Inicio de sesión con SSO Preguntas frecuentes
Este artículo contiene preguntas frecuentes (FAQs) respecto al inicio de sesión con SSO.
Para obtener información más detallada sobre inicio de sesión con SSO, consulte acerca del inicio de sesión con SSO
R: Iniciar sesión con SSO permite a sus empleados utilizar su proveedor de identidad (IdP) existente para autenticar sus identidades. Lo que hace único el inicio de sesión con SSO en comparación con otras herramientas es que mantiene nuestro modelo de cifrado de conocimiento cero de extremo a extremo. Nadie en Bitwarden debería tener acceso a los datos de tu caja fuerte y, lo que es importante, tampoco debería tenerlo tu proveedor de identidad.
Es por eso que el inicio de sesión de Bitwarden con SSO ofrece desacopla la autenticación y el descifrado. Tu IdP puede confirmar que Alice es, de hecho, Alice, pero no puede y no debería tener las herramientas para descifrar la caja fuerte de Alice. ¡Solo Alice puede tener esa herramienta y, convenientemente, es su contraseña maestra!
En la práctica, eso significa que cada vez que un empleado inicia sesión en Bitwarden usando SSO, necesitará usar su contraseña maestra para descifrar su caja fuerte, protegiendo las credenciales y secretos críticos de su negocio.
nota
Bitwarden offers two solutions for organizations that will allow approved organization members to access their Bitwarden account without using a master password:
SSO with trusted device Is a feature that allows organizations using login with SSO to create and store member device encryptions keys, eliminating the need to enter a master password. Learn more about SSO with trusted devices.
Organizations self-hosting Bitwarden can leverage Key Connector to serve decryption keys to Bitwarden clients instead of requiring users to decrypt vault data with their master passwords. Learn more here and here.
A: No, tu contraseña maestra permanecerá igual. A menos que su organización esté utilizando Conector de clave para autoalojar claves de descifrado, su contraseña maestra debe usarse para descifrar los datos de la caja fuerte.
R: No. El inicio de sesión con SSO aprovecha su proveedor de identidad (IdP) existente para autenticarlo en Bitwarden; sin embargo, aún debe ingresar su contraseña maestra y su correo electrónico para descifrar los datos de su bóveda, a menos que su organización esté utilizando Key Connector para autohospedar el descifrado. llaves.
R: De forma predeterminada, sí, puede utilizar su dirección de correo electrónico y contraseña maestra para iniciar sesión en Bitwarden. Sin embargo, si su organización habilita tanto las políticas de organización única como de autenticación de inicio de sesión único, o si su organización utiliza Conector de clave, se requerirá que todos los usuarios que no sean administradores inicien sesión con SSO.
R: Los nuevos usuarios que seleccionen Iniciar sesión → Enterprise SSO desde la invitación de la organización pasarán al estado Aceptado de su organización hasta que sean confirmados por un administrador. Cuando ese usuario se asigna a un grupo manualmente o a través del Conector de Directorio, recibirán acceso a los elementos compartidos apropiados. Se recomienda la provisión JIT si su resultado deseado es tener miembros sin contraseña maestra que solo pueden usar dispositivos de confianza.
A: Si gestionas tu grupo y asignaciones de colección de Bitwarden directamente dentro de Bitwarden, no hay necesidad de aprovechar el Conector de Directorio. Sin embargo, si desea tener grupos y usuarios sincronizados automáticamente con el directorio de su organización, recomendamos usar el inicio de sesión con SSO en conjunto con Directory Connector para la solución más completa.
A: ¡No! Si su organización está utilizando verificación de dominio, no necesitará ingresar este identificador. De lo contrario, marcar la página de Inicio de Sesión Único de la Empresa con su identificador SSO incluido como una cadena de consulta le permitirá guardar el problema de ingresarlo cada vez. Por ejemplo:
https://vault.bitwarden.com/#/sso?identifier=your-org-idpara instancias alojadas en la nubehttps://your.domain.com/#/sso?identifier=your-org-idpara instancias autoalojadas
R: Los valores de configuración de SSO pregenerados, incluidos SP Entity ID , SAML 2.0 Metadata URL , ACS URL y Callback Path , se pueden cambiar en entornos autohospedados cambiando el valor url: en .bwdata/config.yml y ejecutando ./ comando de reconstrucción bitwarden.sh para aplicar el cambio.
R: El inicio de sesión de Bitwarden con SSO y contraseña maestra solo realiza la autenticación del usuario y no descifra los datos del usuario. Agregar la funcionalidad de SSO no introduce ninguna información adicional identificable individualmente en la base de datos de Bitwarden.
R: Nuestro plan Enterprise ofrece esta función.
R: En la Consola de administración, navegue hasta la página Suscripciones → Facturación y seleccione Plan de actualización . Recomendamos encarecidamente que pruebe el inicio de sesión con SSO iniciando una Prueba Gratuita de Empresa de 7 Días.
A: Bitwarden admite OpenID Connect, pero no admite OAuth en este momento.
R: ¡ Sí! El inicio de sesión con SSO funcionará con instancias autoalojadas, independientemente de si están en las instalaciones o en su propia nube, siempre que su servidor de identidad sea accesible desde la instancia.
R: ¡ Sí! El inicio de sesión con SSO solo requiere la capacidad de conectarse a su proveedor de identidad desde su instancia de Bitwarden. Se puede utilizar con proveedores de identidad en la nube o locales, así como con instancias de Bitwarden en la nube o autoalojadas.
P: Si mi proveedor de identidad está desconectado, ¿pueden los usuarios iniciar sesión con SSO para autenticarse en Bitwarden?
R: Si su proveedor de identidad no está conectado, los usuarios deben iniciar sesión con su correo electrónico y contraseña maestra. Esto puede cambiar en el futuro a medida que habilitamos más mecanismos de control de autenticación para las organizaciones.