Integrare Bitwarden con il Single Sign-On

Il Single Sign-On offre un'autenticazione avanzata per le applicazioni che lo supportano, ma fino a due terzi delle applicazioni aziendali restano fuori dalla copertura SSO. Sistemi legacy, portali dei fornitori, strumenti SaaS personali e applicazioni emergenti richiedono l'autenticazione tradizionale. Questo crea punti ciechi di sicurezza in cui i dipendenti ricorrono a password deboli o riutilizzate.

Bitwarden integra le distribuzioni SSO esistenti anziché sostituirle. Integrando Bitwarden per aziende o enterprise con il proprio provider di identità, le organizzazioni estendono le policy di sicurezza sia alle applicazioni abilitate per SSO sia agli strumenti che richiedono credenziali tradizionali. Il risultato è una sicurezza completa delle credenziali, senza lacune, indipendentemente dai metodi di autenticazione delle app.

Bitwarden funziona con qualsiasi provider di identità che supporti SAML 2.0 o OpenID Connect (OIDC) per l'accesso con SSO. Sono inclusi Microsoft Entra ID, Okta, Ping Identity, Google Workspace e altri provider conformi agli standard. Usare l'SSO esistente di un'azienda per accedere a Bitwarden consente alle organizzazioni di aggiungere una copertura completa delle credenziali senza dover riconfigurare il proprio ambiente o passare a una soluzione diversa.

Architettura zero knowledge

L'integrazione preserva la crittografia zero knowledge tramite la separazione architetturale. Il provider di identità gestisce l'autenticazione, mentre Bitwarden si occupa dell'archiviazione delle credenziali e della decrittografia della cassaforte. Questa separazione significa che la chiave di crittografia non viene mai esposta al provider di identità, che non può accedere ai dati della cassaforte. Le chiavi di crittografia restano esclusivamente sotto il controllo dell'organizzazione o dell'utente, senza mai passare attraverso server esterni.

Con l'autenticazione gestita tramite l'IdP, questo design consente all'autenticazione SSO di controllare l'accesso alla cassaforte Bitwarden stessa, estendendo le protezioni SSO a ogni credenziale archiviata al suo interno, anche per le applicazioni che non supportano SSO.

Approcci flessibili alla decrittografia

Con un design zero knowledge e crittografato end-to-end, le chiavi utilizzate per crittografare le casseforti degli utenti e dell'organizzazione restano presso l'organizzazione tramite uno dei tre metodi. Le organizzazioni scelgono il metodo di decrittografia più adatto ai requisiti di sicurezza e agli obiettivi di esperienza utente.

Decrittografia con password principale: Dopo l'autenticazione SSO, gli utenti inseriscono la propria password principale di Bitwarden per decrittografare i contenuti della cassaforte. Questo mantiene la crittografia sotto il controllo dell'utente, sfruttando al contempo SSO per l'autenticazione.

SSO con dispositivi attendibili: I dispositivi registrati archiviano le chiavi di crittografia, eliminando la necessità di una password principale dopo l'autenticazione SSO. Questo crea un'esperienza senza password preservando la crittografia zero knowledge.

> Consulta la guida per utenti finali su come iniziare a usare SSO con dispositivi attendibili

Key Connector: Le organizzazioni in self-hosting possono distribuire Key Connector per gestire le chiavi di decrittografia su un'infrastruttura sotto il loro controllo, mantenendo i principi zero knowledge e centralizzando al contempo la gestione delle chiavi, in modo che gli utenti non debbano inserire password principali. Si tratta di un'opzione avanzata che richiede risorse e competenze IT significative per essere implementata in modo sicuro.

> Scopri di più: Scegliere la strategia SSO più adatta

La gestione manuale degli account diventa impraticabile su scala enterprise. Bitwarden offre due opzioni di provisioning automatizzato che si sincronizzano con i servizi di directory esistenti.

Provisioning SCIM

System for Cross-domain Identity Management (SCIM) consente la sincronizzazione delle directory in tempo reale. Quando l'IT aggiunge dipendenti alla directory, SCIM crea automaticamente account Bitwarden con le appartenenze ai gruppi appropriate. Quando i dipendenti lasciano l'azienda, SCIM revoca immediatamente l'accesso. Questa automazione colma le lacune di sicurezza create dai processi manuali durante i passaggi di ruolo dei dipendenti.

