SAML single sign on voor cloud applicaties

Security Assertion Markup Language (SAML) is een op XML gebaseerde open standaard die de noodzaak voor meerdere gebruikersnamen en wachtwoorden voor verschillende applicaties wegneemt. Het doet dit door de veilige uitwisseling van authenticatie- en autorisatiegegevens tussen applicaties te vergemakkelijken. SAML is een van de meest gebruikte standaarden om gebruikers met één klik veilige toegang te bieden tot meerdere cloud applicaties via single sign on (SSO). Alle belangrijke cloud applicaties ondersteunen SAML, waaronder Kantoor 365, Google Workspace (voorheen G Suite), Salesforce, Dropbox en ServiceNow.

ADSelfService Plus ondersteunt SSO voor alle SAML 2.0 compatibele cloud applicaties.

Hoe werkt SAML-authenticatie?

Voor SAML-verificatie zijn drie entiteiten vereist:

• een gebruiker: de persoon die toegang probeert te krijgen tot een service.
• een serviceprovider (SP): de app die de service levert (bijvoorbeeld Office 365 en Google Workspace (voorheen G Suite)).
• een identiteitsprovider (IdP): de toepassing die de gebruiker verifieert (bijvoorbeeld ADSelfService Plus).

In sommige gevallen zal de IdP zelf de identiteitsgegevens van de gebruiker opslaan en deze gebruiken voor authenticatie. In andere gevallen gebruikt het een andere identiteitsinfrastructuur voor authenticatie. ADSelfService Plus vergemakkelijkt gebruikersverificatie door gebruik te maken van Active Directory identiteiten.

Als u SAML-gebaseerde SSO wilt configureren, moeten de IdP en de SP vertrouwen tussen elkaar tot stand brengen. Het tot stand brengen van vertrouwen omvat meestal het configureren van de SP met de SSO inloggen URL, SSO uitloggen URL en X.509-certificaat dat door de IdP wordt gegeven, evenals het configureren van de IdP met de een paar unieke kenmerken die specifiek zijn voor de SP. Zodra het vertrouwen is gevestigd, zal de SP de authenticatie verantwoordelijkheden delegeren aan de IdP.

SAML SSO initiëren in ADSelfService Plus

Om SAML SSO in ADSelfService Plus te starten, kunnen gebruikers beginnen met de SP of de IdP. Dat betekent dat SAML SSO werkt, ongeacht of gebruikers eerst proberen in te loggen op hun cloud app of ADSelfService Plus om te beginnen.

SP-geïnitieerde SSO stroom

• Voor de door SP geïnitieerde SSO-stroom probeert een gebruiker eerst toegang te krijgen tot de SP.
• De SP genereert een SAML-verificatieverzoek en stuurt de gebruiker door naar de IdP (ADSelfService Plus) voor authenticatie.
• De IdP controleert of de gebruiker is geverifieerd of niet. Als dit niet het geval is, wordt de gebruiker gevraagd om zijn authenticatiegegevens in te voeren.
• Zodra de IdP is geverifieerd, genereert deze een SAML-antwoord.
• Nu leidt de IdP de gebruiker terug naar de SP, samen met het SAML-antwoord.
• De SP valideert het SAML-antwoord en verleent de gebruiker toegang.

Door IdP geïnitieerde SSO stroom:

• Voor de door IdP geïnitieerde SSO stroom meldt de gebruiker zich rechtstreeks aan bij de IdP (ADSelfService Plus).
• Eenmaal ingelogd, klikt de gebruiker op het SP-pictogram in de app catalogus van ADSelfService Plus.
• ADSelfService Plus leidt de gebruiker vervolgens om naar de SP, samen met een SAML-antwoord.
• De SP ontvangt het SAML-antwoord en valideert deze.
• Na validatie krijgt de gebruiker toegang.

ADSelfService Plus ondersteunt zowel door IdP geïnitieerde als door SP geïnitieerde SAML SSO-stromen voor de meeste cloud applicaties in de app catalogus.

Voordelen van SAML

Verbeterde beveiliging: bij SAML-verificatie zijn geen wachtwoorden betrokken. Alleen digitaal ondertekende SAML-aanvragen en antwoorden worden verzonden tussen de SP en ADSelfService Plus. Omdat er geen wachtwoorden bij betrokken zijn, helpt het wachtwoordgerelateerde bedreigingen te verminderen.

Ondersteund door duizenden cloud apps: bijna alle moderne cloud apps ondersteunen SAML. U kunt SSO eenvoudig inschakelen voor meerdere apps met behulp van ADSelfService Plus.

Toegang met één klik: SAML verbetert de gebruikerservaring door de noodzaak te elimineren om meerdere keren per werkdag in te loggen om toegang te krijgen tot verschillende apps.

Minder belasting van informatietechnologie: als SAML SSO is ingeschakeld, hoeven informatietechnologie beheerders zich geen zorgen te maken over wachtwoordgerelateerde helpdeskoproepen of het beheren van identiteiten in meerdere services.

SAML SSO implementeren voor cloud apps

Wilt u SAML SSO implementeren voor uw cloud apps? Probeer ADSelfService Plus En bied uw gebruikers met één klik naadloze toegang tot cloud apps. Lees dit witboek voor meer informatie over het inschakelen van SAML SSO op basis van Active Directory voor cloud apps. 

ADSelfService Plus ondersteunt SSO voor alle SAML 2.0 compatibele cloud applicaties. Als u een aangepaste bedrijfstoepassing hebt, kunt u SSO ook voor die toepassing inschakelen met behulp van ADSelfService Plus. Klik hier voor meer informatie over SSO voor aangepaste toepassingen.