SSO mit vertrauenswürdigen Geräten einrichten
Dieses Dokument führt Sie durch das Hinzufügen von SSO mit vertrauenswürdigen Geräten zu Ihrer Organisation. Sie müssen Eigentümer oder Administrator einer Organisation sein, um diese Schritte abzuschließen:
Melden Sie sich bei der Bitwarden-Web-App an und öffnen Sie die Administrator-Konsole mit dem Produktumschalter (
):Wählen Sie Einstellungen → Richtlinien aus der Navigation.
Auf der Richtlinien-Seite aktivieren Sie die folgenden Richtlinien, die für die Verwendung von vertrauenswürdigen Geräten erforderlich sind:
Die Einzelorganisation Richtlinie.
Die Erfordern Sie Einzelanmeldungs-Authentifizierung Richtlinie.
Die Verwaltungsrichtlinie zur Kontowiederherstellung .
Die Option „Automatische Registrierung neuer Mitglieder erforderlich“ in der Verwaltungsrichtlinie zur Kontowiederherstellung.
Hinweis
If you do not activate these policies beforehand, they will be automatically activated when you activate the Trusted devices member decryption option. However, if any accounts do not have account recovery enabled, they will need to self-enroll before they can use admin approval for trusted devices. Users who enable account recoverymust log in at least once post-account recovery to fully complete the account recovery workflow.
Wählen Sie Einstellungen > Einmaliges Anmelden aus der Navigation. Wenn Sie SSO noch nicht eingerichtet haben, folgen Sie einem unserer SAML 2.0 oder OIDC Implementierung Leitfäden zur Hilfe.
Wählen Sie die Option Vertrauenswürdige Geräte im Abschnitt Mitglied Entschlüsselungsoptionen.
Sobald aktiviert, können Benutzer beginnen, ihre Tresore mit einem vertrauenswürdigen Gerät zu entschlüsseln.
Wenn Sie Mitglieder ohne Master-Passwörter haben möchten, die nur vertrauenswürdige Geräte verwenden können, weisen Sie die Benutzer an, in der Einladung der Organisation „Anmelden “ → „Enterprise SSO“ auszuwählen, um die JIT-Bereitstellung zu initiieren. Administratoren/Eigentümer sollten immer noch die Option Konto erstellen verwenden, damit sie Master-Passwörter für Redundanz- und Failover-Zwecke haben.
Warnung
Migration from SSO with trusted devices to other member decryption options is not currently recommended:
If for any reason your organization needs to switch its member decryption option back to master password from trusted device encryption, you must issue master passwords using account recovery to all users onboarded without them to preserve access to their accounts. Users are then required to fully log in following the master password account recovery in order to complete the workflow.
Moving from SSO with trusted devices to Key Connector is not supported.
Die Änderung der Mitglied Entschlüsselungsoption von Vertrauenswürdigen Geräten auf Master-Passwort ohne Ausgabe von Master-Passwörtern führt zu einer Sperrung des Benutzerkontos. Um diese Richtlinienänderung vorzunehmen, müssen Sie:
Vergeben Sie Master-Passwörter mithilfe der Kontowiederherstellung.
Benutzer müssen sich mindestens einmal nach der Konto-Wiederherstellung anmelden, um den Workflow vollständig abzuschließen und eine Sperrung zu verhindern.
Wenn die Mitglied Entschlüsselungsoption ohne Ausgabe des Master-Passworts geändert wurde, bleiben den Benutzern die folgenden drei Optionen:
Folgen Sie dem löschen-wiederherstellen Arbeitsablauf.
Stellen Sie das Konto aus einer Konto/Organisation Sicherung wieder her.
Erstellen Sie ein neues Konto oder eine neue Organisation.