保持网络安全态势合规

适用于商业和企业账户的 SAML SSO

SAML SSO

SAML SSO 简介

安全断言标记语言(SAML)是实现单点登录(SSO)的开放标准。SAML 和单点登录是强大的企业网络安全战略不可或缺的组成部分。它们有助于企业提供对所需资源、服务和应用程序的无缝访问。它们还能实现集中管理、身份验证和透明化。

如果贵组织使用身份供应商(IdP),则贵组织的用户可自动登录Filemail。我们支持Microsoft Entra (Azure AD)和Google Workspace等主要身份提供商的SAML SSO功能。这可确保Filemail适合贵组织当前的身份验证系统,从而实现符合贵组织政策的文件共享

使用 SAML 进行 SSO

如何在Filemail中使用SAML SSO

Filemail在我们的商业企业文件传输管理计划中提供SAML SSO。要在 Filemail 中设置 SAML SSO,您必须拥有商业或企业账户,并具有管理员权限。如果您符合要求,请按照以下步骤操作。

  1. 登录 Filemail Web 应用程序。
  2. 点击你的账户名(浏览器窗口右上方),进入设置。
  3. 在右侧靠近底部的菜单中,选择单点登录
  4. 在下拉菜单中指定单点登录提供商(Entra、Google Workspace)。
  5. 输入租户 ID。
  6. 此外,您还可以通过指定组 ID 来指定特定组使用 Filemail。

有关更详细的说明,请查看我们帮助中心的以下文章:

Microsoft Entra 与 Filemail 的集成

谷歌工作区与 Filemail 的集成

在 Filemail 中使用 SAML SSO

什么是租户 ID?

租户 ID 是指在身份提供商平台(如 Microsoft Entra(Azure 活动目录)、Google Workspace 等)上分配给贵组织身份的唯一标识符。部分身份验证过程需要使用租户ID来验证使用特定登录凭证的人是否属于组织目录的一部分,如果是,则验证用户的凭证。

具体来说,在Filemail的案例中,我们使用租户ID来

  1. 确认用户属于你的组织。
  2. 应用与身份供应商共同定义的正确安全和访问策略。
  3. 确认用户属于允许的组。
  4. 在授予访问权限之前验证用户证书。
租户 ID

什么是 SAML?

安全断言标记语言(SAML)是一种基于 XML 的安全协议,可实现 SSO。SAML允许某些方面在服务提供商和身份提供商之间安全地交换身份验证数据。

在我们的案例中,它在 Filemail(服务提供商)和身份提供商(Entra 或 Google Workspace)之间交换数据。这可确保只有贵组织允许的用户才能访问 Filemail,而无需输入相同的凭据。

saml 定义

什么是单点登录?

单点登录(SSO)是一种用户身份验证协议,允许个人在各种不同的服务中使用相同的登录凭证。您只需使用一个凭据,就能自动登录所有相关服务,而无需为组织使用的每项服务都设置唯一的无关凭据。

SSO 是微软和谷歌等主要技术组织提供和使用的一种普遍协议。例如,您手动登录一个谷歌服务,使用登录凭据验证自己,结果所有其他谷歌服务都不再提示您输入登录凭据。

SSO 定义

SAML SSO 如何工作?

  1. 用户想登录使用 SAML SSO 的特定服务。
  2. 服务提供商会将用户重定向到一个身份提供商,如 Microsoft Entra 或 Google Workspace。
  3. 身份供应商会提示用户提交凭据,并可能要求额外的验证,如双因素身份验证。
  4. 身份供应商对用户进行身份验证,并通过 SAML 向服务供应商通报身份验证成功。
  5. 服务提供商将确认这一点,并授予使用其应用程序或服务的权限。
saml sso 如何工作

单点登录的好处

在员工众多、使用各种集成应用程序和服务的环境中,SSO 的优势尤为明显:

节省时间: 无需重复登录多种服务和应用程序。

需要管理的用户名和密码更少: 减少摩擦,提高用户在多种服务中的体验。

减少攻击面:更少的凭据减少了黑客、网络钓鱼者和骗子实施不法行为的机会。

简化访问:只需一次身份验证即可使用多种应用程序和服务,无需重复登录连接的服务。

在企业环境中得到广泛支持:企业可以使用其他服务,所有服务都由企业内部网络安全态势集中管理和控制。

集中身份验证和管理:企业可以在一个地方管理用户、一组凭证并访问用户日志,从而在一系列应用程序和服务中实现透明度和合规性。

SSO 的好处
常见问题

客户问,我们答

1.用户尝试访问

用户尝试访问服务或应用程序。服务提供商(SP)不会直接对用户进行身份验证。相反,它会发起一个 SAML 请求,并将用户重定向到指定的身份供应商(IdP)。

2.2. 身份供应商的用户身份验证

SAML 身份供应商根据贵组织定义的安全策略对用户进行身份验证。这可能包括

  • 用户名和密码
  • 多因素身份验证(MFA)

如果 SAML 身份验证成功,身份供应商会生成一个 SAML 响应,称为断言(Assertion)。

3.向服务提供商发送断言

SAML 断言是经数字签名的 XML 文档,确认用户身份,并可能包括其他属性。该断言会安全地传送给服务提供商。

4.服务提供商验证断言

服务提供商验证

  • 断言上的数字签名,确保其来自可信的身份供应商。
  • 断言没有过期
  • 受众和接收者是否与服务相匹配
  • 可选条件,如组或角色成员资格

5.授予访问权限

如果所有验证都通过,用户就可以访问请求的服务或应用程序,无需再次登录。

SSO(单点登录)是一个概念,是一种只需对用户进行一次身份验证,即可允许其访问多个服务和应用程序,而无需额外登录的方法。

SAML(安全断言标记语言)是一种安全的开放标准,它促进了一种特定的技术方法,定义了如何在服务提供商和身份提供商之间进行身份验证和安全地交换数据,以实现单点登录。

一个简单的理解和强调区别的方法是,SAML 只是实现 SSO 的一种方法。其他广泛采用的支持 SSO 功能的协议包括 OAuth 2.0 和 OpenID Connect (OIDC)。SAML 通常用于企业级 SSO,如 Box、Salesforce 和 Filemail 等服务,在关键业务应用中得到广泛采用。

Filemail 的 SAML SSO 集成适用于我们的商业企业账户。

作为我们强大的云安全措施的一部分,我们还提供端到端加密密码保护,以在发送大文件时保护您的大文件传输