Elija la estrategia de inicio de sesión SSO adecuada

With cybersecurity as a top priority, many businesses deploy single sign-on (SSO) to reduce the number of employee login IDs and passwords. In addition to increasing security, single-click access through SSO helps improve the user experience and enhance productivity. 

Bitwarden understands why enterprises choose to adopt SSO, and offers multiple authentication options to deliver the right configuration for each company’s needs. 

These implementation offerings align with Bitwarden foundational design goals and our engineering approach, which starts with the concept of zero knowledge encryption. 

Bitwarden builds on the principle of zero knowledge encryption, which means that everything you store in a Bitwarden vault is encrypted and cannot be viewed by anyone but yourself or authorized users within your company. Most password managers implement a zero knowledge encryption approach albeit to varying degrees. Bitwarden combines end-to-end encryption and complete zero knowledge encryption so nobody, not even Bitwarden, has access. 

Quick Reference

In end-to-end encryption, encryption and decryption occurs at the device level. Vault data is encrypted before leaving the phone or computer and decrypted at the destination. Bitwarden uses AES-CBC 256 bit encryption, salted hashing, and PBKDF2 SHA-256 to protect all vault data. 

With zero-knowledge encryption, Bitwarden team members cannot access any of your information. Instead, your data remains end-to-end encrypted with your email and master password. Of course, not all commercial applications and services are built - or need to be built - with this framework. In non-encrypted applications, usernames and passwords provide access. With no encryption protocol in place, software providers can access any user data stored within the application. 

When a user logs into Bitwarden, an encrypted application, two things happen: authentication and decryption. The user must first authenticate themselves to access encrypted vault data, which is then decrypted locally with the user’s key, derived from their master password. For the majority of Bitwarden users, their master password enables both of those steps. It serves as the authentication agent as well as the decryption key. 

Businesses looking to leverage SSO with Bitwarden should consider the flexible options Bitwarden provides. 

With SSO and non-encrypted applications, users authenticate with one set of credentials to access multiple applications. In many cases, that’s all corporate end-users need. SSO only takes care of authentication in these cases as there is no encrypted information.

To maintain zero knowledge encryption, Bitwarden separates authentication and decryption into two discrete steps for SSO: authentication through the SSO provider, then decryption and vault access through a master password. As a result, decryption keys never pass through Bitwarden servers and users maintain credentials for SSO, and their own decryption key for Bitwarden. 

Para servir mejor a una gama de empresas con diferentes recursos y ecosistemas de TI, Bitwarden ofrece dos opciones de despliegue para integrar su solución con SSO.

Esta opción proporciona a los empleados una experiencia empresarial sin contraseñas a través de un modelo de dispositivo de confianza, aportando facilidad, velocidad y escala al proceso general de inicio de sesión. Una vez registrados y confirmados sus dispositivos, el usuario sólo tiene que autenticarse con el SSO para acceder a los datos cifrados del almacén. Una vez que el servicio SSO autentifica al usuario, el dispositivo es capaz de descifrar los datos sin necesidad de que el usuario introduzca datos adicionales.

Más información sobre SSO con dispositivos de confianza aquí

El inicio de sesión con SSO utiliza el proveedor de SSO para la autenticación y luego una contraseña maestra Bitwarden del usuario para descifrar sus datos. Esta es la opción de despliegue más sencilla para que los equipos de TI conserven el proceso de autenticación SSO y mantengan una contraseña única para el descifrado con un modelo de cifrado de conocimiento cero.

Más información sobre el inicio de sesión con SSO aquí

Esta opción integra los pasos para descifrar los datos del usuario, donde los administradores de TI despliegan y gestionan una aplicación de conector de claves (o un servidor de gestión de claves) para conservar las claves de cifrado del usuario para los almacenes de Bitwarden.

A través de un servidor de claves autoalojado, las empresas almacenan, gestionan y entregan automáticamente las claves para descifrar los datos de los usuarios cuando inician sesión en Bitwarden a través de SSO. El proceso mantiene el cifrado de conocimiento cero en el lado de Bitwarden, y es transparente para los usuarios: inician sesión a través de SSO y acceden inmediatamente a su bóveda descifrada de Bitwarden, todo en un solo paso.

Dado que el servidor de claves contiene datos confidenciales de los usuarios, es fundamental que las empresas sepan cómo implantar, realizar copias de seguridad y mantener el servidor, así como aplicar estrictas políticas de seguridad. La gestión de claves criptográficas es increíblemente delicada y sólo se recomienda a empresas que cuenten con un equipo y utilicen una infraestructura que ya haya desplegado y gestionado de forma segura un servidor de claves.

Bitwarden se compromete a proteger a las empresas y a facilitar la seguridad de las contraseñas a los usuarios finales. Las opciones de SSO de Bitwarden promueven e impulsan la adopción por parte de los usuarios y simplifican su experiencia, al tiempo que se mantienen fieles al enfoque de cifrado de conocimiento cero.

Cuando elige Bitwarden, obtiene la flexibilidad de utilizar cualquier proveedor de identidad que admita los estándares SAML u OpenID. La combinación única de elegir su propio proveedor de identidad, junto con las opciones de SSO que ofrece Bitwarden, significa que las empresas pueden implementar el modelo de autenticación y descifrado adecuado con un enfoque de confianza y de código abierto.