With cybersecurity as a top priority, many businesses deploy single sign-on (SSO) to reduce the number of employee login IDs and passwords. In addition to increasing security, single-click access through SSO helps improve the user experience and enhance productivity.
Bitwarden understands why enterprises choose to adopt SSO, and offers multiple authentication options to deliver the right configuration for each company’s needs.
These implementation offerings align with Bitwarden foundational design goals and our engineering approach, which starts with the concept of zero knowledge encryption.
Additional Resources
Guide: Enterprise Reference Guide to Bitwarden Authentication
Help Article: How to Deploy Login with SSO and Customer Managed Encryption with a Key Connector
Blog: How Zero Knowledge Paves the Way to End-End-Encryption
Explore Bitwarden Login with SSO and customer managed encryption with a free 7-day business trial.
Zero Knowledge Encryption: The Definitive Security Approach
Bitwarden builds on the principle of zero knowledge encryption, which means that everything you store in a Bitwarden vault is encrypted and cannot be viewed by anyone but yourself or authorized users within your company. Most password managers implement a zero knowledge encryption approach albeit to varying degrees. Bitwarden combines end-to-end encryption and complete zero knowledge encryption so nobody, not even Bitwarden, has access.
Quick Reference
In end-to-end encryption, encryption and decryption occurs at the device level. Vault data is encrypted before leaving the phone or computer and decrypted at the destination. Bitwarden uses AES-CBC 256 bit encryption, salted hashing, and PBKDF2 SHA-256 to protect all vault data.
With zero-knowledge encryption, Bitwarden team members cannot access any of your information. Instead, your data remains end-to-end encrypted with your email and master password. Of course, not all commercial applications and services are built - or need to be built - with this framework. In non-encrypted applications, usernames and passwords provide access. With no encryption protocol in place, software providers can access any user data stored within the application.
When a user logs into Bitwarden, an encrypted application, two things happen: authentication and decryption. The user must first authenticate themselves to access encrypted vault data, which is then decrypted locally with the user’s key, derived from their master password. For the majority of Bitwarden users, their master password enables both of those steps. It serves as the authentication agent as well as the decryption key.
Businesses looking to leverage SSO with Bitwarden should consider the flexible options Bitwarden provides.
Uniquely Handling SSO with Encrypted Applications
With SSO and non-encrypted applications, users authenticate with one set of credentials to access multiple applications. In many cases, that’s all corporate end-users need. SSO only takes care of authentication in these cases as there is no encrypted information.
To maintain zero knowledge encryption, Bitwarden separates authentication and decryption into two discrete steps for SSO: authentication through the SSO provider, then decryption and vault access through a master password. As a result, decryption keys never pass through Bitwarden servers and users maintain credentials for SSO, and their own decryption key for Bitwarden.
Maintenir le chiffrement sans connaissance avec le SSO
Afin de répondre au mieux aux besoins d'un large éventail d'entreprises disposant de ressources informatiques et d'écosystèmes différents, Bitwarden propose deux options de déploiement pour l'intégration de sa solution avec le SSO.
SSO avec des dispositifs de confiance
Cette option permet aux employés de bénéficier d'une expérience d'entreprise sans mot de passe grâce à un modèle d'appareil de confiance, ce qui facilite, accélère et élargit le processus de connexion global. Une fois ses appareils enregistrés et confirmés, l'utilisateur n'a plus qu'à s'authentifier auprès du SSO pour accéder aux données cryptées du coffre-fort. Une clé de cryptage utilisée dans le cadre du processus de décryptage est stockée en toute sécurité sur l'appareil, de sorte qu'une fois que le service SSO a authentifié l'utilisateur, l'appareil est en mesure de décrypter les données sans intervention supplémentaire de l'utilisateur.
Pour en savoir plus sur le SSO avec des appareils de confiance , cliquez ici.
Connexion avec SSO
La connexion avec SSO utilise le fournisseur SSO pour l'authentification, puis un mot de passe maître Bitwarden de l'utilisateur pour décrypter ses données. Il s'agit de l'option de déploiement la plus simple pour les équipes informatiques qui conservent le processus d'authentification SSO et un mot de passe unique pour le décryptage avec un modèle de cryptage à connaissance nulle.
En savoir plus sur la connexion avec SSO ici
Connexion avec SSO et cryptage géré par le client
Cette option intègre les étapes de décryptage des données de l'utilisateur, où les administrateurs informatiques déploient et gèrent une application de connecteur de clés (ou un serveur de gestion des clés) pour conserver les clés de cryptage de l'utilisateur pour les coffres-forts Bitwarden.
Grâce à un serveur de clés auto-hébergé, les entreprises stockent, gèrent et fournissent automatiquement les clés permettant de décrypter les données des utilisateurs lorsqu'ils se connectent à Bitwarden par le biais du SSO. Le processus maintient un cryptage sans connaissance du côté de Bitwarden, et est transparent pour les utilisateurs - ils se connectent via SSO et accèdent immédiatement à leur coffre-fort Bitwarden décrypté, le tout en une seule étape.
Le serveur de clés contenant des données sensibles sur les utilisateurs, il est essentiel que les entreprises sachent comment déployer, sauvegarder et maintenir le serveur et mettre en œuvre des politiques de sécurité rigoureuses. La gestion des clés cryptographiques est extrêmement sensible et n'est recommandée qu'aux entreprises disposant d'une équipe et utilisant une infrastructure qui a déjà déployé et géré un serveur de clés en toute sécurité.
Les options d'intégration SSO les plus complètes du marché
Bitwarden s'engage à protéger les entreprises et à faciliter la sécurité des mots de passe pour les utilisateurs finaux. Les options SSO de Bitwarden favorisent et stimulent l'adoption par les utilisateurs et simplifient l'expérience utilisateur tout en restant fidèles à l'approche du chiffrement sans connaissance.
En choisissant Bitwarden, vous bénéficiez de la flexibilité d'utiliser n'importe quel fournisseur d'identité supportant les standards SAML ou OpenID. La combinaison unique du choix de votre propre fournisseur d'identité et des options SSO offertes par Bitwarden signifie que les entreprises peuvent déployer le bon modèle d'authentification et de décryptage avec une approche fiable et open source.