O SAML (Security Assertion Markup Language) é um dos protocolos mais importantes quando falamos em segurança digital e autenticação federada. Ele permite que um único login seja suficiente para acessar diversos sistemas, viabilizando o Single Sign-On (SSO) em empresas de todos os portes.
Neste artigo, vamos explicar tudo sobre o SAML (Security Assertion Markup Language) e mostrar, de forma clara e prática, por que esse protocolo é tão relevante para empresas que precisam equilibrar facilidade de acesso e segurança digital.
Você vai descobrir o que é o SAML e como ele funciona nos bastidores, garantindo que um único login possa ser usado em diferentes aplicações. Vai entender também para que serve esse padrão e como ele viabiliza o Single Sign-On (SSO), permitindo que usuários acessem múltiplos sistemas sem se perder em senhas e autenticações repetidas.
Boa leitura!
O que é SAML?
O SAML (Security Assertion Markup Language) é um protocolo aberto baseado em XML, que padroniza a troca segura de informações de autenticação e autorização entre sistemas que não pertencem ao mesmo domínio.
Você já deve ter notado a opção “Entrar com Google” ou “Entrar com Microsoft” em diversos sites e aplicativos. Essa experiência, chamada de autenticação federada, é viabilizada por protocolos como o SAML (Security Assertion Markup Language).
Ele surgiu no início dos anos 2000, com o objetivo de resolver um desafio crescente: como permitir que empresas integrassem múltiplos sistemas SaaS e aplicações internas sem forçar os usuários a criar e memorizar dezenas de senhas diferentes.
No ecossistema SAML, temos dois papéis fundamentais:
- Identity Provider (IdP) → é quem autentica o usuário e confirma que ele é quem diz ser. Exemplos: Azure AD, Okta, Google Workspace.
- Service Provider (SP) → é o sistema ou aplicação que o usuário deseja acessar. Exemplos: Salesforce, Zoom, Moodle, SAP.
Enquanto o LDAP funciona como base de dados de identidades, o SAML atua como o mensageiro seguro que transporta autenticações entre sistemas distintos.
Esse modelo trouxe uma revolução: em vez de cada sistema precisar validar senhas individualmente, eles passaram a confiar em uma fonte central (IdP), que distribui autenticações seguras para todos os SPs da organização.
O que é o SAML 2.0
O SAML 2.0 é a versão atual de um padrão aberto que define como provedores de identidade (IdPs) e provedores de serviço (SPs) trocam dados de autenticação e autorização de forma segura, utilizando uma estrutura baseada em XML. Sua principal aplicação é habilitar a federação de identidade e o Single Sign-On (SSO), simplificando a experiência do usuário.
Embora cumpra o mesmo propósito de seu predecessor, o SAML 1.1, a versão 2.0 oferece vantagens significativas, como maior interoperabilidade entre sistemas e perfis de uso mais completos, incluindo Web Browser SSO e Single Log-Out (SLO).
É importante diferenciá-lo do LDAP: enquanto o LDAP funciona como o diretório onde as identidades são armazenadas e consultadas, o SAML 2.0 atua como o protocolo de transporte que move essas credenciais de forma segura entre domínios distintos. Desse modo, o SAML garante um processo padronizado, seguro e fluido para o usuário final.
Como funciona a autenticação SAML (passo a passo)
O funcionamento do SAML pode ser comparado a um cartão de embarque em um aeroporto. Você se identifica e passa pela checagem de segurança (IdP). Depois disso, não precisa se reidentificar em cada portão de embarque: basta apresentar seu cartão válido (a assertion).
Veja, em três passos, como o SAML permite que um login feito no IdP seja aceito por um aplicativo (SP) sem pedir credenciais novamente.
- Usuário acessa o aplicativo (SP)
O usuário tenta abrir o sistema desejado (ex.: Salesforce). O provedor de serviço (SP) detecta que precisa validar a identidade e inicia o fluxo SAML.
- Redirecionamento para o IdP
O SP redireciona o navegador para o provedor de identidade (IdP) (ex.: Azure AD/Okta/Google Workspace), enviando a solicitação SAML para que a autenticação aconteça no IdP.
- IdP autentica e emite a assertion
O IdP valida o usuário (senha/MFA/política corporativa) e gera uma SAML Assertion — um documento XML assinado digitalmente com as informações de autenticação/atributos. Essa resposta volta ao SP, que confere a assinatura e concede o acesso sem novo login.
Pronto! Com esses três passos, o SAML garante SSO seguro: o IdP autentica, o SP confia na assertion assinada e o usuário acessa sem repetir credenciais. Você reduz exposição de senhas, centraliza políticas (MFA, expiração, auditoria) e mantém a experiência de login fluida entre aplicações e domínios.
Para que serve o SAML?
O SAML serve como ponte de confiança entre sistemas diferentes. Seu principal objetivo é possibilitar que usuários se autentiquem em um único ponto e reutilizem essa autenticação em múltiplos serviços.
Na prática, isso significa:
- Unificação de acessos corporativos → funcionários usam uma única identidade para acessar dezenas de aplicativos SaaS, como Salesforce, ServiceNow, Slack e Zoom.
