SAML SSO verslo ir įmonių paskyroms

Įvadas į SAML SSO
"Security Assertion Markup Language" (SAML) - tai atviras standartas, leidžiantis atlikti vieną prisijungimą (SSO). SAML ir vienkartinis prisijungimas yra neatsiejami patikimos įmonės kibernetinio saugumo strategijos komponentai. Jie padeda organizacijai užtikrinti sklandžią prieigą prie reikiamų išteklių, paslaugų ir programų. Jie taip pat centralizuoja valdymą, autentiškumo nustatymą ir skaidrumą.
Jei jūsų organizacija naudoja tapatybės paslaugų teikėją (IdP), jūsų organizacijos naudotojai gali automatiškai prisijungti prie "Filemail". Palaikome SAML SSO funkciją su pagrindiniais tapatybės teikėjais, tokiais kaip "Microsoft Entra" (Azure AD) ir "Google Workspace". Taip užtikrinama, kad "Filemail" įsilies į dabartinę jūsų organizacijos autentifikavimo sistemą ir bus galima dalytis failais, atitinkančiais jūsų organizacijos politiką.

Kaip naudoti SAML SSO su "Filemail
"Filemail" teikia SAML SSO mūsų verslo ir įmonės valdomuose failų perdavimo planuose. Norėdami nustatyti SAML SSO "Filemail", turite turėti Verslo arba Įmonės paskyrą ir administratoriaus teises. Jei atitinkate šiuos reikalavimus, atlikite toliau nurodytus veiksmus.
- Prisijunkite prie "Filemail" žiniatinklio programos.
- Spustelėkite savo paskyros pavadinimą (naršyklės lango viršuje dešinėje) ir eikite į Nustatymai.
- Meniu dešinėje, netoli apačios, pasirinkite Single Sign-On (vienkartinis prisijungimas).
- Išskleidžiamajame sąraše nurodykite SSO teikėją (Entra, Google Workspace).
- Įveskite nuomininko ID.
- Be to, nurodydami grupės ID, galite paskirti konkrečias grupes, kurios naudosis "Filemail".
Išsamesnių instrukcijų rasite šiuose mūsų pagalbos centro straipsniuose:

Kas yra nuomininko ID?
Nuomininko ID yra unikalus identifikatorius, priskirtas jūsų organizacijos tapatybei tapatybės teikėjų platformoje, pavyzdžiui, "Microsoft Entra" ("Azure Active Directory"), "Google Workspace" ir panašiai. Autentifikavimo proceso dalis yra Nuomininko ID naudojimas siekiant patikrinti, ar asmuo, naudojantis tam tikrą prisijungimo įgaliojimą, yra organizacijos katalogo dalis, ir patvirtinti naudotojo įgaliojimus, jei taip yra.
Konkrečiai "Filemail" atveju mes naudojame "Tenant ID", kad:
- Patvirtinti, kad naudotojas priklauso jūsų organizacijai.
- Taikyti teisingas saugumo ir prieigos politikas, kurias apibrėžėte su tapatybės teikėju.
- Patikrinti, ar naudotojas priklauso leistinai grupei.
- Prieš suteikiant prieigą patikrinti naudotojo įgaliojimus.

Kas yra SAML?
"Security Assertion Markup Language" (SAML) - tai saugus XML pagrįstas protokolas, leidžiantis atlikti SSO. SAML leidžia tam tikroms šalims saugiai keistis autentiškumo patvirtinimo duomenimis tarp paslaugų teikėjo ir tapatybės teikėjo.
Mūsų atveju duomenimis keičiasi "Filemail" (paslaugos teikėjas) ir tapatybės teikėjas (Entra arba Google Workspace). Taip užtikrinama, kad prie "Filemail" gali prisijungti tik leistini jūsų organizacijos naudotojai, kuriems nereikia įvesti tų pačių prisijungimo duomenų.

Kas yra SSO?
Vienkartinis prisijungimas (SSO) - tai naudotojo autentifikavimo protokolas, leidžiantis asmeniui naudoti tuos pačius prisijungimo duomenis įvairioms paslaugoms. Užuot turėję unikalius nesusijusius įgaliojimus kiekvienai jūsų organizacijos naudojamai paslaugai, naudojate vieną įgaliojimą ir automatiškai prisijungiate prie visų susijusių paslaugų.
SSO yra plačiai paplitęs protokolas, kurį teikia ir naudoja pagrindinės technologijų organizacijos, pavyzdžiui, "Microsoft" ir "Google". Pavyzdžiui, prie vienos "Google" paslaugos prisijungiate rankiniu būdu, pasitikrinate save naudodami prisijungimo duomenis, todėl visos kitos "Google" paslaugos nebereikalauja pateikti prisijungimo duomenų.

