SAML vs OAuth 2.0 w 2025: co wybrać dla SaaS B2B?
W 2025 roku klienci enterprise oczekują bezproblemowego logowania. Jeśli Twój SaaS nie wspiera SAML lub OAuth 2.0, tracisz kontrakty, zanim jeszcze rozpoczniesz negocjacje. Ale które rozwiązanie wybrać? To nie jest pytanie o to, co jest lepsze – tylko co sprawdzi się w Twoim kontekście. Popełniłem ten błąd w jednym z projektów i wyjaśnię, jak go uniknąć.
Dlaczego to ważne?
Poprawna autoryzacja to nie tylko bezpieczeństwo – to brama do UX akceptowalnego przez IT w dużych firmach. Dział IT klienta często blokuje wdrożenie, jeśli nie ma SSO. Zła decyzja (np. narzucenie SAML tam, gdzie wystarczy OAuth) generuje koszty i opóźnienia.
SAML – ten „korpo” standard
SAML (Security Assertion Markup Language) to protokół z lat 2000., który wciąż króluje w środowiskach enterprise. Oparty na XML, często używany z Active Directory. Plusy: dojrzałość, szeroka adopcja w firmach. Minusy: ciężki, słabo działa na urządzeniach mobilnych, trudny w implementacji.
Kiedy SAML ma sens?
- Twoim klientem są korporacje z własnym IdP (np. ADFS, Okta)
- Potrzebujesz session lifetime i atrybutów użytkownika
- Szykuje się audyt zgodności (SOC2, ISO 27001 często wymagają SAML)
Przykład z życia: W jednym z projektów SaaS dla firm doradczych klient zażądał SAML. Mieliśmy wdrożone OAuth 2.0, ale ich polityka bezpieczeństwa wymuszała SAML 2.0. Musieliśmy dodać obsługę – zajęło to dodatkowe 3 miesiące. Unikniesz tego, mając od początku oba.
OAuth 2.0 – standard nowoczesnych aplikacji
OAuth 2.0 to framework autoryzacyjny, który umożliwia delegowanie dostępu. Używany przez Google, GitHub, Facebook. Plusy: lekki, JSON, działa świetnie na mobile, elastyczny (scopes, refresh tokens). Minusy: sam w sobie nie obsługuje uwierzytelniania (służy do autoryzacji) – często implementuje się OpenID Connect (OIDC) na wierzchu.
Kiedy OAuth 2.0 + OIDC ma sens?
- Klienci to startupy lub średnie firmy korzystające z Google Workspace, Microsoft 365
- Potrzebujesz dostępu do API (np. wysyłanie danych do Slacka, Asany)
- Szybkie prototypowanie i mniejszy overhead
Uwaga: W 2025 roku wiele firm enterprise zaczyna akceptować OIDC jako alternatywę dla SAML, zwłaszcza przy integracjach z chmurą. Ale nie wszystkie – nadal zdarzają się wymogi SAML przy legacy systemach.
Pułapki i realne koszty złego wyboru
1. SAML w aplikacji mobilnej = ból
SAML jest ciężki. Jeśli Twój SaaS ma dedykowaną aplikację mobilną, SAML może nie działać płynnie. Często trzeba fallbackować do OAuth 2.0. Rezultat: utrzymujesz dwa systemy, co winduje koszty.
2. OAuth 2.0 bez OIDC = brak tożsamości
Sam OAuth 2.0 nie mówi, kim jest użytkownik. Jeśli potrzebujesz potwierdzić tożsamość (np. do autoryzacji ról), musisz dodać OIDC. Inaczej skończysz z dziurawym bezpieczeństwem.
3. Decyzja polityczna vs techniczna
W jednym z SaaS B2B, w którym pracowałem, wybraliśmy SAML „bo korpo”. Okazało się, że 80% klientów korzysta z Google, a SAML nie integrował się dobrze z Google Workspace. Przerobiliśmy na OIDC po roku.
Jak podjąć właściwą decyzję?
Sprawdź swój target:
- Enterprise z legacy IT → SAML obowiązkowy, ale warto dodać OAuth 2.0 jako uzupełnienie
- Nowoczesne firmy (cloud-native) → OAuth 2.0 + OIDC
- Mieszany rynek → wdroż oba. Koszty? Możesz użyć gotowych rozwiązań (Auth0, Okta, Keycloak), które obsługują oba protokoły. Przykładowo: Auth0 pozwala na mapowanie SAML na OAuth.
Rekomendacja dla SaaS B2B w 2025
Z mojego doświadczenia: zacznij od OAuth 2.0 + OIDC, a dodaj SAML, gdy pojawi się konkretny klient enterprise. Nie popełnij błędu budowania SAML od początku – możesz go stracić, jeśli rynek nie jest gotowy. W JurskiTech często wybieramy tę strategię: szybkie MVP z OAuth 2.0, później rozszerzamy o SAML dla zgodności. To pozwala uniknąć przepalenia budżetu na coś, co nie jest potrzebne od razu.
Podsumowanie
Nie ma uniwersalnego zwycięzcy. SAML jest ciężki, ale wymagany w niektórych kręgach. OAuth 2.0 jest lżejszy i bardziej uniwersalny, ale wymaga OIDC dla uwierzytelniania. Klucz: poznaj swojego klienta zanim podejmiesz decyzję. W 2025 roku zarówno SAML, jak i OAuth 2.0 są potrzebne – umiejętność ich współistnienia to Twoja przewaga.
