Обеспечьте соответствие требованиям кибербезопасности

SAML SSO для бизнес- и корпоративных учетных записей

SAML SSO

Введение в SAML SSO

Security Assertion Markup Language (SAML) - это открытый стандарт, обеспечивающий единую регистрацию (SSO). SAML и Single Sign-On являются неотъемлемыми компонентами надежной стратегии кибербезопасности предприятия. Они помогают организации обеспечить беспрепятственный доступ к необходимым ресурсам, сервисам и приложениям. Они также обеспечивают централизованное управление, аутентификацию и прозрачность.

Если ваша организация использует провайдера идентификации (IdP), пользователи из вашей организации могут автоматически входить в Filemail. Мы поддерживаем функцию SAML SSO с основными провайдерами идентификации, такими как Microsoft Entra (Azure AD) и Google Workspace. Таким образом, Filemail вписывается в существующую в вашей организации систему аутентификации, обеспечивая совместное использование файлов в соответствии с политикой вашей организации.

SSO с помощью SAML

Как использовать SAML SSO в Filemail

Filemail предоставляет функцию SAML SSO в наших тарифных планах Business и Enterprise Managed File Transfer. Чтобы настроить SAML SSO в Filemail, вы должны быть владельцем учетной записи Business или Enterprise и обладать правами администратора. Если вы соответствуете этим требованиям, выполните следующие действия.

  1. Войдите в веб-приложение Filemail.
  2. Щелкните имя своей учетной записи (в правом верхнем углу окна браузера) и перейдите в раздел "Настройки".
  3. В меню справа, в самом низу, выберите пункт Единый вход.
  4. В выпадающем списке укажите поставщика услуг SSO (Entra, Google Workspace).
  5. Введите идентификатор арендатора.
  6. Кроме того, вы можете назначить определенные группы для использования Filemail, указав идентификатор группы.

Для получения более подробных инструкций ознакомьтесь со следующими статьями в нашем справочном центре:

Интеграция Microsoft Entra с Filemail

Интеграция Google Workspace с Filemail

Использование SAML SSO в Filemail

Что такое идентификатор арендатора?

Tenant ID - это уникальный идентификатор, присвоенный вашей организации на платформе Identity Providers, такой как Microsoft Entra (Azure Active Directory), Google Workspace и подобные. Часть процесса аутентификации включает в себя использование идентификатора Tenant ID для проверки того, что лицо, использующее определенный логин, является частью каталога организации, и для подтверждения учетных данных пользователя, если это так.

В частности, в случае с Filemail мы используем Tenant ID, чтобы:

  1. Подтвердить принадлежность пользователя к вашей организации.
  2. Применить правильные политики безопасности и доступа, которые вы определили с провайдером идентификации.
  3. Убедиться, что пользователь принадлежит к разрешенной группе.
  4. Проверять учетные данные пользователей перед предоставлением доступа.
Идентификатор арендатора

Что такое SAML?

Security Assertion Markup Language (SAML) - это безопасный протокол на основе XML, обеспечивающий SSO. SAML позволяет определенным сторонам безопасно обмениваться данными аутентификации между поставщиком услуг и поставщиком идентификационных данных.

В нашем случае он обменивается данными между Filemail (поставщиком услуг) и поставщиком идентификационных данных (Entra или Google Workspace). Таким образом, только разрешенные пользователи вашей организации могут получить доступ к Filemail без необходимости вводить одни и те же учетные данные.

определение saml

Что такое SSO?

Single Sign-On (SSO) - это протокол аутентификации пользователей, позволяющий использовать одни и те же учетные данные для входа в различные службы. Вместо того чтобы иметь уникальные учетные данные для каждой службы, используемой вашей организацией, вы используете один учетный код и автоматически входите во все соответствующие службы.

SSO - это распространенный протокол, предоставляемый и используемый крупными технологическими организациями, такими как Microsoft и Google. Например, вы входите в одну службу Google вручную, проверяя себя с помощью учетных данных, в результате чего все остальные службы Google больше не запрашивают у вас учетные данные для входа.

определение sso

Как работает SAML SSO?