- Autenticação federada entre organizações → empresas que trabalham em parceria podem confiar mutuamente nos seus provedores de identidade, facilitando colaborações seguras.
- Educação e universidades → alunos acessam sistemas de e-learning, bibliotecas digitais e portais acadêmicos com o mesmo login institucional.
Ao reduzir a fragmentação de logins, o SAML ajuda empresas a diminuir riscos de fraude, simplificar integrações e garantir governança em ambientes híbridos.
Como o SAML facilita o SSO (Single Sign-On)?
O SSO é a aplicação prática mais comum do SAML. Em um ambiente com dezenas de aplicações, o login único evita que colaboradores gastem tempo digitando credenciais em cada sistema. Além de melhorar a experiência do usuário, isso reduz drasticamente a dependência de senhas múltiplas, um dos maiores pontos de vulnerabilidade em segurança digital e diminui chamados ao time de TI.
Como funciona na prática: com o SAML, a organização permite que o usuário faça login uma única vez e reaproveite essa autenticação para entrar em outros serviços e aplicativos confiáveis.
Pense na sua equipe de vendas: para fechar negócios, ela usa CRM, e-mail, sistema de contratos, videoconferência e intranet, certo? Autenticado uma vez, o SAML faz com que todos esses sistemas reconheçam a identidade do colaborador e liberem o acesso imediatamente. O impacto é direto: mais produtividade, menos atrito e mais segurança.
Muito além do SSO, o SAML é um padrão abrangente que trata de federação de identidades, vinculação da identidade eletrônica e troca de atributos do usuário (como nome, e-mail, cargo), mesmo quando essas informações estão distribuídas em diferentes sistemas de gerenciamento de identidade.
Para as empresas, isso significa menos senhas para os funcionários, menos senhas para TI gerenciar, governança centralizada de acessos e integração mais simples entre aplicações internas e serviços SaaS.
Em redes, a mesma ideia aparece no Wi-Fi Offload: Passpoint e OpenRoaming estendem a federação de confiança ao acesso Wi-Fi, permitindo conexões automáticas e seguras entre múltiplas redes.
Provedores SAML
Um provedor SAML é qualquer sistema que participa desse processo de autenticação.
IdP (Provedor de Identidade)
É o sistema que autentica o usuário e emite uma prova confiável da sua identidade para os serviços (SPs).
SP (Service Provider)
É o sistema/aplicativo que recebe a asserção do IdP e concede acesso aos seus recursos.
Essa divisão de responsabilidades traz eficiência: o IdP foca em autenticação segura, enquanto os SPs se concentram em entregar seus serviços.
SAML e SSO: Quais as diferenças?
SAML e SSO são a mesma coisa? Não, eles não são.
SSO é a experiência de fazer um único login e acessar vários sistemas. SAML é um dos protocolos que tornam essa experiência possível, fazendo a “ponte” segura entre usuário, provedor de identidade (IdP) e provedor de serviço (SP) por meio de asserções assinadas.
Ou seja: o usuário percebe o SSO funcionando; nos bastidores, o SAML coordena a troca confiável de autenticação entre as partes. E vale lembrar: SAML não é o único caminho para SSO, há cenários em que OAuth 2.0 + OpenID Connect (OIDC) são preferíveis, especialmente para apps web/mobile e APIs.
Diferenças entre SAML e LDAP
Quando falamos de gestão de identidade, SAML e LDAP aparecem juntos, mas resolvem problemas diferentes.
SAML: voltado à autenticação federada entre domínios e SaaS. Ideal para SSO corporativo, transportando, via assertions XML assinadas, a prova de identidade do IdP para os aplicativos (SPs).
LDAP: voltado a diretórios de identidade. Ideal para armazenar, consultar e administrar usuários, grupos e atributos (ex.: Active Directory/OpenLDAP) dentro do domínio da organização.
👉 Resumindo:
- Use SAML para SSO e federação segura entre sistemas/aplicações diferentes.
- Use LDAP como fonte de verdade interna para gestão e consulta de identidades (que o IdP pode usar ao emitir assertions SAML).
Entender essa distinção evita escolhas erradas na arquitetura de acesso e ajuda a combinar as duas camadas com eficiência.
Diferenças entre SAML e OAuth
Embora SAML e OAuth sejam frequentemente mencionados juntos, suas funções são diferentes:
- SAML: voltado para autenticação federada em ambientes corporativos. Ideal para empresas que precisam integrar múltiplos SaaS com controle de identidade centralizado.
- OAuth 2.0: foca em autorização de acesso a recursos, sem necessariamente autenticar a identidade. Exemplo: quando você permite que um app acesse suas fotos no Google Drive.
- OIDC (OpenID Connect): é uma camada sobre o OAuth que adiciona autenticação. É mais leve que SAML e muito usado em aplicações web e mobile modernas.
👉 Resumindo:
- Use SAML para SSO corporativo robusto.
- Use OAuth/OIDC para apps modernos, APIs e integrações em dispositivos móveis.
