SAML SSO dla kont firmowych i korporacyjnych
Wprowadzenie do SAML SSO
Security Assertion Markup Language (SAML) to otwarty standard umożliwiający logowanie jednokrotne (SSO). SAML i Single Sign-On są integralnymi elementami solidnej strategii cyberbezpieczeństwa przedsiębiorstwa. Pomagają organizacji zapewnić płynny dostęp do wymaganych zasobów, usług i aplikacji. Centralizują również zarządzanie, uwierzytelnianie i przejrzystość.
Jeśli organizacja korzysta z dostawcy tożsamości (IdP), użytkownicy z organizacji mogą automatycznie logować się do Filemail. Obsługujemy funkcję SAML SSO z głównymi dostawcami tożsamości, takimi jak Microsoft Entra (Azure AD) i Google Workspace. Gwarantuje to, że Filemail pasuje do obecnego systemu uwierzytelniania organizacji, umożliwiając tym samym udostępnianie plików zgodnie z zasadami organizacji.
Jak używać SAML SSO z Filemail
Filemail udostępnia SAML SSO w naszych planach Business i Enterprise Managed File Transfer. Aby skonfigurować SAML SSO w Filemail, musisz mieć konto Business lub Enterprise i uprawnienia administratora. Jeśli spełniasz te wymagania, wykonaj poniższe kroki.
- Zaloguj się do aplikacji internetowej Filemail.
- Kliknij nazwę swojego konta (w prawym górnym rogu okna przeglądarki) i przejdź do Ustawień.
- W menu po prawej stronie, u dołu, wybierz opcję Logowanie jednokrotne
- Określ dostawcę SSO w rozwijanym menu (Entra, Google Workspace).
- Wprowadź identyfikator dzierżawcy.
- Dodatkowo możesz wyznaczyć określone grupy do korzystania z Filemail, określając identyfikator grupy.
Aby uzyskać bardziej szczegółowe instrukcje, zapoznaj się z następującymi artykułami w naszym centrum pomocy:
Co to jest identyfikator dzierżawcy?
Tenant ID to unikalny identyfikator przypisany do tożsamości organizacji na platformie dostawców tożsamości, takich jak Microsoft Entra (Azure Active Directory), Google Workspace i podobnych. Część procesu uwierzytelniania będzie obejmować użycie identyfikatora dzierżawcy w celu zweryfikowania, czy osoba korzystająca z określonego poświadczenia logowania jest częścią katalogu organizacji, oraz w celu zweryfikowania poświadczeń użytkownika, jeśli tak jest.
W szczególności w przypadku Filemail używamy Tenant ID do:
- Potwierdzenia, że użytkownik należy do organizacji.
- Zastosowania prawidłowych zasad bezpieczeństwa i dostępu zdefiniowanych przez dostawcę tożsamości.
- Sprawdzenia, czy użytkownik należy do dozwolonej grupy.
- Weryfikacji poświadczeń użytkownika przed przyznaniem dostępu.
Co to jest SAML?
Security Assertion Markup Language (SAML) to bezpieczny protokół oparty na XML, który umożliwia logowanie jednokrotne. SAML pozwala określonym stronom na bezpieczną wymianę danych uwierzytelniających między dostawcą usług a dostawcą tożsamości.
W naszym przypadku jest to wymiana danych między Filemail (dostawcą usług) a dostawcą tożsamości (Entra lub Google Workspace). Gwarantuje to, że tylko dozwoleni użytkownicy z Twojej organizacji mogą uzyskać dostęp do Filemail, bez konieczności wprowadzania tych samych danych uwierzytelniających.
Co to jest SSO?
Single Sign-On (SSO) to protokół uwierzytelniania użytkownika, który umożliwia korzystanie z tych samych poświadczeń logowania dla wielu różnych usług. Zamiast posiadania unikalnych, niepowiązanych poświadczeń dla każdej usługi używanej przez organizację, użytkownik używa jednego poświadczenia i jest automatycznie logowany do wszystkich powiązanych usług.
SSO jest powszechnym protokołem dostarczanym i używanym przez główne organizacje technologiczne, takie jak Microsoft i Google. Na przykład użytkownik loguje się do jednej usługi Google ręcznie, weryfikując się przy użyciu swoich danych logowania, co powoduje, że wszystkie inne usługi Google nie wymagają już podawania danych logowania.
Jak działa SAML SSO?
- Użytkownik chce zalogować się do konkretnej usługi, która korzysta z SAML SSO.
- Dostawca usługi przekieruje użytkownika do dostawcy tożsamości, takiego jak Microsoft Entra lub Google Workspace.
- Dostawca tożsamości poprosi użytkownika o przesłanie poświadczeń i może zażądać dodatkowej weryfikacji, takiej jak uwierzytelnianie dwuskładnikowe.
