Werde Teil unseres Teams und sorge für mehr Digitale Souveränität!
- Teamleiter IT – Kundenprojekte (m/w/d)
- IT Consultant (m/w/d)
- Senior Backend / Software Developer Python (m/w/d)
- u.v.m.

SAML (Security Assertion Markup Language) ist ein Standard, der ein Single-Sign-on (SSO), also ein zentrales einmaliges Login ermöglicht. Benutzer melden sich einmal an und erhalten automatisch Zugriff auf andere Programme und Dienste, die für sie freigegeben sind. Univention Corporate Server (UCS) unterstützt SAML und bietet Nutzern so nicht nur eine zentrale Identität, sondern auch einen zentralen Login. Damit wird webbasiertes Arbeiten sicherer und komfortabler. In diesem Artikel stelle ich Ihnen generelle Eigenschaften und Funktionsweisen von SAML vor und erläutere, in welchen Umgebungen und Anwendungsszenarien der Einsatz von SAML sinnvoll ist.
Inhaltsverzeichnis
Das SAML-Format basiert auf XML; es dient zum Authentisieren und Autorisieren von Benutzern. Mehrere SAML-Komponenten arbeiten dafür Hand in Hand:
SAML arbeitet im Hintergrund mit so genannten Session-Cookies, die mit einem Ablaufdatum versehen sind. Den Session-Cookie erhalten die Anwender bei der Authentifizierung am IdP und können sich mit ihm anschließend bei den angebundenen Diensten anmelden. Da der Session-Cookie wie andere Cookies auch im Browser der Anwender gespeichert wird, ist keine direkte Verbindung zwischen IdP und SP notwendig. So kann ein UCS, der als IdP agiert, etwa abgeschottet in einem internen Netz stehen und dennoch die Authentifizierung für einen Cloud-Dienst im Internet übernehmen – ohne, dass dieser je direkt mit dem UCS interagiert hätte.
Um Services mit SAML anzubinden, ist das Austauschen von Metadaten erforderlich.
Viele Services bieten beim ersten Login die Möglichkeit, automatisch einen neuen Benutzeraccount anzulegen. Dieses Verfahren heißt Just-in-Time-Bereitstellung (Just-in-Time provisioning). Sollte ein Dienst dies nicht unterstützen, müssen die Benutzer zunächst manuell angelegt werden, oder die Daten werden über einen anderen Weg bereitgestellt.
Tipp: Die Verwaltung von Benutzeraccounts läuft nicht selten über einen LDAP-Verzeichnisdienst. In einem eigenen Artikel zeigen wir Ihnen, wie Sie durch LDAP-Replikation Server-Ausfälle verhindern und die Performance verbessern können.
UCS unterstützt die Just-in-Time-Bereitstellung z.B. für Dienste wie Office 365 und Google G Suite. Viele andere Dienste legen die User von alleine an, wenn sie sich über SAML einloggen.
Beim Bearbeiten der Benutzereigenschaften bietet sich Folgendes an:
Beim Löschen von Benutzeraccounts gibt es ebenfalls mehrere Wege:
Auch dies ist in UCS beispielsweise für Office 365 (hier authentifiziert sich der UCS Office 365 Connector gegen eine Schnittstelle in der Azure-Cloud und provisioniert dort die User) oder für Google G Suite möglich. Die Art der Schnittstellen kann zwischen einzelnen Diensten sehr verschieden sein.
Die folgenden Schritte zeigen beispielhaft, wie eine Authentifizierung mit SAML ablaufen kann:
Neben der Authentifizierung der Benutzer selbst ist auch eine detaillierte Autorisierung für Zugriffe auf bestimmte Ressourcen konfigurierbar. Hier erlaubt SAML, Attribute zwischen Identity Provider und Service Provider auszutauschen. Anhand der Attribute kann ein Service Entscheidungen über Ressourcenzugriffe treffen. In UCS können Sie für jeden einzelnen Service Provider definieren, ob er LDAP-Attribute übergeben soll und wenn ja, welche das sind.
Vorteile | Nachteile |
|
|
|
|
|
|
|
Sehen Sie in dem 8-minütigen Film-Tutorial, wie Sie Ihren eigenen E-Mail Server mit UCS aufsetzen, wieso Sie die Komponente UCS Mail Server aus dem Univention App Center auf einem UCS Slave installieren sollten und wie Sie am besten bei der Installation vorgehen. Mehr
Die Anmeldemaske befindet sich in der Voreinstellung unter https://ucs-sso.domainname/univention/saml/. Zugriff auf die Metadaten bietet die Adresse https://ucs-sso.domainname/simplesamlphp/saml2/idp/metadata.php.
Das UCS-Handbuch beschreibt, wie Sie Services hinzufügen. Für das Bereitstellen von Office 365 und Google G Suite gibt es eigene Connector-Apps in unserem App Center, die Benutzer anlegen, modifizieren und löschen.
Tipp: Sie können die SAML-Anmeldemaske auch unter einer anderen Adresse verfügbar machen und damit z. B. einen Zugriff von außen ermöglichen. Wie das geht, erklärt ein Artikel aus der Univention Knowledge Base.
Bevor Sie sich entscheiden, SAML in Ihrer Umgebung ganz oder teilweise einzusetzen, sollten Sie folgende Fragen beantworten:
Wenn Sie SSO richtig einsetzen, können Sie Nutzern komfortabel Zugriff auf mehrere Dienste, Anwendungen und andere Ressourcen gewähren. SAML als Authentifizierungs- und Autorisierungs-System und UCS als Identity Provider, der die Verifizierung durchführt, leisten hier gute Dienste. Sollten Sie weitere Fragen haben, können Sie gerne mit uns Kontakt aufnehmen.
Weitere Artikel zum Thema SAML:
Open Source Software Consultant & Engineer im Professional Service Team bei Univention.
Hallo Moses479,
vielen Dank für den Hinweis; ich habe das mal korrigiert.
Beste Grüße
Carsten