Über vertrauenswürdige Geräte
SSO mit vertrauenswürdigen Geräten ermöglicht es Benutzern, sich mit SSO zu authentifizieren und ihren Tresor mit einem auf dem Gerät gespeicherten Verschlüsselungsschlüssel zu entschlüsseln, wodurch die Notwendigkeit entfällt, ein Master-Passwort einzugeben. Vertrauenswürdige Geräte müssen entweder im Voraus der Anmeldeversuch registriert werden, oder durch ein paar verschiedene Methoden genehmigt werden.
SSO mit vertrauenswürdigen Geräten bietet Geschäftsendbenutzern ein passwortloses Erlebnis, das auch Zero-Knowledge und Ende-zu-Ende verschlüsselt ist. Dies verhindert, dass Benutzer aufgrund vergessener Master-Passwörter gesperrt werden und ermöglicht ihnen ein vereinfachtes Erlebnis mit den Zugangsdaten.
Um die Verwendung von SSO mit vertrauenswürdigen Geräten zu starten:
Richten Sie SSO mit vertrauenswürdigen Geräten für Ihr Unternehmen ein.
Stellen Sie Administratoren Informationen darüber zur Verfügung, wie sie Geräteanfragen genehmigen können.
Stellen Sie Endbenutzern Informationen darüber zur Verfügung, wie man vertrauenswürdige Geräte hinzufügt.
Die folgenden Tabs beschreiben Verschlüsselungsprozesse und Schlüsselaustausche, die während verschiedener Verfahren mit vertrauenswürdigen Geräten auftreten:
Wenn ein neuer Benutzer einer Organisation beitritt, wird ein Wiederherstellungsschlüssel für das Konto (mehr erfahren) erstellt, indem ihr Kontoverschlüssel mit dem öffentlichen Schlüssel der Organisation verschlüsselt wird. Die Wiederherstellung des Kontos ist erforderlich, um SSO mit vertrauenswürdigen Geräten zu ermöglichen.
Dann wird der Benutzer gefragt, ob er sich an das Gerät erinnern oder ihm vertrauen möchte. Wenn sie sich dafür entscheiden:
Ein neuer Geräteschlüssel wird vom Client generiert. Dieser Schlüssel verlässt den Client nie.
Ein neues RSA-Schlüsselpaar, Gerät Privatschlüssel und Gerät Öffentlicher Schlüssel, wird vom Client generiert.
Der Verschlüsselungsschlüssel des Benutzerkontos wird mit dem unverschlüsselten öffentlichen Schlüssel des Geräts verschlüsselt und der resultierende Wert wird als öffentlich verschlüsselter Benutzerschlüssel an den Server gesendet.
Der öffentliche Schlüssel des Geräts wird mit dem Verschlüsselungsschlüssel des Benutzerkontos verschlüsselt und der resultierende Wert wird als Benutzerschlüssel-verschlüsselter öffentlicher Schlüssel an den Server gesendet.
Der Gerät Privatschlüssel wird mit dem ersten Geräteschlüssel verschlüsselt und der resultierende Wert wird als der Geräteschlüssel-verschlüsselter Privatschlüssel an den Server gesendet.
Der mit dem öffentlichen Schlüssel verschlüsselte Benutzerschlüssel und der mit dem Geräteschlüssel verschlüsselte private Schlüssel werden entscheidend vom Server zum Client gesendet, wenn eine Anmeldung initiiert wird.
Der Benutzerschlüssel-verschlüsselter öffentlicher Schlüssel wird verwendet, wenn der Benutzer seinen Konto-Verschlüsselungsschlüssel erneuern muss.
