Wählen Sie die richtige SSO-Anmeldestrategie

With cybersecurity as a top priority, many businesses deploy single sign-on (SSO) to reduce the number of employee login IDs and passwords. In addition to increasing security, single-click access through SSO helps improve the user experience and enhance productivity. 

Bitwarden understands why enterprises choose to adopt SSO, and offers multiple authentication options to deliver the right configuration for each company’s needs. 

These implementation offerings align with Bitwarden foundational design goals and our engineering approach, which starts with the concept of zero knowledge encryption. 

Bitwarden builds on the principle of zero knowledge encryption, which means that everything you store in a Bitwarden vault is encrypted and cannot be viewed by anyone but yourself or authorized users within your company. Most password managers implement a zero knowledge encryption approach albeit to varying degrees. Bitwarden combines end-to-end encryption and complete zero knowledge encryption so nobody, not even Bitwarden, has access. 

Quick Reference

In end-to-end encryption, encryption and decryption occurs at the device level. Vault data is encrypted before leaving the phone or computer and decrypted at the destination. Bitwarden uses AES-CBC 256 bit encryption, salted hashing, and PBKDF2 SHA-256 to protect all vault data. 

With zero-knowledge encryption, Bitwarden team members cannot access any of your information. Instead, your data remains end-to-end encrypted with your email and master password. Of course, not all commercial applications and services are built - or need to be built - with this framework. In non-encrypted applications, usernames and passwords provide access. With no encryption protocol in place, software providers can access any user data stored within the application. 

When a user logs into Bitwarden, an encrypted application, two things happen: authentication and decryption. The user must first authenticate themselves to access encrypted vault data, which is then decrypted locally with the user’s key, derived from their master password. For the majority of Bitwarden users, their master password enables both of those steps. It serves as the authentication agent as well as the decryption key. 

Businesses looking to leverage SSO with Bitwarden should consider the flexible options Bitwarden provides. 

With SSO and non-encrypted applications, users authenticate with one set of credentials to access multiple applications. In many cases, that’s all corporate end-users need. SSO only takes care of authentication in these cases as there is no encrypted information.

To maintain zero knowledge encryption, Bitwarden separates authentication and decryption into two discrete steps for SSO: authentication through the SSO provider, then decryption and vault access through a master password. As a result, decryption keys never pass through Bitwarden servers and users maintain credentials for SSO, and their own decryption key for Bitwarden. 

Um eine Reihe von Unternehmen mit unterschiedlichen IT-Ressourcen und Ökosystemen optimal zu bedienen, bietet Bitwarden zwei Bereitstellungsoptionen für die Integration seiner Lösung mit SSO.

Diese Option bietet Mitarbeitern ein passwortloses Unternehmenserlebnis über ein vertrauenswürdiges Gerätemodell, das den gesamten Anmeldeprozess vereinfacht, beschleunigt und skaliert. Sobald ihre Geräte registriert und bestätigt sind, muss sich ein Benutzer einfach beim SSO authentifizieren, um auf verschlüsselte Tresordaten zugreifen zu können. Ein Verschlüsselungsschlüssel, der als Teil des Entschlüsselungsprozesses verwendet wird, wird sicher auf dem Gerät gespeichert. Sobald der SSO-Dienst den Benutzer authentifiziert hat, kann das Gerät die Daten ohne zusätzliche Benutzereingabe entschlüsseln.

Erfahren Sie hier mehr über SSO mit vertrauenswürdigen Geräten

Login mit SSO verwendet den SSO-Anbieter für die Authentifizierung und dann ein Bitwarden-Master-Passwort vom Benutzer, um seine Daten zu entschlüsseln. Dies ist die einfachste Bereitstellungsoption für IT-Teams, um den SSO-Authentifizierungsprozess beizubehalten und ein eindeutiges Passwort für die Entschlüsselung mit einem Zero-Knowledge-Verschlüsselungsmodell beizubehalten.

Hier erfahren Sie mehr über die Anmeldung mit SSO

Diese Option integriert die Schritte zum Entschlüsseln von Benutzerdaten, bei denen IT-Administratoren eine Schlüsselkonnektoranwendung (oder einen Schlüsselverwaltungsserver) bereitstellen und verwalten, um die Verschlüsselungsschlüssel des Benutzers für Bitwarden-Tresore zu speichern.

Über einen selbst gehosteten Schlüsselserver speichern, verwalten und liefern Unternehmen die Schlüssel automatisch, um die Daten der Benutzer zu entschlüsseln, wenn sie sich über SSO bei Bitwarden anmelden. Der Prozess unterhält keine Wissensverschlüsselung auf Bitwarden-Seite und ist nahtlos für die Benutzer - sie melden sich über SSO an und greifen sofort auf ihren entschlüsselten Bitwarden-Tresor zu, alles in einem Schritt.

Da der Schlüsselserver sensible Benutzerdaten enthält, ist es wichtig, dass Unternehmen verstehen, wie sie den Server bereitstellen, sichern und warten und strenge Sicherheitsrichtlinien implementieren. Die Verwaltung kryptografischer Schlüssel ist unglaublich sensibel und wird nur für Unternehmen mit einem Team und einer Infrastruktur empfohlen, die bereits einen Schlüsselserver sicher bereitgestellt und verwaltet haben.

Bitwarden hat es sich zur Aufgabe gemacht, Unternehmen zu schützen und die Passwortsicherheit für Endbenutzer zu vereinfachen. Bitwarden SSO-Optionen fördern und fördern die Benutzerakzeptanz und vereinfachen die Benutzererfahrung, während sie dem Zero-Knowledge-Verschlüsselungsansatz treu bleiben.

Wenn Sie sich für Bitwarden entscheiden, erhalten Sie die Flexibilität, jeden Identitätsanbieter zu verwenden, der SAML- oder OpenID-Standards unterstützt. Die einzigartige Kombination aus der Auswahl Ihres eigenen Identitätsanbieters und den SSO-Optionen, die Bitwarden bietet, bedeutet, dass Unternehmen das richtige Authentifizierungs- und Entschlüsselungsmodell mit einem vertrauenswürdigen Open-Source-Ansatz bereitstellen können.