Uwierzytelnianie wieloskładnikowe (MFA) dla protokołu SAML

Ostatnia aktualizacja dnia 1 września 2025

Uwierzytelnianie wieloskładnikowe (MFA) dla protokołu SAML to bezpieczny typ uwierzytelniania, który umożliwia wprowadzenie uwierzytelniania wieloskładnikowego dla Twoich użytkowników w infrastrukturze logowania jednokrotnego (SSO). Należy zauważyć, że uwierzytelnianie MFA dla protokołu SAML nie dodaje uwierzytelniania wieloskładnikowego do protokołu SAML, ponieważ protokół SAML nie jest protokołem uwierzytelniania. Zamiast tego, uwierzytelnianie MFA dla protokołu SAML dodaje uwierzytelnianie wieloskładnikowe dla użytkowników serwera Active Directory, LDAP lub RADIUS, wzmacniając logowania typu jednokrotnego (SSO) tych użytkowników za pomocą drugorzędnej metody uwierzytelniania, takiej jak Powiadomienie mobilne lub Klucz bezpieczeństwa WebAuthn/U2F.

Co to jest SAML?

Security Assertion Markup Language (SAML) to otwarty standard języka znaczników XML, który pozwala na wymianę danych uwierzytelniania i autoryzacji między dostawcą tożsamości (Identity Provider – IdP) a dostawcą usług (Service Provider – SP). Dostawca tożsamości to autorytet SAML, który wykonuje uwierzytelnianie i przekazuje tożsamość użytkownika i poziom autoryzacji do dostawcy usług. Dostawca usług musi ufać dostawcy tożsamości, ponieważ to on autoryzuje użytkownika do dostępu do zasobu.

Uwierzytelnianie MFA dla protokołu SAML i logowania jednokrotnego (SSO)

Możesz użyć protokołu SAML, aby włączyć logowanie jednokrotne (SSO) dla aplikacji w chmurze. Mówiąc w skrócie, logowanie jednokrotne pozwala na wprowadzenie nazwy użytkownika i hasła tylko raz, a następnie umożliwia dostęp do dowolnej aplikacji w chmurze bez konieczności ponownego wpisywania danych logowania. Funkcja logowania jednokrotnego Single Sign-On zapewnia uproszczony interfejs użytkownika, ponieważ użytkownicy nie tracą czasu na wielokrotne wprowadzanie haseł w ciągu dnia. Ponadto, logowanie jednokrotne (SSO) pozwala na scentralizowane zarządzanie tożsamością (IAM) dla aplikacji w chmurze, ponieważ użytkownicy mogą używać tego samego zestawu danych uwierzytelniających do wszystkich aplikacji. Administratorzy oszczędzają czas, ponieważ nie muszą konfigurować polityk bezpieczeństwa dla każdej aplikacji w chmurze osobno. Ogólnie rzecz biorąc, logowanie jednokrotne ułatwia wszystkim życie.

Jak zwiększyć poziom bezpieczeństwa logowania jednokrotnego (SSO)?

Możesz dodać uwierzytelnianie wieloskładnikowe (MFA) do logowań jednokrotnych (SSO), aby poprawić bezpieczeństwo logowań użytkowników. Dodatkowa warstwa ochrony w postaci metody Powiadomienie mobilne lub Kod mobilny opartej na algorytmie TOTP może znacznie zmniejszyć prawdopodobieństwo udanego ataku cybernetycznego.

W standardowym logowaniu jednokrotnym (SSO), użytkownicy podają swoje hasło raz i nigdy więcej nie wprowadzają hasła, dopóki ich sesja SAML jest aktywna.

Gdy uwierzytelnianie MFA jest włączone, , aby uzyskać dostęp, użytkownik podaje swoje hasło i akceptuje żądanie uwierzytelniania za pomocą metody Powiadomienie mobilne. Nie musi podawać swojego hasa w kolejnym kroku, jednak za każdym razem, gdy loguje się do innej aplikacji w chmurze, musi ponownie zaakceptować żądanie logowania. Metoda Powiadomienie mobilne to wygodna i szybka metoda uwierzytelniania za pomocą jednego dotknięcia. Twoi użytkownicy prawie nie zauważą różnicy, ale będą znacznie bardziej bezpieczni.

Jak działa uwierzytelnianie MFA dla protokołu SAML z logowaniem jednokrotnym (SSO)?

Aby włączyć uwierzytelnianie MFA dla aplikacji w chmurze, musisz wdrożyć aplikację Rublon Access Gateway jako serwer IIS. Użytkownicy logują się do portalu Rublon SSO Portal i wybierają aplikację w chmurze z galerii dostępnych aplikacji. Portal SSO jest częścią aplikacji Rublon Access Gateway i wymaga dodatkowej (choć krótkiej i prostej) konfiguracji.

Gdy włączone jest uwierzytelnianie wieloskładnikowe Rublon MFA, aplikacja Rublon Access Gateway używa tylko protokołu SAML do komunikacji z dostawcami usług (aplikacjami w chmurze).

