安全

锁定你的域名

发布于 · 阅读约 7 分钟

单点登录不是一个单独的开关。它是三项协同工作的控制,用来精确 决定谁能访问你公司的库存。理解它们如何环环相扣, 就会让 SSO 为何能让对的人进来、把其他所有人挡在外面变得显而易见。

1. 域名验证:证明它属于你

在任何事情发生之前,你先认领你的电子邮件域名(例如 yourcompany.com),并 通过发布一条由我们生成的 DNS TXT 记录来证明其所有权。只有控制你域名 DNS 的人 才能做到这一点,因此一个已验证的域名是一个强有力、不可伪造的信号,表明这个域名 确实属于你的公司。在这项检查通过之前, 下面的一切都不会启动。

2. 强制 SSO:关上后门

有了一个已验证的域名,你就可以对它的所有成员强制 SSO。一旦启用,一个 电子邮件在你域名上的人,就不能再用一个单独的密码溜进来,因为 登录每次都会被重定向到你的身份提供商。这就关上了 「可我很久以前就创建过一个账户」的后门,并让每一次登录都经过你 IdP 强制的 MFA 和相应策略。

3. 自动开通:对的人,自动到位

启用自动开通后,当你已验证域名下的某个人首次 通过 SSO 登录时,他会被自动加入公司,无需手动邀请。一名新员工 加入你 IdP 中正确的组,登录一下,就可以开始工作了。让它保持关闭,访问 就仅限受邀,此时 SSO 只是作为一种登录方式。

它们如何组合

  • 已验证域名 + 强制 SSO = 只有你域名下经过身份验证的成员才能进来,而且只能通过你的 IdP。
  • + 自动开通 = 入职自动进行,完全由你身份提供商中的组来驱动。
  • 在你的 IdP 中移除某人 = 下一次登录就会失败,在任何地方都是如此。访问不会滞留。

每一项控制都是你公司单点登录(SSO)设置中的一个复选框。完整的 设置(从添加一个域名到启用这些选项) 请见单点登录功能页

对这一切背后的原因还不熟悉?先从 采用 SAML 单点登录的理由开始,然后再看 安全页

保护你公司的库存