SAML zur Integration in Identitätsanbietern
Security Assertion Markup Language (SAML) ist ein XML-basierter offener Standard für die Authentifizierung und Autorisierung. Einer der Hauptvorteile von SAML besteht darin, dass Single Sign-On (SSO) möglich ist und daher die Anzahl der Male, die ein Benutzer sich bei Cloud-Anwendungen und Websites anmelden muss, minimiert wird.
Am Authentifizierungsprozess sind drei Entitäten beteiligt:
-
Der Benutzer initiiert den Zugriff auf eine Anwendung oder einen Dienst.
-
Der Identitätsanbieter (IdP) ist das vertrauenswürdige System für die Benutzerauthentifizierung, beispielsweise Microsoft Entra ID oder Okta.
-
Der Dienstanbieter (SP) ist die Anwendung oder der Dienst, bei dem sich der Benutzer anmelden möchte, beispielsweise Qlik Cloud.
Der Identitätsanbieter authentifiziert den Benutzer und bestätigt die Identität des Benutzers gegenüber dem Dienstanbieter. Hierzu werden auf digitalem Weg signierte XML-Dokumente ausgetauscht, die als SAML-Assertions bezeichnet werden. Diese Assertions enthalten Informationen zum Benutzer, dessen Authentifizierungsstatus und mögliche weitere Attribute. Der Dienstanbieter kann dem Benutzer dann Zugriff auf seine Dienste gewähren. Wenn beim Identitätsanbieter SSO aktiviert ist, kann der Benutzer auf mehrere Dienstanbieter-Sites und -Anwendungen zugreifen, ohne sich bei jeder Site anmelden zu müssen.
Vom SP und vom IdP initiiertes SSO
SAML unterstützt Anmeldeabläufe, die vom Dienstanbieter (SP) oder vom Identitätsanbieter (IdP) initiiert wurden.
Bei SP-initiiertem SSO beginnt der Benutzer auf der Dienstanbieter-Site, aber anstelle einer Anmeldung bei der Site wird die SSO-Authentifizierung beim Identitätsanbieter initiiert. Wenn sich beispielsweise ein Benutzer bei Qlik Cloud – dem Dienstanbieter– anmeldet, wird die Anmeldung an den Identitätsanbieter weitergeleitet, der die eigentliche SSO-Authentifizierung bearbeitet.
Bei IdP-initiiertem SSO meldet sich der Benutzer direkt beim Identitätsanbieter an und wählt die Anwendung aus. Diese initiiert die SSO-Authentifizierung beim Dienstanbieter.
Assertions
Assertions sind XML-basierte Anweisungen, die Authentifizierungs- und Autorisierungsinformationen in einem Standardformat enthalten. Sie werden vom Identitätsanbieter generiert und vom Dienstanbieter überprüft.
Im Fall einer Integration mit Identitätsanbietern müssen Sie möglicherweise Ihre Anwendung für den sicheren Austausch von SAML-Assertions konfigurieren. Dazu zählt die Einrichtung von Vertrauensbeziehungen, Endpunkt-URLs und Zertifikatsaustausch.
Ansprüche
Ansprüche sind Informationselemente über einen Benutzer, die während des Authentifizierungsprozesses vom Identitätsanbieter bestätigt und an den Dienstanbieter gesendet werden. SAML definiert eine Reihe von Standardansprüchen, die Benutzerattribute wie Name und E-Mail umfassen. Sie können die Anspruchszuordnung je nach den Anforderungen Ihrer Anwendung ändern.
Metadaten
Der Austausch von Metadaten zwischen dem Identitätsanbieter (IdP) und dem Dienstanbieter (SP) ist wesentlich, um eine Vertrauensbeziehung einzurichten und dafür zu sorgen, dass das SAML-Protokoll ordnungsgemäß funktioniert.
IdP-Metadaten
Für die Einrichtung des Dienstanbieters sind Metadaten zum Identitätsanbieter erforderlich. In Qlik Cloud können Sie diese Informationen als IdP-Metadatendateien über das Aktivitätscenter Verwaltung hochladen.
Zu den Metadaten des Identitätsanbieters zählen folgende:
-
Die Entitäts-ID des Identitätsanbieters.
-
Die SSO-URL (Single Sign-On). Dies ist der Endpunkt, an den die SAML-Authentifizierungsanforderungen vom Dienstanbieter an den Identitätsanbieter gesendet werden. An diese URL wird der Benutzer zur Authentifizierung umgeleitet.
-
Das Signaturzertifikat, das vom Identitätsanbieter zum Signieren der an den Dienstanbieter gesendeten SAML-Assertions verwendet wird.
SP-Metadaten
Zur Einrichtung der Konfiguration auf Identitätsanbieterseite benötigen Sie die Metadaten des Dienstanbieters. Diese Informationen finden Sie im Aktivitätscenter Verwaltung in Qlik Cloud.
Zu den Metadaten des Dienstanbieters zählen folgende:
-
Die Entitäts-ID des Dienstanbieters.
-
Die ACS-URL (Assertion Consumer Service). Hierhin sendet der Identitätsanbieter die SAML-Assertions nach der Authentifizierung.
-
Das Signaturzertifikat, das vom Dienstanbieter zum Signieren der an den Identitätsanbieter gesendeten Authentifizierungsanforderungen verwendet wird.