Aplikacja Rublon Access Gateway nie używa protokołu SAML do komunikacji z dostawcami tożsamości (bazami danych użytkowników). Aby komunikować się z dostawcą tożsamości, aplikacja Rublon Access Gateway używa albo protokołu RADIUS (jeśli przechowujesz swoich użytkowników na przykład w serwerze FreeRADIUS), albo protokołu LDAP (jeśli przechowujesz swoich użytkowników na przykład w katalogu Active Directory).

Diagram dla konfiguracji uwierzytelnianie MFA + logowanie jednokrotne (SSO) + protokół SAML

1. Bob loguje się do portalu Rublon SSO Portal, podając swój login i hasło (1)

2. Aplikacja Rublon Access Gateway sprawdza login i hasło u dostawcy tożsamości (Identity Provider – IdP) (2)

3. Jeśli hasło jest poprawne, aplikacja Rublon Access Gateway kontaktuje się z interfejsem Rublon API (3) i prosi interfejs Rublon API o wysłanie żądania uwierzytelniania za pomocą metody Powiadomienie mobilne na telefon Boba (4)

4. Jeśli Bob zaakceptuje powiadomienie, uzyska dostęp do portalu SSO

5. Bob może teraz zalogować się do dowolnej aplikacji w chmurze bez ponownego wprowadzania hasła

6. Załóżmy, że Bob chce zalogować się do aplikacji Cloud App 1

7. Aplikacja Rublon Access Gateway kontaktuje się z interfejsem Rublon API (3) i prosi interfejs Rublon API o ponowne wysłanie żądania uwierzytelniania za pomocą metody Powiadomienie mobilne na telefon Boba (4)

8. Jeśli Bob zaakceptuje powiadomienie, uzyska dostęp do aplikacji Cloud App 1 (5)

9. Jeśli Bob chce teraz uzyskać dostęp do aplikacji Cloud App 2 lub Cloud App 3, może to zrobić bez ponownego wprowadzania hasła. Musi jednak za każdym razem uwierzytelnić się metodą uwierzytelniania Powiadomienie mobilne (3), (4), (5)

Rozważania dotyczące bezpieczeństwa i wygody użytkownika

System Rublon wymaga od Boba akceptacji żądania logowania za pomocą metody Powiadomienie mobilne (lub innej) za każdym razem, gdy Bob wybiera aplikację w chmurze w portalu SSO. System Rublon dodaje ten środek bezpieczeństwa do procesu logowania jednokrotnego (SSO), aby zabezpieczyć sesję SAML użytkownika.

Administratorzy mogą tworzyć polityki niestandardowe w konsoli Rublon Admin Console, które pozwalają użytkownikom pomijać uwierzytelnianie wieloskładnikowe (MFA) na bieżącym urządzeniu przez określony czas. Załóżmy, że administrator organizacji Boba pozwala na zapamiętanie urządzenia na, powiedzmy, godzinę. W takim przypadku Bob może zaznaczyć pole wyboru Remember this device (Zapamiętaj to urządzenie) podczas logowania do portalu Rublon SSO Portal. Przez jedną godzinę, Bob będzie mógł uzyskać dostęp do aplikacji w chmurze zintegrowanych z systemem Rublon bez konieczności akceptacji żądania logowania za pomocą metody Powiadomienie mobilne. Mimo że zapamiętywanie urządzenia jest wygodniejsze dla użytkownika, jest również mniej bezpieczne. Godzina to krótki okres czasu, co sprawia, że kompromis między bezpieczeństwem a wygodą jest akceptowalny. Oczywiście, możesz ustawić czas na więcej niż jedną godzinę. Jednak nie zalecamy, aby administratorzy pozwolili użytkownikom zapamiętać swoje urządzenia na więcej niż dwa tygodnie.

Jak mogę włączyć uwierzytelnainie MFA na moich aplikacjach w chmurze za pomocą protokołu SAML?

Oto krok po kroku, jak włączyć uwierzytelnianie wieloskładnikowe Rublon MFA na jednej lub więcej aplikacji w chmurze:

1. Zainstaluj i skonfiguruj aplikację Rublon Access Gateway.
2. Skonfiguruj portal Rublon SSO Portal.
3. Znajdź instrukcję integracji dla swojej aplikacji chmurowej w naszej dokumentacji.
4. Postępuj zgodnie z instrukcjami i zintegruj aplikację w chmurze z aplikacją Rublon Access Gateway.
5. Powtórz kroki 2 i 3 dla dowolnej liczby aplikacji w chmurze.
6. Zaloguj się do portalu Rublon SSO Portal i uzyskaj dostęp do dowolnej zintegrowanej aplikacji w chmurze bez konieczności ponownego wprowadzania hasła.

Możesz również zdefiniować polityki Custom Policies (Polityki niestandardowe) w konsoli Rublon Admin Console i przypisać je do jednej lub więcej aplikacji chmurowych. Polityki dostępu umożliwiają Ci pozwolić użytkownikom na zapamiętanie swoich urządzeń, dodać sieci autoryzowane, decydować, które metody uwierzytelniania mają być włączone, i wiele więcej.

Powiązane posty

• Uwierzytelnianie MFA dla protokołu SAML
• Uwierzytelnianie MFA dla protokołu LDAP
• Uwierzytelnianie MFA dla usługi Active Directory
• Rublon Access Gateway – Dokumentacja
• Rublon SSO Portal – Dokumentacja