サイバーセキュリティ対策でコンプライアンスを維持する

ビジネスおよびエンタープライズアカウントのためのSAML SSO

SAML SSO

SAML SSO の紹介

SAML(Security Assertion Markup Language)は、シングルサインオン(SSO)を可能にするオープンスタンダードである。SAML とシングルサインオンは、強固な企業サイバーセキュリティ戦略に不可欠なコンポーネントである。組織が必要なリソース、サービス、アプリケーションにシームレスにアクセスできるようにします。また、管理、認証、透明性を一元化する。

組織が ID プロバイダー(IdP)を使用している場合、組織のユーザーは自動的にFilemail にログインできます。私たちは、Microsoft Entra (Azure AD) や Google Workspace などの主要な ID プロバイダーとの SAML SSO 機能をサポートしています。これにより、Filemail は組織の現在の認証システムに適合し、組織のポリシーに準拠したファイル共有が可能になります。

SAMLによるSSO

ファイルメールで SAML SSO を使用する方法

ファイルメールは、ビジネスおよびエンタープライズのマネージドファイル転送プランで SAML SSO を提供しています。ファイルメールで SAML SSO をセットアップするには、ビジネスまたはエンタープライズアカウントで、管理者権限を持っている必要があります。条件を満たしている場合は、以下の手順に従ってください。

  1. Filemail ウェブアプリにサインインします。
  2. アカウント名(ブラウザウィンドウの右上)をクリックし、「設定」に進みます。
  3. 右側のメニューの一番下にある「シングルサインオン」を選択します。
  4. ドロップダウンでSSOプロバイダーを指定します(Entra、Google Workspace)。
  5. テナントIDを入力します。
  6. さらに、グループ ID を指定することで、Filemail を使用する特定のグループを指定できます。

より詳細な手順については、ヘルプセンターの以下の記事をご覧ください:

Microsoft Entra と Filemail の統合

Google Workspace と Filemail の統合

ファイルメールでの SAML SSO の使用

テナントIDとは何ですか?

テナントIDとは、Microsoft Entra(Azure Active Directory)、Google Workspaceなどのアイデンティティプロバイダのプラットフォーム上で組織のアイデンティティに割り当てられる一意の識別子です。認証プロセスの一部では、テナントIDを使用して、特定のログイン認証情報を使用している人が組織のディレクトリの一部であることを確認し、そうであればユーザーの認証情報を検証します。

具体的には、ファイルメールの場合、テナントIDを次のように使用します:

  1. ユーザーが組織に属していることを確認します。
  2. Identity Provider で定義した正しいセキュリティおよびアクセスポリシーを適用します。
  3. ユーザーが許可されたグループに属していることを確認します。
  4. アクセスを許可する前に、ユーザーの認証情報を確認します。
テナントID

SAML とは

SAML(Security Assertion Markup Language)は、SSO を可能にする安全な XML ベースのプロトコルである。SAML は、サービス・プロバイダと ID プロバイダの間で、特定の関係者が認証データを安全に交換することを可能にする。

私たちのケースでは、Filemail(サービスプロバイダ)と ID プロバイダ(Entra または Google Workspace)の間でデータを交換します。これにより、組織の許可されたユーザーだけが、同じ認証情報を入力することなく、Filemail にアクセスできるようになります。

saml定義

SSOとは?

シングルサインオン(SSO)は、様々な異なるサービスに同じログイン認証情報を使用することを許可するユーザー認証プロトコルです。あなたの組織が使用するすべてのサービスに対して一意の無関係な認証情報を持つ代わりに、あなたは1つの認証情報を使用し、すべての関連サービスに自動的にログインされます。

