SAML SSO yrityksille ja yritystileille

Johdatus SAML SSO:hon
SAML (Security Assertion Markup Language) on avoin standardi, joka mahdollistaa SSO:n (Single Sign-On). SAML ja Single Sign-On ovat olennainen osa yrityksen vankkaa kyberturvallisuusstrategiaa. Ne auttavat organisaatiota tarjoamaan saumattoman pääsyn tarvittaviin resursseihin, palveluihin ja sovelluksiin. Ne myös keskittävät hallinnan, todennuksen ja läpinäkyvyyden.
Jos organisaatiosi käyttää tunnistuspalveluntarjoajaa (IdP), organisaatiosi käyttäjät voivat kirjautua automaattisesti Filemailiin. Tuemme SAML SSO -toiminnallisuutta tärkeimpien identiteettipalveluntarjoajien, kuten Microsoft Entran (Azure AD) ja Google Workspacen kanssa. Näin varmistetaan, että Filemail sopii organisaatiosi nykyiseen todennusjärjestelmään, mikä mahdollistaa organisaatiosi käytäntöjen mukaisen tiedostojen jakamisen.

SAML SSO:n käyttäminen Filemailin kanssa
Filemail tarjoaa SAML SSO:n Business- ja Enterprise Managed File Transfer -paketeissamme. Jotta voit määrittää SAML SSO:n Filemailissa, sinun on oltava Business- tai Enterprise-tilillä ja sinulla on oltava järjestelmänvalvojan oikeudet. Jos täytät vaatimukset, noudata alla olevia ohjeita.
- Kirjaudu sisään Filemail-verkkosovellukseen.
- Napsauta tilisi nimeä (selainikkunan oikeassa yläkulmassa) ja siirry kohtaan Asetukset.
- Valitse oikeanpuoleisessa valikossa, lähellä alareunaa, Single Sign-On.
- Määritä SSO-palveluntarjoajasi avattavasta valikosta (Entra, Google Workspace).
- Anna vuokralaisen tunnus.
- Lisäksi voit määrittää tietyt ryhmät käyttämään Filemailia määrittämällä ryhmätunnuksen.
Tarkemmat ohjeet löydät seuraavista ohjeiden artikkeleista Ohjekeskuksestamme:

Mikä on vuokralaisen henkilöllisyystodistus?
Vuokralaisen tunnus on yksilöllinen tunniste, joka on annettu organisaatiosi identiteetille identiteetin tarjoajien alustalla, kuten Microsoft Entra (Azure Active Directory), Google Workspace ja vastaavat. Osana todennusprosessia vuokralaisen tunnuksen avulla tarkistetaan, että tiettyä kirjautumistunnusta käyttävä henkilö on osa organisaation hakemistoa, ja validoidaan käyttäjän tunnistetiedot, jos ne ovat.
Filemailin tapauksessa käytämme Tenant ID:tä erityisesti seuraaviin tarkoituksiin:
- Varmistaa, että käyttäjä kuuluu organisaatioon.
- Soveltaa oikeita suojaus- ja käyttöoikeuskäytäntöjä, jotka olet määritellyt identiteettipalveluntarjoajan kanssa.
- Varmistaa, että käyttäjä kuuluu sallittuun ryhmään.
- Tarkistamaan käyttäjän tunnistetiedot ennen käyttöoikeuden myöntämistä.

Mikä on SAML?
Security Assertion Markup Language (SAML) on turvallinen XML-pohjainen protokolla, joka mahdollistaa SSO:n. SAML antaa tietyille osapuolille mahdollisuuden vaihtaa todennustietoja turvallisesti palveluntarjoajan ja tunnistuspalveluntarjoajan välillä.
Meidän tapauksessamme se vaihtaa tietoja Filemailin (palveluntarjoaja) ja tunnistuspalveluntarjoajan (joko Entra tai Google Workspace) välillä. Näin varmistetaan, että vain organisaatiosi sallitut käyttäjät voivat käyttää Filemailia ilman, että heidän tarvitsee syöttää samoja tunnistetietoja.

Mikä on SSO?
Single Sign-On (SSO) on käyttäjän todennusprotokolla, jonka avulla henkilö voi käyttää samoja kirjautumistietoja useissa eri palveluissa. Sen sijaan, että sinulla olisi yksilölliset, toisiinsa liittymättömät tunnukset jokaista organisaatiosi käyttämää palvelua varten, käytät yhtä tunnusta ja kirjaudut automaattisesti kaikkiin asiaan liittyviin palveluihin.
SSO on yleinen protokolla, jota tarjoavat ja käyttävät suuret teknologiaorganisaatiot, kuten Microsoft ja Google. Kirjaudut esimerkiksi yhteen Google-palveluun manuaalisesti ja varmistat itsesi kirjautumistunnuksillasi, jolloin kaikki muut Google-palvelut eivät enää pyydä sinulta kirjautumistunnuksia.