  1. Пользователь хочет войти в определенную службу, которая использует SAML SSO.
  2. Поставщик услуг перенаправляет пользователя к поставщику идентификационных данных, например Microsoft Entra или Google Workspace.
  3. Провайдер идентификации предлагает пользователю предоставить свои учетные данные и может запросить дополнительную проверку, например двухфакторную аутентификацию.
  4. Провайдер идентификации проверяет подлинность пользователя и передает поставщику услуг через SAML сообщение об успешной аутентификации.
  5. Поставщик услуг подтверждает это и предоставляет доступ к использованию своего приложения или услуги.
как работает saml sso

Преимущества SSO

Преимущества SSO особенно очевидны в средах с большим количеством сотрудников, использующих различные интегрированные приложения и сервисы:

Экономия времени: отсутствие необходимости многократного входа во множество служб и приложений.

Меньшее количество имен пользователей и паролей для управления: уменьшение трения и повышение удобства работы с несколькими службами.

Сокращение площади атаки: меньшее количество учетных данных уменьшает возможность недобросовестного поведения хакеров, фишеров и мошенников.

Оптимизированный доступ: использование различных приложений и служб с помощью одной аутентификации, что избавляет от необходимости многократно входить в подключенные службы.

Широкая поддержка в корпоративных сетях: организации могут использовать дополнительные услуги, причем все они управляются централизованно и регулируются в соответствии с их внутренней системой кибербезопасности.

Централизованная аутентификация и управление: организации могут обеспечить прозрачность и соответствие требованиям во всех приложениях и службах, управляя пользователями, набором учетных данных и доступом к журналам пользователей в одном месте.

преимущества SSO
Часто задаваемые вопросы

Клиенты спрашивают, мы отвечаем

1. Пользователь пытается получить доступ

Пользователь пытается получить доступ к службе или приложению. Поставщик услуг (SP) не аутентифицирует пользователя напрямую. Вместо этого он инициирует запрос SAML и перенаправляет пользователя к назначенному поставщику идентификационных данных (IdP).

2. Аутентификация пользователя поставщиком идентификационных данных

Провайдер идентификации SAML аутентифицирует пользователя на основе определенных политик безопасности вашей организации. Это может включать в себя:

  • имя пользователя и пароль
  • многофакторная аутентификация (MFA).

Если аутентификация SAML прошла успешно, провайдер идентификации генерирует ответ SAML, называемый утверждением (Assertion).

3. Утверждение отправлено поставщику услуг

Утверждение SAML представляет собой XML-документ с цифровой подписью, который подтверждает личность пользователя и может включать дополнительные атрибуты. Это утверждение безопасно передается поставщику услуг.

4. Поставщик услуг проверяет утверждение

Поставщик услуг проверяет:

  • Цифровую подпись на утверждении, чтобы убедиться, что оно получено от доверенного поставщика идентификационных данных.
  • Что срок действия утверждения не истек.
  • Соответствие аудитории и получателя сервису.
  • Необязательные условия, такие как принадлежность к группе или роли

5. Доступ предоставлен

Если все проверки пройдены, пользователю предоставляется доступ к запрошенной службе или приложению без необходимости повторного входа в систему.

SSO (Single Sign-On) - это концепция, метод однократной аутентификации пользователя для предоставления ему доступа к различным сервисам и приложениям, не требуя дополнительных логинов.

SAML (Security Assertion Markup Language) - это безопасный открытый стандарт, который обеспечивает конкретный технологический метод, определяющий способ аутентификации и безопасного обмена данными между поставщиком услуг и поставщиком идентификационных данных для реализации SSO.

Простой способ понять и подчеркнуть разницу заключается в том, что SAML - это всего лишь один из способов реализации SSO. Другие широко распространенные протоколы, обеспечивающие функциональность SSO, включают OAuth 2.0 и OpenID Connect (OIDC). SAML обычно используется для SSO корпоративного уровня в таких службах, как Box, Salesforce и Filemail, где он широко применяется в критически важных для бизнеса приложениях.

Интеграция SAML SSO в Filemail доступна в учетных записях Business и Enterprise.

В рамках нашей надежной системы безопасности облачных вычислений мы также обеспечиваем сквозное шифрование и защиту паролем для защиты передачи больших файлов при их отправке.