Über vertrauenswürdige Geräte
SSO mit vertrauenswürdigen Geräten ermöglicht es Benutzern, sich mit SSO zu
SSO mit vertrauenswürdigen Geräten bietet Geschäftsendbenutzern ein passwortloses Erlebnis, das auch Zero-Knowledge und Ende-zu-Ende verschlüsselt ist. Dies verhindert, dass Benutzer aufgrund vergessener Master-Passwörter gesperrt werden und ermöglicht ihnen ein vereinfachtes Erlebnis mit den Zugangsdaten.
Beginnen Sie mit der Verwendung von vertrauenswürdigen Geräten.
Um die Verwendung von SSO mit vertrauenswürdigen Geräten zu starten:
- Richten Sie SSO mit vertrauenswürdigen Gerätenfür Ihr Unternehmen ein.
Stellen Sie Administratoren Informationen darüber zur Verfügung,
wie sie Geräteanfragen genehmigen können.Stellen Sie Endbenutzern Informationen darüber zur Verfügung,
wie man vertrauenswürdige Geräte hinzufügt.
Wie es funktioniert
Die folgenden Tabs beschreiben Verschlüsselungsprozesse und Schlüsselaustausche, die während verschiedener Verfahren mit vertrauenswürdigen Geräten auftreten:
Wenn ein neuer Benutzer einer Organisation beitritt, wird ein Wiederherstellungsschlüssel für das Konto (
Dann wird der Benutzer gefragt, ob er sich an das Gerät erinnern oder ihm vertrauen möchte. Wenn sie sich dafür entscheiden:
Ein neuer Geräteschlüssel wird vom Client generiert. Dieser Schlüssel verlässt den Client nie.
Ein neues RSA-Schlüsselpaar, Gerät Privatschlüssel und Gerät Öffentlicher Schlüssel, wird vom Client generiert.
Der Verschlüsselungsschlüssel des Benutzerkontos wird mit dem unverschlüsselten öffentlichen Schlüssel des Geräts verschlüsselt und der resultierende Wert wird als öffentlich verschlüsselter Benutzerschlüssel an den Server gesendet.
Der öffentliche Schlüssel des Geräts wird mit dem Verschlüsselungsschlüssel des Benutzerkontos verschlüsselt und der resultierende Wert wird als Benutzerschlüssel-verschlüsselter öffentlicher Schlüssel an den Server gesendet.
Der Gerät Privatschlüssel wird mit dem ersten Geräteschlüssel verschlüsselt und der resultierende Wert wird als der Geräteschlüssel-verschlüsselter Privatschlüssel an den Server gesendet.
Der mit dem öffentlichen Schlüssel verschlüsselte Benutzerschlüssel und der mit dem Geräteschlüssel verschlüsselte private Schlüssel werden entscheidend vom Server zum Client gesendet, wenn eine Anmeldung initiiert wird.
Der Benutzerschlüssel-verschlüsselter öffentlicher Schlüssel wird verwendet, wenn der Benutzer seinen Konto-Verschlüsselungsschlüssel erneuern muss.
Schlüssel für vertrauenswürdige Geräte
Diese Tabelle bietet weitere Informationen zu jedem in den oben beschriebenen Verfahren verwendeten Schlüssel:
Schlüssel | Einzelheiten |
|---|---|
Geräteschlüssel | AES-256 CBC HMAC SHA-256, 512 Bit lang (256 Bit für den Schlüssel, 256 Bit für HMAC) |
Gerät Privatschlüssel & Gerät Öffentlicher Schlüssel | RSA-2048 OAEP SHA1, 2048 Bits lang |
Öffentlich verschlüsselter Benutzerschlüssel | RSA-2048 OAEP SHA1 |
Benutzerschlüssel-verschlüsselter öffentlicher Schlüssel | AES-256 CBC HMAC SHA-256 |
Geräteschlüssel-verschlüsselter Privatschlüssel | AES-256 CBC HMAC SHA-256 |
Auswirkungen auf Master-Passwörter
Während SSO mit vertrauenswürdigen Geräten die Notwendigkeit eines Master-Passworts beseitigt, beseitigt es nicht in allen Fällen das Master-Passwort selbst:
Wenn ein Benutzer vor der Aktivierung von SSO mit vertrauenswürdigen Geräten an Bord gebracht wird, oder wenn sie Konto erstellen aus der Organisationseinladung auswählen, behält ihr Konto sein Master-Passwort.
Wenn ein Benutzer onboarding nach der Aktivierung von SSO mit vertrauenswürdigen Geräten durchführt und sie Anmelden → Enterprise SSO aus der Einladung der Organisation für
JIT-Provisioningauswählen, wird ihr Konto kein Master-Passwort haben.
warning
Für jene Konten, die aufgrund von
Sie weisen ihnen vorher ein Master-Passwort zu, indem Sie die
Kontowiederherstellungverwenden.Der Benutzer meldet sich mindestens einmal nach der Konto-Wiederherstellung an, um den Workflow zur Konto-Wiederherstellung vollständig abzuschließen.
Auswirkungen auf andere Funktionen
Abhängig davon, ob ein Master-Passwort-Hash im Speicher für Ihren Client verfügbar ist, was davon abhängt, wie Ihre Client-Anwendung ursprünglich aufgerufen wird, kann es folgende Verhaltensänderungen zeigen:
Funktion | Aufprall |
|---|---|
Überprüfung | Es gibt eine Reihe von Funktionen in Bitwarden Client-Anwendungen, die normalerweise die Eingabe eines Master-Passworts erfordern, um verwendet zu werden, einschließlich des Wenn der Benutzer kein Master-Passwort verwendet, um auf den Client zuzugreifen, ersetzen all diese Funktionen die Bestätigung des Master-Passworts durch eine E-Mail-basierte TOTP-Verifizierung. |
Tresor sperren/entsperren | Unter normalen Umständen kann ein Wenn weder PIN noch Biometrie für eine Client-Anwendung aktiviert sind, wird der Tresor immer abmelden statt sperren. Zum Entsperren und Anmelden ist immer eine Internetverbindung erforderlich. |
Master-Passwort erneut abfragen | Wenn der Benutzer seinen Tresor nicht mit einem Master-Passwort entsperrt, wird die |
Kommandozeile | Benutzer, die |