Miten SAML SSO toimii?
- Käyttäjä haluaa kirjautua tiettyyn palveluun, joka käyttää SAML SSO:ta.
- Palveluntarjoaja ohjaa käyttäjän identiteettipalveluntarjoajalle, kuten Microsoft Entraan tai Google Workspaceen.
- Identiteettipalveluntarjoaja pyytää käyttäjää toimittamaan tunnistetietonsa ja voi pyytää lisävarmennusta, kuten kaksitekijätodennusta.
- Identiteettipalveluntarjoaja todentaa käyttäjän ja ilmoittaa SAMLin kautta palveluntarjoajalle, että todentaminen onnistui.
- Palveluntarjoaja kuittaa tämän ja myöntää pääsyn sovelluksensa tai palvelunsa käyttöön.

SSO:n edut
SSO:n hyödyt ovat erityisen ilmeisiä ympäristöissä, joissa on paljon työntekijöitä, jotka käyttävät erilaisia integroituja sovelluksia ja palveluja:
Säästää aikaa: ei tarvitse kirjautua useisiin palveluihin ja sovelluksiin toistuvasti.
Vähemmän käyttäjätunnuksia ja salasanoja hallinnoitavaksi: mikä vähentää kitkaa ja parantaa käyttäjäkokemusta useissa palveluissa.
Hyökkäyspinnan pienentäminen: Vähemmän tunnuksia vähentää hakkerien, phishereiden ja huijareiden häikäilemättömän toiminnan mahdollisuuksia.
Virtaviivaistettu pääsy: käytä useita sovelluksia ja palveluja yhdellä todennuksella, jolloin ei tarvitse kirjautua toistuvasti yhdistettyihin palveluihin.
Laajasti tuettu yritysympäristöissä: organisaatiot voivat hyödyntää lisäpalveluita, jotka kaikki ovat keskitetysti hallinnoituja ja sisäisen kyberturvallisuusaseman ohjaamia.
Keskitetty todennus ja hallinta: organisaatiot voivat valvoa avoimuutta ja vaatimustenmukaisuutta useissa eri sovelluksissa ja palveluissa hallinnoimalla käyttäjiä, tunnistetietoja ja pääsemällä käyttölokeihin yhdessä paikassa.

Asiakkaat kysyvät, me vastaamme
1. Käyttäjä yrittää pääsyä
Käyttäjä yrittää käyttää palvelua tai sovellusta. Palveluntarjoaja (SP) ei tunnista käyttäjää suoraan. Sen sijaan se käynnistää SAML-pyynnön ja ohjaa käyttäjän nimetylle tunnistuspalveluntarjoajalle (IdP).
2. Käyttäjän todennus identiteetin tarjoajan toimesta
SAML-tunnistuspalveluntarjoaja todentaa käyttäjän organisaation määrittelemien turvallisuuskäytäntöjen perusteella. Tähän voi sisältyä mm:
- Käyttäjätunnus ja salasana
- Monitekijätodennus (MFA).
Jos SAML-todennus onnistuu, identiteettipalveluntarjoaja luo SAML-vastauksen, jota kutsutaan väitteeksi.
3. Palveluntarjoajalle lähetetty vakuutus
SAML Assertion on digitaalisesti allekirjoitettu XML-dokumentti, joka vahvistaa käyttäjän henkilöllisyyden ja voi sisältää lisäattribuutteja. Assertion lähetetään turvallisesti palveluntarjoajalle.
4. Palveluntarjoaja validoi vakuutuksen
Palveluntarjoaja tarkistaa:
- Väitteen digitaalisen allekirjoituksen varmistaakseen, että se on peräisin luotettavalta identiteetin tarjoajalta.
- Että vakuutuksen voimassaolo ei ole päättynyt.
- Että yleisö ja vastaanottaja vastaavat palvelua
- Valinnaiset ehdot, kuten ryhmän tai roolin jäsenyys
5. Käyttöoikeus myönnetään
Jos kaikki validoinnit hyväksytään, käyttäjälle myönnetään pääsy pyydettyyn palveluun tai sovellukseen ilman uutta kirjautumista.
SSO (Single Sign-On) on käsite, menetelmä, jolla käyttäjä todennetaan kerran ja annetaan hänelle pääsy useisiin palveluihin ja sovelluksiin ilman lisäkirjautumisia.
SAML (Security Assertion Markup Language) on turvallinen avoin standardi, joka helpottaa erityistä teknistä menetelmää, jossa määritellään, miten todennetaan ja vaihdetaan turvallisesti tietoja palveluntarjoajan ja identiteetin tarjoajan välillä SSO:n toteuttamiseksi.
Yksinkertainen tapa ymmärtää ja korostaa eroa on, että SAML on vain yksi tapa toteuttaa SSO. Muita laajalti hyväksyttyjä protokollia, jotka mahdollistavat SSO-toiminnot, ovat OAuth 2.0 ja OpenID Connect (OIDC). SAMLia käytetään tyypillisesti yritystason SSO:ssa palveluissa, kuten Box, Salesforce ja Filemail, joissa se on laajalti käytössä liiketoimintakriittisissä sovelluksissa.
Filemailin SAML SSO -integraatio on saatavilla Business- ja Enterprise-tileillämme.
Osana vankkaa pilvipalvelun tietoturvaa tarjoamme myös päästä päähän -salauksen ja salasanasuojauksen suurten tiedostojen siirtojen suojaamiseksi, kun lähetät suuria tiedostoja.