SAML-Grundlagen
Security Assertion Markup Language (SAML) ist ein Standard für den Austausch von Authentifizierungsinformationen zwischen Identitäts- und Dienstanbietern. Bei der SAML-Authentifizierung handelt es sich um einen Single Sign-on-Mechanismus, bei dem ein zentraler Identitätsanbieter (IdP) die Benutzerauthentifizierung durchführt, während der Dienstanbieter (SP) die Entscheidungen über die Zugriffskontrolle nur auf der Grundlage der Ergebnisse der Authentifizierung trifft.
Die Hauptvorteile der SAML-Authentifizierung sind wie folgt:
Dienstanbieter müssen keine eigenen Benutzerdatenbanken pflegen. Benutzerinformationen werden auf der Seite des Identitätsanbieters in einer zentralen Datenbank gespeichert. Wenn ein Benutzer hinzugefügt oder entfernt werden muss, erfolgt dies nur in einer einzigen Datenbank.
Dienstanbieter müssen die Benutzer nicht selbst validieren, sodass es keine Notwendigkeit für eine sichere Authentifizierungs- und Autorisierungsimplementierung auf der Seite des Anbieters gibt.
Single Sign-On bedeutet, dass sich ein Benutzer nur einmal anmelden muss. Alle nachfolgenden Anmeldungen (wenn ein Benutzer eine andere Anwendung startet) erfolgen automatisch.
Benutzer müssen bei der Anmeldung keine Anmeldedaten eingeben.
Die Benutzer müssen sich keine Passwörter merken und ändern.
Keine schwachen Passwörter.
Das Single Sign-on-Verfahren
Das SAML Single Sign-on kann auf der Seite des Dienstanbieters oder auf der Seite des Identitätsanbieters initiiert werden. Die beiden Szenarien werden im Folgenden skizziert.
Der SAML-Single Sign-On-Prozess, der auf der Seite des Dienstanbieters initiiert wird, besteht aus den folgenden Schritten:
Ein Benutzer öffnet Parallels Client (eine der unterstützten Versionen) und stellt eine Verbindung zum Dienstanbieter her.
Der Dienstanbieter sendet eine Nachricht an den Identitätsanbieter mit der Bitte, den Benutzer zu authentifizieren.
Der Identitätsanbieter fragt den Benutzer nach einem Benutzernamen und einem Passwort.
Wenn die Benutzeranmeldeinformationen korrekt sind, wird eine Authentifizierungsantwort (Assertion) an den Client gesendet und dann an den Dienstanbieter weitergeleitet. Die Antwort enthält eine Nachricht, dass der Benutzer sich erfolgreich angemeldet hat. Der Identitätsanbieter unterschreibt die Behauptung.
Dem Benutzer wird die Liste der veröffentlichten Anwendungen angezeigt. Wenn der Benutzer eine Anwendung startet, gibt es keine Aufforderung zur Eingabe von Anmeldeinformationen.
Single Sign-on kann auch auf der Seite des Identitätsanbieters initiiert werden. In diesem Fall sind die grundlegenden Schritte die Folgenden:
Ein Benutzer meldet sich über einen Webbrowser beim Identitätsanbieter an und bekommt eine Liste von Unternehmensanwendungen angezeigt, darunter auch Parallels RAS.
Sobald Parallels RAS ausgewählt ist, wird die Assertion an den Client gesendet und dann an den für Parallels RAS konfigurierten Dienstanbieter weitergeleitet.
Den Benutzern wird die Liste der vom RAS veröffentlichten Anwendungen gezeigt.
Wenn der Benutzer eine Anwendung startet, gibt es keine Aufforderung zur Eingabe von Anmeldedaten.