Security Assertion Markup Language (SAML) is een open standaard voor uitwisseling authenticatie en autorisatiegegevens tussen partijen, specifiek tussen een identiteitsprovider en een serviceprovider. SAML maakt single sign-on (SSO) mogelijk, waardoor gebruikers zich één keer kunnen authenticeren en toegang krijgen tot meerdere toepassingen en diensten.

Wat is SAML?
Security Assertion Markup Language (SAML) is een op XML gebaseerde open standaard die is ontworpen voor het uitwisselen van authenticatie- en autorisatiegegevens tussen een identiteitsprovider en een serviceprovider. Het maakt mogelijk eenmalige aanmelding (SSO) door gebruikers in staat te stellen zich één keer te authenticeren en toegang te krijgen tot meerdere applicaties zonder de inloggegevens opnieuw in te voeren. SAML faciliteert de veilige uitwisseling van gebruikersidentiteitsinformatie door middel van beweringen, waaronder de authenticatiestatus, attributen en machtigingen van de gebruiker. Dit proces helpt het beheer van gebruikerstoegang te stroomlijnen en verbetert de beveiliging door authenticatieprocessen te centraliseren, waardoor het aantal gebruikers wordt verminderd wachtwoord vermoeidheiden het minimaliseren van het risico van aanvallen op basis van inloggegevens.
SAML wordt vaak gebruikt in bedrijfsomgevingen om de toegang tot te beheren cloud-gebaseerde applicaties en diensten, die ervoor zorgen dat authenticatiemechanismen robuust zijn en afgestemd zijn op het beveiligingsbeleid van de organisatie. De adoptie van SAML verbetert de gebruikerservaring door naadloze toegang tot bronnen te bieden met behoud van strenge beveiligingsnormen.
Hoe werkt SAML?
SAML werkt via een reeks stappen die veilige authenticatie en autorisatie mogelijk maken:
- De gebruiker probeert toegang te krijgen tot de applicatie van een serviceprovider.
- De serviceprovider leidt de gebruiker voor authenticatie door naar de identiteitsprovider.
- De identiteitsprovider verifieert de gebruiker, doorgaans via een inlogproces.
- Na succesvolle authenticatie genereert de identiteitsprovider een SAML-verklaring die de authenticatiestatus en -kenmerken van de gebruiker bevat en stuurt deze terug naar de serviceprovider.
- De serviceprovider valideert de SAML-bewering en waarborgt de integriteit en authenticiteit ervan.
- Na validatie krijgt de gebruiker toegang tot de applicatie van de serviceprovider zonder dat hij opnieuw hoeft in te loggen.
SAML Praktische toepassingen
SAML (Security Assertion Markup Language) heeft verschillende praktische toepassingen in verschillende domeinen, met name bij het verbeteren van de beveiliging en gebruikerservaring. Hier zijn enkele van de belangrijkste toepassingen:
- Eenmalig inloggen. Met SAML kunnen gebruikers zich één keer authenticeren en toegang krijgen tot meerdere applicaties zonder dat ze bij elke applicatie afzonderlijk hoeven in te loggen. Dit wordt vaak gebruikt in bedrijfsomgevingen waar werknemers toegang moeten hebben tot tal van interne en externe diensten.
- Federaal identiteitsbeheer. Met SAML kunnen organisaties een gemeenschappelijke identiteitsprovider gebruiken voor authenticatie tussen verschillende organisaties domeinen en ondernemingen. Dit is handig voor bedrijven die nauw samenwerken en bronnen veilig moeten delen zonder meerdere gebruikers te beheren databanken.
- Cloud diensten integratie. Veel cloud-gebaseerde applicaties en services, zoals Salesforce, Google Workspace en Microsoft 365, ondersteunen SAML voor authenticatie. Dankzij deze integratie hebben gebruikers toegang tot deze services met behulp van hun bedrijfsreferenties.
- Klantidentiteit en toegangsbeheer (CIAM). SAML kan worden gebruikt om de identiteit van klanten te beheren en naadloze toegang te bieden tot verschillende digitale diensten die door een bedrijf worden aangeboden. Dit verbetert de gebruikerservaring en veiligheid voor klanten die toegang hebben tot e-commerceplatforms, online bankieren en andere diensten.
- Toegang tot partnerapplicaties. Bedrijven werken vaak samen met partners en moeten veilige toegang bieden tot specifieke applicaties. SAML vergemakkelijkt veilige authenticatie voor partnergebruikers en zorgt ervoor dat alleen geautoriseerde personen toegang hebben tot gevoelige gegevens en applicaties.