L'integrazione SCIM è disponibile per Microsoft Entra ID, Okta, OneLogin, JumpCloud e Ping Identity.

Directory Connector

Le organizzazioni che usano servizi di directory senza supporto SCIM possono distribuire Directory Connector, un'applicazione autonoma che sincronizza utenti e gruppi da LDAP, Active Directory e altri sistemi di directory secondo una pianificazione. In questo modo si ottiene il provisioning automatizzato per gli ambienti in cui SCIM non è disponibile.

Insieme, SSO e Bitwarden offrono una protezione completa per diversi tipi di credenziali.

Applicazioni non SSO: Bitwarden genera password robuste e univoche e archivia le credenziali in modo sicuro con la stessa supervisione organizzativa dell'SSO; inoltre, l'accesso può essere revocato tramite i sistemi IdP e SCIM.

Condivisione con fornitori e collaboratori esterni: Condividi in modo sicuro le credenziali con soggetti esterni tramite raccolte crittografate con controlli di accesso granulari e audit trail, invitando temporaneamente utenti che non fanno parte dell'IdP

Applicazione dei criteri aziendali: Richiedi l'autenticazione SSO per gli utenti non amministratori, applica l'iscrizione al recupero dell'account, limita gli utenti all'appartenenza a una sola organizzazione e imponi l'accesso in due passaggi.

Controlli di accesso granulari: I controlli di accesso basati sui ruoli, i ruoli personalizzati e le autorizzazioni basate sulle raccolte supportano i principi del privilegio minimo per le credenziali condivise.

Audit trail completi: I log degli eventi registrano accessi alle credenziali, condivisioni, modifiche e cambiamenti dei criteri per tutti gli utenti e le applicazioni.

Applicazione dei criteri per le password: Genera password complesse che soddisfano gli standard dell'organizzazione e identifica credenziali deboli, riutilizzate o compromesse in tutti i sistemi.

Le organizzazioni che implementano insieme SSO e Bitwarden ottengono una sicurezza completa delle credenziali in tutto il loro ecosistema applicativo. Invece di accettare punti ciechi di sicurezza o limitare la scelta degli strumenti, questa combinazione protegge gli investimenti nell'SSO estendendo i criteri di autenticazione alle applicazioni non coperte dall'SSO. Questo approccio completo elimina le password deboli e riutilizzate in tutti i sistemi, mantenendo al contempo visibilità sullo stato delle credenziali in tutta l'organizzazione, riducendo in modo significativo gli incidenti legati alle credenziali.

L'integrazione semplifica sia l'onboarding sia la pianificazione della successione. Il provisioning automatizzato assicura che i dipendenti ottengano rapidamente l'accesso al loro ingresso in azienda, mentre il deprovisioning sincronizzato attiva la revoca immediata delle credenziali quando lasciano l'organizzazione. Per le organizzazioni che collaborano con partner esterni, la soluzione consente una collaborazione sicura permettendo ai team di condividere credenziali con fornitori e collaboratori esterni tramite canali crittografati che offrono autorizzazioni granulari e audit trail completi.

Dal punto di vista della conformità, logging e reportistica dettagliati dimostrano una gestione completa delle credenziali in tutti i sistemi, non solo nelle applicazioni abilitate all'SSO. Questo aiuta le organizzazioni a soddisfare i propri requisiti di conformità. Allo stesso tempo, la soluzione migliora l'esperienza dei dipendenti consentendo un accesso fluido alle credenziali su tutti i dispositivi, mentre l'IT mantiene il controllo centralizzato e applica standard di sicurezza coerenti in tutta l'organizzazione.

Le organizzazioni che già usano l'SSO possono aggiungere Bitwarden senza interrompere i sistemi di autenticazione esistenti. L'integrazione opera all'interno dell'infrastruttura attuale per offrire una gestione degli accessi unificata che copre tutte le applicazioni.

Pronti a colmare le lacune dell'SSO? Inizia una prova gratuita di 7 giorni di Enterprise per testare l'integrazione SSO oppure contatta il team commerciale per discutere di come estendere la sicurezza all'intero ambiente applicativo.