S
sicherheit.ai
KI-Sicherheit & Cybersecurity
_
Authentifizierung

Security Assertion Markup Language

Abkürzung: SAML

XML-basiertes Protokoll für den sicheren Austausch von Authentifizierungs- und Autorisierungsdaten zwischen Identity Providern und Service Providern.

🧒
Einfach erklärt
Für jeden verständlich — ohne Vorkenntnisse

SAML ist wie ein Pass für Unternehmens-Software. Dein Unternehmen (Identity Provider) stellt dir einen digitalen Pass aus der bestätigt "das ist wirklich Mahdi, er ist Administrator". Jede Software (Service Provider) akzeptiert diesen Pass — du musst dich nicht überall separat anmelden.

Ausführliche Erklärung

SAML 2.0 ist der Standard für Enterprise-SSO — besonders verbreitet in Unternehmensumgebungen. Funktionsprinzip: Identity Provider (IdP, z.B. Active Directory Federation Services, Okta) authentifiziert den Nutzer und sendet eine signierte XML-Assertion an den Service Provider (SP, z.B. Salesforce). SP vertraut der Assertion des IdP und gewährt Zugang ohne eigene Authentifizierung. Vorteile: Passwörter werden nie an Service Provider weitergegeben. Bekannte Schwachstellen: XML-Signature-Wrapping-Angriffe, unsichere SAML-Assertions.

>Wie funktioniert das?

1

Nutzer versucht auf Service Provider (z.B

2

Salesforce) zuzugreifen

3

SP leitet zu Identity Provider (z.B

4

Okta) weiter

5

IdP authentifiziert den Nutzer (Passwort + MFA)

6

IdP erstellt eine signierte SAML-Assertion (XML-Dokument mit Nutzerattributen)

7

Assertion wird via Browser an SP weitergeleitet

8

SP verifiziert Signatur und gewährt Zugang.

?Häufig gestellte Fragen
Antwort

Große Unternehmen, Behörden und Bildungseinrichtungen für Enterprise-SSO — besonders verbreitet mit Okta, Azure AD, ADFS als IdP und Cloud-SaaS-Anwendungen als Service Provider.

Antwort

Eine Schwachstelle bei der Angreifer die XML-Struktur manipulieren um eine gültige Signatur auf gefälschte Assertions anzuwenden — fehlerhafte SAML-Implementierungen können dadurch getäuscht werden.

Antwort

SAML ist besonders in Enterprise-Umgebungen mit Legacy-Systemen verbreitet. OAuth/OIDC ist moderner, JSON-basiert und besser für Mobile- und API-Szenarien geeignet — viele neue Dienste bevorzugen OIDC.

Antwort

Weil Nutzer-Passwörter nie den Identity Provider verlassen — Service Provider sehen nur signierte Assertions ohne Kenntnis der Credentials. Kompromittierung eines Service Providers gibt keine Passwörter preis.

Antwort

Durch korrekte XML-Signaturvalidierung (nicht nur auf Teilbäume), HTTPS für alle SAML-Endpunkte, regelmäßige Zertifikatsrotation, Validierung aller SAML-Attribute und Security-Audits der IdP-Konfiguration.

Quick Facts
KategorieAuthentifizierung
AbkürzungSAML
Verwandte Begriffe4
← Zurück zum Glossar
Alle Begriffe im Glossar
APTBrute-Force-AngriffBotnetCVECredential StuffingDDoSEDRFirewallHoneypotIDSKI-Angriff (Adversarial AI)Lateral MovementLLM-SicherheitMalwareMFANetzwerksegmentierungOSINTPasskeysPatch ManagementPhishingPrompt InjectionRansomwareSIEMSocial EngineeringSQL-InjectionThreat IntelligenceTTPWAFXDRZero-DayZero TrustXSSCSRFMitMSupply-Chain-AngriffSpear-PhishingVishingSmishingWatering-Hole-AngriffDrive-by-DownloadInsider-BedrohungTyposquattingClickjackingDNS-SpoofingSession-HijackingBECCryptojackingSIM-SwappingSOCPentestThreat HuntingRed TeamBlue TeamDevSecOpsSecurity Awareness TrainingVulnerability ManagementSASTDAST3-2-1 Backup-StrategieCyber-VersicherungNIS2DSGVOISO/IEC 27001BSI IT-GrundschutzNIST CSFKRITIS — Kritische InfrastrukturenPCI-DSSCRATISAX — Automotive InformationssicherheitBCMMeldepflicht bei DatenpannenAdversarial Machine LearningModel PoisoningDeepfakeKI-HalluzinationLLM-JailbreakFederated LearningShadow AITrojanerComputerwurmSpywareRootkitKeyloggerFileless MalwareBackdoorInfostealerWiperwareAdwareOAuth 2.0SAMLSSOPAMIAMRBACPasswort-ManagerBiometrische AuthentifizierungHardware-SicherheitsschlüsselVPNDMZVLANPort-ScanningBGP-HijackingIPSNACTLSSSHHTTPS — HyperText Transfer Protocol SecureSPF, DKIM & DMARC — E-Mail-AuthentifizierungIPsec — Internet Protocol SecurityAPI-SicherheitDNSSEC