- Naleving van de regelgeving. SAML helpt organisaties te voldoen aan wettelijke vereisten door een gestandaardiseerde manier te bieden voor het beheren en beveiligen van gebruikersidentiteiten en toegangscontroles. Dit is vooral belangrijk in sectoren met strikte regelgeving op het gebied van gegevensbescherming, zoals de gezondheidszorg en de financiële sector.
- Verminderde wachtwoordmoeheid. Door SAML voor SSO te gebruiken hoeven gebruikers slechts één set inloggegevens te onthouden, waardoor het risico op wachtwoordvermoeidheid wordt verminderd en de algehele beveiliging wordt verbeterd. Dit helpt de kans op zwakke of hergebruikte wachtwoorden in verschillende applicaties te minimaliseren.
- Verbeterde beveiligingshouding. SAML verbetert de beveiliging door authenticatieprocessen te centraliseren en het risico op op inloggegevens gebaseerde aanvallen te verminderen. Identiteitsproviders kunnen sterkere authenticatiemethoden implementeren, zoals multi-factor authenticatie (MFA), om de gebruikerstoegang verder te beveiligen.
- Gestroomlijnde gebruikersregistratie en de-registratie. SAML vergemakkelijkt efficiënt gebruikersaccountbeheer door het automatiseren van de provisioning en het ongedaan maken van de inrichting van gebruikerstoegang tot applicaties. Dit is met name handig in scenario's waarin gebruikers zich bij een organisatie aansluiten of verlaten, zodat de toegangsrechten snel worden bijgewerkt.
Voordelen van SAML-authenticatie
Dit zijn de belangrijkste voordelen van het gebruik van SAML voor authenticatie:
- Efficiënt inloggen. SAML maakt single sign-on mogelijk, waardoor gebruikers zich één keer kunnen authenticeren en toegang krijgen tot meerdere applicaties zonder dat ze voor elke applicatie afzonderlijk hoeven in te loggen. Dit verbetert de gebruikerservaring en productiviteit door het aantal inlogprompts te verminderen.
- Gecentraliseerde authenticatie. SAML centraliseert de authenticatie bij één enkele identiteitsprovider, waardoor het beheer van gebruikersreferenties wordt vereenvoudigd. Dit vermindert de administratieve overhead en zorgt voor een consistent authenticatiebeleid voor alle geïntegreerde applicaties.
- Verbeterde beveiliging. Door SAML te gebruiken kunnen organisaties sterkere beveiligingsmaatregelen implementeren op het niveau van de identiteitsprovider, waardoor de algehele beveiliging wordt verbeterd.
- Verminderde wachtwoordmoeheid. Gebruikers hoeven slechts één set inloggegevens te onthouden voor alle SAML-compatibele applicaties, waardoor de kans op wachtwoordmoeheid en de bijbehorende beveiligingsrisico's van zwakke of hergebruikte wachtwoorden worden verkleind.
- Naadloze integratie met cloud services. Veel cloud services en applicaties ondersteunen SAML, waardoor een naadloze integratie met bedrijfsauthenticatiesystemen mogelijk is. Hierdoor kunnen organisaties hun authenticatieframework veilig uitbreiden cloud-gebaseerde bronnen.
- Schaalbaarheid. SAML is ontworpen om eenvoudig te schalen en een groeiend aantal gebruikers en applicaties te kunnen huisvesten zonder significante wijzigingen in de authenticatie-infrastructuur.
- Interoperabiliteit. SAML is een open standaard die interoperabiliteit tussen verschillende systemen en platforms garandeert.
- Naleving van de regelgeving. Door SAML te implementeren, kunnen organisaties voldoen aan de wettelijke vereisten voor veilige toegang en identiteitsbeheer door een gestandaardiseerde benadering van authenticatie te bieden.
- Verminderde administratieve lasten. Met SAML wordt het inrichten en verwijderen van gebruikersvoorzieningen gestroomlijnd, waardoor de administratieve lasten voor IT-teams worden verminderd. Geautomatiseerde processen zorgen ervoor dat gebruikers de juiste toegangsniveaus hebben en dat de toegang onmiddellijk wordt ingetrokken wanneer deze niet langer nodig is.
- Verbeterde gebruikerservaring. De eenmalige aanmeldingsmogelijkheid van SAML en de verminderde noodzaak voor meerdere aanmeldingen verbeteren de algehele gebruikerservaring.