Kaip veikia SAML SSO?
- Naudotojas nori prisijungti prie tam tikros paslaugos, kuri naudoja SAML SSO.
- Paslaugos teikėjas nukreipia naudotoją į tapatybės teikėją, pavyzdžiui, "Microsoft Entra" arba "Google Workspace".
- Tapatybės teikėjas paprašo naudotojo pateikti savo įgaliojimus ir gali paprašyti papildomo patikrinimo, pavyzdžiui, dviejų veiksnių autentiškumo patvirtinimo.
- Tapatybės teikėjas patvirtina naudotojo autentiškumą ir per SAML praneša paslaugų teikėjui, kad autentiškumo nustatymas buvo sėkmingas.
- Paslaugų teikėjas tai patvirtins ir suteiks prieigą naudotis jo programa ar paslauga.

SSO privalumai
SSO nauda ypač akivaizdi aplinkoje, kurioje dirba daug darbuotojų, naudojančių įvairias integruotas programas ir paslaugas:
Sutaupykite laiko: nereikia pakartotinai prisijungti prie daugybės paslaugų ir programų.
Mažiau vartotojo vardų ir slaptažodžių, kuriuos reikia tvarkyti: dėl to sumažėja trintis ir padidėja naudotojų patirtis naudojantis įvairiomis paslaugomis.
Sumažinti atakų paviršių: mažiau prisijungimo duomenų sumažina nesąžiningo įsilaužėlių, melagių ir sukčių elgesio galimybes.
Supaprastinta prieiga: naudokitės įvairiomis programėlėmis ir paslaugomis naudodami vieną autentifikavimą, todėl nebereikia pakartotinai prisijungti prie prijungtų paslaugų.
Plačiai palaikomas įmonių aplinkoje: organizacijos gali naudotis papildomomis paslaugomis, kurios visos yra centralizuotai valdomos ir reguliuojamos pagal jų vidaus kibernetinio saugumo nuostatas.
Centralizuotas autentifikavimas ir valdymas: organizacijos gali užtikrinti skaidrumą ir atitiktį įvairioms programoms ir paslaugoms, vienoje vietoje valdydamos naudotojus, įgaliojimų rinkinį ir prieigą prie naudotojų žurnalų.

Klientai klausia, mes atsakome
1. Vartotojas bando prisijungti
Naudotojas bando prisijungti prie paslaugos ar programos. Paslaugų teikėjas (SP) tiesiogiai nepatvirtina naudotojo autentiškumo. Vietoj to jis inicijuoja SAML užklausą ir nukreipia naudotoją į paskirtą tapatybės teikėją (IdP).
2. Naudotojo autentiškumo nustatymas pagal tapatybės teikėją
SAML tapatybės teikėjas autentifikuoja naudotoją remdamasis jūsų organizacijos nustatytomis saugumo politikomis. Tai gali apimti:
- Vartotojo vardas ir slaptažodis
- kelių veiksnių autentiškumo nustatymas (MFA)
Jei SAML autentiškumo nustatymas sėkmingas, tapatybės teikėjas sukuria SAML atsakymą, vadinamą patvirtinimu.
3. Paslaugų teikėjui siunčiamas patvirtinimas
SAML patvirtinimas yra skaitmeniniu parašu pasirašytas XML dokumentas, patvirtinantis naudotojo tapatybę ir galintis turėti papildomų atributų. Šis patvirtinimas saugiai perduodamas paslaugų teikėjui.
4. Paslaugų teikėjas patvirtina patvirtinimą
Paslaugų teikėjas patikrina:
- skaitmeninį parašą, kad įsitikintų, jog jis yra iš patikimo tapatybės teikėjo.
- Ar teiginio galiojimo laikas nepasibaigė.
- Ar auditorija ir gavėjas atitinka paslaugą
- Neprivalomas sąlygas, pavyzdžiui, priklausomybę grupei ar vaidmeniui
5. Suteikta prieiga
Jei visos patikros išlaikomos, naudotojui suteikiama prieiga prie prašomos paslaugos ar programos, ir jam nereikia iš naujo prisijungti.
SSO (angl. Single Sign-On) - tai koncepcija, metodas, kuriuo naudotojas autentifikuojamas vieną kartą, kad jam būtų suteikta prieiga prie kelių paslaugų ir programų, nereikalaujant papildomų prisijungimų.
SAML (Security Assertion Markup Language) yra saugus atviras standartas, kuris palengvina konkretų technologinį metodą, apibrėžiantį, kaip paslaugų teikėjui ir tapatybės nustatymo paslaugų teikėjui nustatyti autentiškumą ir saugiai keistis duomenimis, kad būtų galima įgyvendinti SSO.
Paprastas būdas suprasti ir pabrėžti skirtumą yra toks: SAML yra tik vienas iš SSO įgyvendinimo būdų. Kiti plačiai paplitę protokolai, kurie įgalina SSO funkcijas, yra OAuth 2.0 ir OpenID Connect (OIDC). SAML paprastai naudojamas įmonių lygio SSO su tokiomis paslaugomis kaip "Box", "Salesforce" ir "Filemail", kur jis plačiai taikomas verslui svarbiose taikomosiose programose.
Be to, kaip tvirtos debesijos saugumo sistemos dalį, siunčiant didelius failus naudojame galutinį šifravimą ir slaptažodžių apsaugą, kad apsaugotume didelių failų perdavimą.