Diese Tabelle bietet weitere Informationen zu jedem in den oben beschriebenen Verfahren verwendeten Schlüssel:
Schlüssel | Einzelheiten |
|---|---|
Geräteschlüssel | AES-256 CBC HMAC SHA-256, 512 Bit lang (256 Bit für den Schlüssel, 256 Bit für HMAC) |
Gerät Privatschlüssel & Gerät Öffentlicher Schlüssel | RSA-2048 OAEP SHA1, 2048 Bits lang |
Öffentlich verschlüsselter Benutzerschlüssel | RSA-2048 OAEP SHA1 |
Benutzerschlüssel-verschlüsselter öffentlicher Schlüssel | AES-256 CBC HMAC SHA-256 |
Geräteschlüssel-verschlüsselter Privatschlüssel | AES-256 CBC HMAC SHA-256 |
Während SSO mit vertrauenswürdigen Geräten die Notwendigkeit eines Master-Passworts beseitigt, beseitigt es nicht in allen Fällen das Master-Passwort selbst:
Wenn ein Benutzer vor der Aktivierung von SSO mit vertrauenswürdigen Geräten an Bord gebracht wird, oder wenn sie Konto erstellen aus der Organisationseinladung auswählen, behält ihr Konto sein Master-Passwort.
Wenn ein Benutzer onboarding nach der Aktivierung von SSO mit vertrauenswürdigen Geräten durchführt und sie Anmelden → Enterprise SSO aus der Einladung der Organisation für JIT-Provisioning auswählen, wird ihr Konto kein Master-Passwort haben.
warning
Für jene Konten, die aufgrund von SSO mit vertrauenswürdigen Geräten kein Master-Passwort haben, wird ihre Entfernung aus Ihrer Organisation oder die Widerrufung ihres Zugangs jeglichen Zugang zu ihrem Bitwarden-Konto unterbinden, es sei denn:
Sie weisen ihnen vorher ein Master-Passwort zu, indem Sie die Kontowiederherstellung verwenden.
Der Benutzer meldet sich mindestens einmal nach der Konto-Wiederherstellung an, um den Workflow zur Konto-Wiederherstellung vollständig abzuschließen.
Abhängig davon, ob ein Master-Passwort-Hash im Speicher für Ihren Client verfügbar ist, was davon abhängt, wie Ihre Client-Anwendung ursprünglich aufgerufen wird, kann es folgende Verhaltensänderungen zeigen:
Funktion | Aufprall |
|---|---|
Überprüfung | Es gibt eine Reihe von Funktionen in Bitwarden Client-Anwendungen, die normalerweise die Eingabe eines Master-Passworts erfordern, um verwendet zu werden, einschließlich des Exports von Tresor-Daten, der Änderung der Zwei-Schritt-Zugangsdaten-Einstellungen, dem Abrufen von API-Schlüsseln und mehr. Wenn der Benutzer kein Master-Passwort verwendet, um auf den Client zuzugreifen, ersetzen all diese Funktionen die Bestätigung des Master-Passworts durch eine E-Mail-basierte TOTP-Verifizierung. |
Tresor sperren/entsperren | Unter normalen Umständen kann ein gesperrter Tresor entsperrt werden, indem man ein Master-Passwort verwendet. Wenn der Benutzer kein Master-Passwort verwendet, um auf den Client zuzugreifen, können gesperrte Client-Anwendungen nur mit einer PIN oder mit Biometrie entsperrt werden. Wenn weder PIN noch Biometrie für eine Client-Anwendung aktiviert sind, wird der Tresor immer abmelden statt sperren. Zum Entsperren und Anmelden ist immer eine Internetverbindung erforderlich. |
Master-Passwort erneut abfragen | Wenn der Benutzer seinen Tresor nicht mit einem Master-Passwort entsperrt, wird die erneute Aufforderung des Master-Passworts deaktiviert. |
Kommandozeile | Benutzer, die kein Master-Passwort haben, werden nicht in der Lage sein, auf den Passwort-Manager CLI zuzugreifen. |
Änderungen an dieser Seite vorschlagen
Wie können wir diese Seite für Sie verbessern?
Bei technischen, Rechnungs- und Produktfragen wenden Sie sich bitte an den Support