden.

Vom Serviceanbieter initiierter SSO-Ablauf

• Beim vom Serviceanbieter initiierten SSO-Ablauf beginnt der Anwender, indem er Zugriff auf den Serviceanbieter versucht.
• Der Serviceanbieter erzeugt eine SAML-Authentifizierungsanfrage und leitet den Benutzer zur Authentifizierung zum Identitätsanbieter (ADSelfService Plus) weiter.
• Der Identitätsanbieter prüft, ob der Benutzer bereits authentifiziert ist. Falls nicht, wird der Benutzer gebeten, seine Authentifizierungsdaten einzugeben.
• Nach erfolgreicher Authentifizierung erzeugt der Identitätsanbieter eine SAML-Antwort.
• Nun wird der Benutzer vom Identitätsanbieter mit der SAML-Antwort im Gepäck wieder zum Serviceanbieter geleitet.
• Der Serviceanbieter prüft die SAML-Antwort und gewährt dem Benutzer Zugriff.

Vom Identitätsanbieter initiierter SSO-Ablauf:

• Beim vom Identitätsanbieter initiierten SSO-Ablauf meldet sich der Benutzer direkt beim Identitätsanbieter (ADSelfService Plus) an.
• Nach erfolgter Anmeldung klickt der Benutzer auf das Symbol des Serviceanbieters im App-Katalog von ADSelfService Plus.
• ADSelfService Plus leitet den Benutzer alsdann zum Serviceanbieter weiter und übermittelt dabei eine SAML-Antwort.
• Der Serviceanbieter erhält die SAML-Antwort und prüft diese.
• Nach erfolgreicher Prüfung erhält der Benutzer Zugriff.

ADSelfService Plus unterstützt sowohl vom Identitätsanbieter als auch vom Serviceanbieter initiierte SAML-Abläufe zu den meisten Cloud-Anwendungen in seinem App-Katalog.

SAML-Vorteile

Verbesserte Sicherheit: SAML-Authentifizierung kommt ohne Passwörter aus. Ausschließlich digital signierte SAML-Anfragen und -Antworten werden zwischen Serviceanbieter und ADSelfService Plus übertragen. Da auf Passwörter verzichtet wird, werden damit automatisch passwortbezogene Bedrohungen ausgeschlossen.

Von tausenden Cloud-Apps unterstützt: Fast alle modernen Cloud-Apps unterstützen SAML. Mit ADSelfService Plus können Sie SSO ganz einfach für mehrere Apps aktivieren.

Ein-Klick-Zugriff: SAML verbessert die Erfahrung der Benutzer, da sie sich nicht mehr etliche Male pro Tag an unterschiedlichen Anwendungen anmelden müssen.

Entlastung der IT: Wenn SAML-SSO aktiv ist, müssen sich IT-Administratoren nicht mehr um passwortbezogene Helpdesk-Anrufe oder um das Identitätsmanagement bei etlichen Services kümmern.

SAML-SSO für Cloud-Apps implementieren

Sie möchten SAML-SSO für Ihre Cloud-Apps implementieren? Probieren Sie ADSelfService Plus aus und geben Sie Ihren Benutzern nahtlosen Ein-Klick-Zugriff auf Cloud-Apps an die Hand. Lesen Sie dieses Whitepaper zum Aktivieren der Active-Directory-basierten SAML SSO für Cloud-Apps.

ADSelfService Plus unterstützt SSO für sämtliche SAML-2.0-fähigen Cloud-Anwendungen. Wenn Sie mit einer maßgeschneiderten Anwendung arbeiten, können Sie mit ADSelfService Plus SSO auch für diese Anwendung aktivieren. Hier erfahren Sie mehr zum Thema SSO für maßgeschneiderte Anwendungen.