- Geminimaliseerd risico op aanvallen op basis van inloggegevens. Door de authenticatie te centraliseren en sterke authenticatiemethoden te gebruiken, helpt SAML het risico van op inloggegevens gebaseerde aanvallen, zoals Phishing en aanvallen met brute kracht.
Veelgestelde vragen over SAML
Hier vindt u de antwoorden op de meest gestelde vragen over SAML.
Wat is een SAML-bewering?
Een SAML-definitie is een op XML gebaseerd beveiligingstoken dat is uitgegeven door een identiteitsprovider en dat gebruikersauthenticatie- en autorisatiegegevens bevat. Het fungeert als een digitale verklaring over de identiteit en toegangsrechten van een gebruiker, die de serviceprovider gebruikt om toegang tot zijn bronnen te verlenen of te weigeren. De bewering bevat doorgaans informatie zoals de authenticatiestatus van de gebruiker, attributen (bijvoorbeeld naam, e-mail) en machtigingen.
Wat is SAML 2.0?
SAML 2.0 (Security Assertion Markup Language 2.0) bouwt voort op de originele SAML 1.0-standaard met verbeterde functies en beveiliging. SAML 2.0 maakt eenmalige aanmelding mogelijk, waardoor gebruikers zich één keer kunnen authenticeren en toegang krijgen tot meerdere applicaties, wat het gebruikersgemak en de veiligheid vergroot. Het maakt gebruik van op XML gebaseerde beweringen om identiteitsinformatie en authenticatiedetails over te brengen, waardoor de interoperabiliteit tussen verschillende systemen en platforms wordt vergemakkelijkt. SAML 2.0 is een integraal onderdeel van veilig toegangsbeheer in cloud services, federatief identiteitsbeheer en verschillende webgebaseerde applicaties.
Wat is een SAML-provider?
Een SAML-provider is een entiteit die betrokken is bij het proces van op SAML gebaseerde authenticatie en autorisatie, met name een identiteitsprovider (IdP) of een serviceprovider (SP). De identiteitsprovider verifieert de gebruiker en genereert SAML-beweringen, die de identiteitsgegevens van de gebruiker en toegangsreferenties bevatten. Deze beweringen worden vervolgens naar de Dienstverlener gestuurd, die ze gebruikt om de gebruiker toegang te verlenen tot zijn applicatie of dienst. Samen faciliteren deze providers veilige, eenmalige aanmeldingsmogelijkheden, waardoor naadloze en efficiënte gebruikerstoegang tot meerdere applicaties mogelijk wordt gemaakt, terwijl de beveiligingsmaatregelen worden gecentraliseerd en versterkt.
SAML-authenticatie versus gebruikersautorisatie
SAML-authenticatie en gebruikersautorisatie vervullen verschillende, maar complementaire rollen in het beveiligingsbeheer. SAML-authenticatie is het proces waarbij de identiteit van een gebruiker wordt geverifieerd via SAML-beweringen die zijn uitgegeven door een identiteitsprovider (IdP) en geaccepteerd door een serviceprovider (SP). Dit proces zorgt ervoor dat de gebruiker is wie hij beweert te zijn voordat hij een applicatie opent.
Aan de andere kant bepaalt gebruikersautorisatie welke acties de geauthenticeerde gebruiker binnen de applicatie mag uitvoeren op basis van vooraf gedefinieerde machtigingen en rollen. Terwijl SAML-authenticatie de identiteit van de gebruiker bevestigt, dwingt gebruikersautorisatie de toegangscontrole af, zodat gebruikers alleen toegang hebben tot bronnen en acties kunnen uitvoeren waarvoor zij toestemming hebben.
SAML versus OAuth
SAML-authenticatie en OAuth zijn beide protocollen die worden gebruikt voor autorisatie en authenticatie, maar ze dienen verschillende doeleinden en worden in verschillende contexten gebruikt. SAML wordt voornamelijk gebruikt voor eenmalige aanmelding in bedrijfsomgevingen, waardoor een veilige uitwisseling van authenticatie- en autorisatiegegevens tussen een identiteitsprovider en een serviceprovider mogelijk wordt gemaakt via op XML gebaseerde beweringen. Het is ideaal voor webgebaseerde toepassingen binnen organisatiedomeinen.
OAuth daarentegen is een op tokens gebaseerd autorisatieframework waarmee applicaties van derden toegang kunnen krijgen tot gebruikersbronnen zonder gebruikersreferenties vrij te geven. Het wordt vaak gebruikt in mobiele en webapplicaties om beperkte toegang tot gebruikersgegevens te verlenen, zoals in scenario's waarbij sociale media-integraties betrokken zijn.