SSOは、MicrosoftやGoogleのような主要な技術組織によって提供され、使用されている一般的なプロトコルである。例えば、あるGoogleサービスに手動でログインし、ログイン認証情報を使って自分自身を確認すると、他のすべてのGoogleサービスがログイン認証情報の入力を求めなくなる。

ssoの定義

SAML SSO の仕組み

  1. ユーザは、SAML SSO を使用する特定のサービスにログインしたい。
  2. サービスプロバイダは、ユーザを Microsoft Entra や Google Workspace などの ID プロバイダにリダイレクトする。
  3. ID プロバイダは、ユーザに資格情報の提出を促し、2 要素認証などの追加検証を要求する場合がある。
  4. ID プロバイダはユーザを認証し、認証が成功したことを SAML を通してサービスプロバイダに伝える。
  5. サービスプロバイダはこれを承認し、アプリやサービスの利用を許可する。
サムエル・ソの仕組み

SSOの利点

SSOの利点は、統合された様々なアプリケーションやサービスを使用する多くの従業員がいる環境で特に顕著です:

時間の節約: 多数のサービスやアプリに繰り返しログインする必要がない。

管理するユーザー名とパスワードの数を減らす: その結果、摩擦が減り、複数のサービスにわたるユーザーエクスペリエンスが向上する。

攻撃対象の削減:認証情報を少なくすることで、ハッカーやフィッシャー、詐欺師による不正行為の機会を減らすことができます。

アクセスの合理化:1つの認証でさまざまなアプリやサービスを利用できるため、接続されたサービスに繰り返しログインする必要がなくなります。

企業環境での幅広いサポート:企業は、追加サービスを利用することができ、すべて一元管理され、社内のサイバーセキュリティ態勢によって管理されます。

認証と管理の一元化:企業は、ユーザー、認証情報のセット、ユーザーログへのアクセスを一元管理することで、さまざまなアプリやサービスにわたって透明性とコンプライアンスを強化できます。

SSOの利点
よくある質問

クライアントからの質問に答える

1.ユーザーがアクセスを試みる

ユーザーがサービスやアプリケーションへのアクセスを試みる。サービスプロバイダ(SP)は、ユーザを直接認証しない。代わりに SAML 要求を開始し、指定された ID プロバイダ(IdP)にユーザをリダイレクトする。

2.ID プロバイダによるユーザ認証

SAML ID プロバイダは、組織で定義されたセキュリティポリシーに基づいてユーザを 認証する。これには以下が含まれる:

  • ユーザ名とパスワード
  • 多要素認証(MFA)

SAML 認証が成功すると、ID プロバイダはアサーションと呼ばれる SAML 応答を生成する。

3.サービスプロバイダに送信されるアサーション

SAML アサーションは、電子署名された XML 文書であり、ユーザの ID を確認し、追加属性を含 むことができる。このアサーションは、サービス・プロバイダに安全に送信される。

4.サービス・プロバイダがアサーションを検証する。

サービス・プロバイダは検証する:

  • アサーション上のデジタル署名を検証し、それが信頼できるアイデンティティ・プロバイダ からのものであることを確認する。
  • アサーションの有効期限が切れていないこと。
  • 対象者および受信者がサービスに一致すること。
  • グループまたはロールのメンバシップなど、オプションの条件

5.アクセスの許可

すべてのバリデーションに合格した場合、ユーザーは再ログインすることなく、要求されたサービスまたはアプリケーションへのアクセスが許可されます。

SSO(Single Sign-On)は概念であり、追加のログインを必要とせずに、ユーザーを一度認証して複数のサービスやアプリへのアクセスを許可する方法である。

SAML(Security Assertion Markup Language)は、SSOを実装するために、サービス・プロバイダーとIDプロバイダーの間でデータを認証し、安全に交換する方法を定義する特定の技術的方法を促進する安全なオープン・スタンダードである。

この違いを理解し強調する簡単な方法は、SAMLはSSOを実装する1つの方法にすぎないということである。SSO機能を実現する他の広く採用されているプロトコルには、OAuth 2.0とOpenID Connect(OIDC)がある。SAML は通常、Box、Salesforce、Filemail などのサービスでのエンタープライズグレードの SSO に使用され、ビジネスクリティカルなアプリケーションで広く採用されている。

Filemail の SAML SSO 統合は、ビジネスおよびエンタープライズアカウントでご利用いただけます。

堅牢なクラウドセキュリティの一環として、大容量ファイルを 送信 する際には、エンドツーエンドの暗号化とパスワードによる保護も提供しています。