Show TOC

SAML 2.0Locate this document in the navigation structure

Version 2.0 der Security Assertion Markup Language (SAML) ist ein Standard für die Kommunikation von Assertions über Principals, normalerweise Benutzer. Die Assertion kann die Mittel beinhalten, mit denen ein Subjekt authentifiziert wurde, mit dem Subjekt assoziierte Attribute und eine Berechtigungsentscheidung für eine gegebene Ressource.

Die größten Vorteile von SAML 2.0 sind Folgende:

  • SSO mit SAML 2.0

    SAML bietet einen Standard für domänenübergreifendes Single Sign-On (SSO). Es gibt andere Methoden für domänenübergreifendes SSO, aber diese erfordern proprietäre Lösungen, um die Authentifizierungsinformationen über Domänen hinweg weiterzuleiten. SAML 2.0 unterstützt vom Identity-Provider initiiertes SSO so wie in SAML 1.x. SAML 2.0 unterstützt auch vom Service-Provider initiiertes SSO.

  • SLO mit SAML 2.0

    Single Log-Out (SLO) ermöglicht Benutzern, alle ihre Sessions in einer SAML-Landschaft sauber zu beenden, selbst über Domänen hinweg. Das spart nicht nur Systemressourcen, die andernfalls bis zur Zeitüberschreitung der Session reserviert wären, sondern SLO verringert auch das Risiko, dass unbeaufsichtigte Sessions gekapert werden.

  • Identitätsföderation

    Identitätsföderation bietet die Mittel, um Identitätsinformationen zwischen Partnern auszutauschen. Um Informationen über Benutzer gemeinsam zu nutzen, müssen die Partner den Benutzer identifizieren können, selbst wenn sie unterschiedliche Bezeichner für denselben Benutzer verwenden. Der SAML-2.0-Standard definiert den Namensbezeichner (Namens-ID) als Mittel, um einen gemeinsamen Bezeichner festzulegen. Nachdem die Namens-ID festgelegt wurde, hat der Benutzer eine föderierte Identität.

Die beiden Hauptkomponenten einer SAML-2.0-Landschaft sind ein Identity- und ein Service-Provider. Der Service-Provider ist eine Systementität, die einen Satz an Web-Anwendungen mit einem gemeinsamen Session-Management, Identity-Management und Management der Vertrauensbeziehungen bietet. Der Identity-Provider ist eine Systementität, die die Identitätsinformationen für Principals verwaltet und Authentifizierungsdienste für andere vertrauenswürdige Service-Provider bietet. Anders formuliert, die Service-Provider vergeben die Aufgabe der Benutzerauthentifizierung an den Identity-Provider. Der Identity-Provider pflegt die Liste der Service-Provider, bei denen der Benutzer angemeldet ist, und gibt Abmeldeanfragen an diese Service-Provider weiter.

Der Client, der auf die Ressource zugreifen will, muss HTTP-konform sein.

Voraussetzungen

Sie haben einen SAML-2.0-Identity-Provider in Ihrer Landschaft.

Einschränkungen:

SAP NetWeaver Application Server unterstützt SP Lite wie unter Conformance Requirements for the OASIS Security Assertion Markup Language (SAML) V2.0 definiert.

Weitere Informationen