À propos des appareils de confiance
La SSO avec des appareils de confiance permet aux utilisateurs de s'authentifier en utilisant la SSO et de décrypter leur coffre en utilisant une clé de chiffrement stockée sur l'appareil, éliminant ainsi le besoin d'entrer un mot de passe principal. Les appareils de confiance doivent soit être enregistrés à l'avance de la tentative d'identifiant, soit approuvés par quelques méthodes différentes.
La SSO avec des appareils de confiance offre aux utilisateurs finaux d'entreprise une expérience sans mot de passe qui est également à connaissance zéro et cryptée de bout en bout. Cela empêche les utilisateurs d'être verrouillés en raison de mots de passe principaux oubliés et leur permet de profiter d'une expérience d'identifiant simplifiée.
Pour commencer à utiliser SSO avec des appareils de confiance :
Configurez le SSO avec des appareils de confiance pour votre organisation.
Fournir aux administrateurs des informations sur comment approuver les demandes d'appareil.
Fournir aux utilisateurs finaux des informations sur comment ajouter des appareils de confiance.
Les onglets suivants décrivent les processus de cryptage et les échanges de clés qui se produisent lors de différentes procédures d'appareils de confiance :
Lorsqu'un nouvel utilisateur rejoint une organisation, une Clé de Récupération de Compte (en savoir plus) est créée en chiffrant leur clé de chiffrement de compte avec la clé publique de l'organisation. La récupération de compte est nécessaire pour activer le SSO avec des appareils de confiance.
L'utilisateur est ensuite invité à se demander s'il veut se souvenir, ou faire confiance, à l'appareil. Quand ils choisissent de le faire :
Une nouvelle Clé d'Appareil est générée par le client. Cette clé ne quitte jamais le client.
Une nouvelle paire de clés RSA, Clé Privée de l'Appareil et Clé Publique de l'Appareil, est générée par le client.
La clé de chiffrement du compte de l'utilisateur est chiffrée avec la clé publique non chiffrée de l'appareil et la valeur résultante est envoyée au serveur en tant que Clé d'utilisateur chiffrée par clé publique.
La Clé Publique de l'Appareil est cryptée avec la clé de cryptage du compte de l'utilisateur et la valeur résultante est envoyée au serveur en tant que Clé Publique Cryptée de l'Utilisateur.
La Clé Privée de l'Appareil est cryptée avec la première Clé de l'Appareil et la valeur résultante est envoyée au serveur en tant que Clé Privée Cryptée de l'Appareil.
La Clé Utilisateur Cryptée par Clé Publique et la Clé Privée Cryptée par Clé d'Appareil seront, de manière cruciale, envoyées du serveur au client lorsqu'un identifiant est initié.
La Clé Publique Cryptée par la Clé de l'Utilisateur sera utilisée si l'utilisateur a besoin de régénérer la clé de cryptage de son compte.
Ce tableau fournit plus d'informations sur chaque clé utilisée dans les procédures décrites ci-dessus :
Clé | Détails |
|---|---|
Clé de l'appareil | AES-256 CBC HMAC SHA-256, 512 bits de longueur (256 bits pour la clé, 256 bits pour HMAC) |
Clé privée de l'appareil & Clé publique de l'appareil | RSA-2048 OAEP SHA1, 2048 bits de longueur |
Clé d'Utilisateur Chiffrée avec Clé Publique | RSA-2048 OAEP SHA1 |
Clé Utilisateur-Cryptée Clé Publique | AES-256 CBC HMAC SHA-256 |
Clé de l'appareil - Clé privée cryptée | AES-256 CBC HMAC SHA-256 |
Bien que le SSO avec des appareils de confiance élimine le besoin d'un mot de passe principal, il n'élimine pas dans tous les cas le mot de passe principal lui-même :
Si un utilisateur est intégré avant que SSO avec des appareils de confiance ne soit activé, ou s'ils sélectionnent Créer un compte à partir de l'invitation de l'organisation, leur compte conservera son mot de passe principal.
Si un utilisateur est intégré après l'activation de SSO avec des appareils de confiance et qu'ils sélectionnent Se connecter → SSO d'Entreprise à partir de l'invitation de l'organisation pour la provision JIT, leur compte n'aura pas de mot de passe principal.
warning
Pour ces comptes qui n'ont pas de mot de passe principal à la suite de SSO avec des appareils de confiance, les retirer de votre organisation ou révoquer leur accès coupera tout accès à leur compte Bitwarden à moins que :
Vous leur attribuez un mot de passe principal en utilisant la récupération de compte au préalable.
L'utilisateur se connecte au moins une fois après la récupération du compte afin de terminer complètement le processus de récupération du compte.
Selon qu'un hachage de mot de passe principal est disponible en mémoire pour votre client, ce qui est dicté par la manière dont votre application client est initialement accédée, elle peut présenter les modifications de comportement suivantes :
Fonctionnalité | Impact |
|---|---|
Vérification | Il existe un certain nombre de fonctionnalités dans les applications client Bitwarden qui nécessitent normalement la saisie d'un mot de passe principal pour être utilisées, y compris l'exportation des données du coffre, la modification des paramètres de l'identifiant en deux étapes, la récupération des clés API, et plus encore. Si l'utilisateur n'utilise pas un mot de passe principal pour accéder au client, toutes ces fonctionnalités remplaceront la confirmation du mot de passe principal par une vérification TOTP basée sur le courriel. |
Verrouillage/déverrouillage du coffre | Dans des circonstances ordinaires, un coffre verrouillé peut être déverrouillé à l'aide d'un mot de passe principal. Si l'utilisateur n'utilise pas un mot de passe principal pour accéder au client, les applications client verrouillées ne peuvent être déverrouillées qu'avec un PIN ou avec la biométrie. Si ni le code PIN ni la biométrie ne sont activés pour une application client, le coffre se déconnectera toujours au lieu de verrouiller. Déverrouiller et se connecter nécessiteront toujours une connexion internet. |
Ressaisir le mot de passe principal | Si l'utilisateur ne déverrouille pas son coffre avec un mot de passe principal, la relance du mot de passe principal sera désactivée. |
CLI | Les utilisateurs qui n'ont pas de mot de passe principal ne pourront pas accéder au gestionnaire de mots de passe CLI. |
Suggérer des modifications à cette page
Comment pouvons-nous améliorer cette page pour vous ?
Pour les questions techniques, de facturation et de produits, veuillez contacter le service d'assistance.
Comment ça marche