- Dostawca tożsamości uwierzytelnia użytkownika i komunikuje dostawcy usług za pośrednictwem SAML, że uwierzytelnienie zakończyło się powodzeniem.
- Usługodawca potwierdzi to i przyzna dostęp do korzystania z jego aplikacji lub usługi.
Korzyści z SSO
Korzyści z SSO są szczególnie widoczne w środowiskach z wieloma pracownikami, którzy korzystają z różnych zintegrowanych aplikacji i usług:
Oszczędnośćczasu: bez konieczności wielokrotnego logowania się do wielu usług i aplikacji.
Mniejsza liczba nazw użytkowników i haseł do zarządzania: co zmniejsza tarcia i zwiększa komfort korzystania z wielu usług.
Zmniejszenie powierzchni ataku: mniejsza liczba danych uwierzytelniających zmniejsza możliwość pozbawionego skrupułów zachowania hakerów, phisherów i oszustów.
Usprawniony dostęp: korzystanie z różnych aplikacji i usług za pomocą jednego uwierzytelnienia, eliminując potrzebę wielokrotnego logowania się do połączonych usług.
Szerokie wsparcie w środowiskach korporacyjnych: organizacje mogą korzystać z dodatkowych usług, z których wszystkie są centralnie zarządzane i regulowane przez ich wewnętrzny stan bezpieczeństwa cybernetycznego.
Scentralizowane uwierzytelnianie i zarządzanie: organizacje mogą egzekwować przejrzystość i zgodność w wielu aplikacjach i usługach, zarządzając użytkownikami, zestawem poświadczeń i uzyskując dostęp do dzienników użytkowników w jednym miejscu.
Klienci pytają, my odpowiadamy
1. Użytkownik próbuje uzyskać dostęp
Użytkownik próbuje uzyskać dostęp do usługi lub aplikacji. Dostawca usług (SP) nie uwierzytelnia użytkownika bezpośrednio. Zamiast tego inicjuje żądanie SAML i przekierowuje użytkownika do wyznaczonego dostawcy tożsamości (IdP).
2. Uwierzytelnianie użytkownika przez dostawcę tożsamości
Dostawca tożsamości SAML uwierzytelnia użytkownika w oparciu o zdefiniowane przez organizację zasady bezpieczeństwa. Może to obejmować
- Nazwa użytkownika i hasło
- Uwierzytelnianie wieloskładnikowe (MFA)
Jeśli uwierzytelnianie SAML powiedzie się, dostawca tożsamości generuje odpowiedź SAML, zwaną asercją.
3. Potwierdzenie wysłane do dostawcy usług
Asercja SAML jest cyfrowo podpisanym dokumentem XML, który potwierdza tożsamość użytkownika i może zawierać dodatkowe atrybuty. To potwierdzenie jest bezpiecznie przesyłane do usługodawcy.
4. Usługodawca weryfikuje asercję
Usługodawca weryfikuje:
- Podpis cyfrowy na asercji, aby upewnić się, że pochodzi ona od zaufanego dostawcy tożsamości.
- czy asercja nie wygasła
- Czy odbiorca i odbiorca pasują do usługi
- Opcjonalne warunki, takie jak członkostwo w grupie lub roli
5. Dostęp jest przyznawany
Jeśli wszystkie walidacje przejdą pomyślnie, użytkownik otrzymuje dostęp do żądanej usługi lub aplikacji bez konieczności ponownego logowania.
SSO (Single Sign-On) to koncepcja, metoda jednokrotnego uwierzytelniania użytkownika w celu przyznania mu dostępu do wielu usług i aplikacji, bez konieczności dodatkowego logowania.
SAML (Security Assertion Markup Language) to bezpieczny otwarty standard, który ułatwia określoną metodę technologiczną, która definiuje sposób uwierzytelniania i bezpiecznej wymiany danych między dostawcą usług a dostawcą tożsamości w celu wdrożenia SSO.
Prostym sposobem na zrozumienie i podkreślenie różnicy jest to, że SAML jest tylko jednym ze sposobów wdrożenia SSO. Inne powszechnie przyjęte protokoły, które umożliwiły funkcjonalność SSO, obejmują OAuth 2.0 i OpenID Connect (OIDC). SAML jest zwykle używany do SSO klasy korporacyjnej z usługami takimi jak Box, Salesforce i Filemail, gdzie jest szeroko stosowany w aplikacjach o znaczeniu krytycznym dla biznesu.
Integracja SAML SSO z Filemail jest dostępna na naszych kontach Business i Enterprise.
W ramach naszego solidnego zabezpieczenia chmury zapewniamy również kompleksowe szyfrowanie i ochronę hasłem w celu ochrony dużych transferów plików podczas wysyłania dużych plików.