Veja também alguns conteúdos interessantes que selecionamos para você:
Benefícios do uso do SAML na segurança digital
Antes de ser apenas “mais um protocolo”, o SAML se traduz em resultados de negócio: ele centraliza a autenticação, reduz o uso (e o risco) de senhas espalhadas e cria uma base confiável para escalar acessos entre aplicações e fornecedores.
O efeito aparece no dia a dia: menos atrito para quem usa, menos retrabalho para TI e mais controle para governança. Em termos práticos, a adoção do SAML impacta diretamente em:
- Produtividade → um único login para todos os sistemas.
- Segurança → elimina a proliferação de senhas fracas e reduz risco de phishing.
- Experiência do usuário → menos fricção para colaboradores, parceiros e alunos.
- Conformidade → registros centralizados de autenticação ajudam em auditorias de LGPD, ISO 27001, NIST, HIPAA.
- Interoperabilidade → empresas podem conectar ferramentas de diferentes fornecedores sem depender de integrações personalizadas complexas.
Em outras palavras, o SAML eleva a maturidade de identidade da organização: consolida o controle em um ponto confiável, sustenta arquiteturas de Zero Trust e prepara o ambiente para integrações futuras. O resultado é um ecossistema mais previsível, mensurável e resiliente, onde acesso seguro deixa de ser gargalo e passa a ser acelerador do negócio.
Desafios e oportunidades para o uso de SAML
Já falamos o quanto o SAML é poderoso, mas todo esse poder exige alguns cuidados e enfrenta desafios:
- Complexidade de configuração → integrações com muitos SPs podem demandar tempo e expertise.
- Gestão de certificados digitais → se não forem atualizados corretamente, podem causar falhas de autenticação.
- Performance → em ambientes de grande escala, é preciso garantir infraestrutura resiliente para evitar gargalos.
- Alternativas → para aplicações nativas em nuvem e mobile-first, OIDC pode ser mais indicado.
Encarar os desafios do SAML como parte do ciclo de maturidade e não como obstáculos, é o que separa implantações frágeis de plataformas de acesso realmente confiáveis.
Perguntas e Respostas
1-O que é SAML 2.0 e para que serve? SAML 2.0 é um padrão aberto baseado em XML que permite trocar, com segurança, informações de autenticação entre um Provedor de Identidade (IdP) e um Provedor de Serviço (SP). Ele viabiliza SSO (login único) e autenticação federada, reduzindo senhas e simplificando o acesso a vários sistemas.
2- Qual a diferença entre SAML e SSO? SSO é a experiência de fazer um único login e acessar vários apps; SAML é o protocolo que torna isso possível ao transportar a autenticação do IdP para os SPs. Em resumo: SSO é o objetivo, SAML é um dos meios para realizá-lo.
3- SAML é a mesma coisa que OAuth ou OIDC? Não. SAML foca em autenticação federada (muito usado em ambientes corporativos e web). OAuth 2.0 trata de autorização a recursos, e OIDC adiciona autenticação sobre o OAuth, sendo comum em apps modernos e mobile. A escolha depende do contexto (corporativo/legado → SAML; mobile/API → OAuth/OIDC).
4- Como funciona o SAML na prática (IdP, SP e asserção)? O usuário tenta acessar o SP, é redirecionado ao IdP, que autentica e emite uma asserção SAML (XML assinado). O SP confia nessa asserção e libera o acesso sem novo login — tudo ocorre em segundos e sem expor a senha ao aplicativo.
5- Como integrar SAML ao Wi-Fi corporativo com a WiFeed? A WiFeed integra-se ao seu IdP (Azure AD, Okta, Google Workspace) e leva essa identidade para o captive portal, habilitando SSO no acesso Wi-Fi. Você aplica políticas por perfil, registra auditoria para LGPD e reduz senhas locais, mantendo segurança e interoperabilidade com seus sistemas.
O SAML é um dos protocolos mais consolidados de segurança corporativa. Ele viabiliza o SSO e a autenticação federada, equilibrando usabilidade e proteção. Ao permitir que empresas centralizem a identidade de seus usuários e distribuam essa autenticação de forma segura, o SAML se torna um aliado estratégico de TI e segurança cibernética.
Mesmo com o avanço de alternativas como OIDC, o SAML continua essencial em ambientes corporativos, educacionais e governamentais que demandam alto nível de segurança, conformidade e interoperabilidade.
O WiFeed leva o SAML para o universo do Wi-Fi corporativo: ao integrar-se ao seu IdP (Azure AD, Okta, Google Workspace), o acesso via captive portal usa a mesma identidade corporativa do usuário, habilitando SSO, aplicando políticas por perfil (funcionários, parceiros, visitantes) e registrando auditoria para LGPD.
Com isso, a TI centraliza quem entra, reduz senhas locais e mantém uma experiência de login fluida e segura, preservando interoperabilidade com o restante do ambiente.
Pronto para integrar SAML ao seu Wi-Fi? Fale com um especialista da WiFeed e tire suas dúvidas agora: Solicitar contato
