信頼できるデバイスについて
信頼できるデバイスを使用したSSOでは、ユーザーはSSOを使用して認証し、デバイスに保存された暗号化キーを使用して保管庫を復号化することができ、マスターパスワードを入力する必要がなくなります。信頼できるデバイスは、ログイン試行の前に事前に登録するか、またはいくつかの異なる方法で承認する必要があります。
信頼されたデバイスとのSSOは、ビジネスエンドユーザーにパスワードレスの体験を提供し、それはゼロノウハウであり、エンドツーエンドで暗号化されています。これにより、ユーザーは忘れたマスターパスワードによってロックアウトされるのを防ぎ、スムーズなログイン体験を楽しむことができます。
信頼できるデバイスでSSOを使用するためには次の手順を開始します:
管理者にデバイスのリクエストを承認する方法についての情報を提供します。
エンドユーザーに信頼できるデバイスの追加方法についての情報を提供します。
次のタブは、異なる信頼できるデバイスの手順中に発生する暗号化プロセスとキー交換を説明しています:
新しいユーザーが組織に参加すると、そのユーザーのアカウント暗号化キーを組織の公開キーで暗号化することにより、アカウント回復キー (詳細を学ぶ)が作成されます。信頼できるデバイスとSSOを有効にするためには、アカウントの回復が必要です。
その後、ユーザーにデバイスを記憶するか、または信頼するかどうか尋ねられます。彼らがそうすることを選択したとき:
新しいデバイスキーはクライアントによって生成されます。このキーはクライアントから出ることはありません。
新しいRSAキーペア、デバイスのプライベートキーとデバイスのパブリックキー、はクライアントによって生成されます。
ユーザーのアカウント暗号化キーは、暗号化されていないデバイス公開キーで暗号化され、その結果の値が公開キーで暗号化されたユーザーキーとしてサーバーに送信されます。
デバイス公開鍵はユーザーのアカウント暗号化キーで暗号化され、その結果の値がユーザーキー暗号化公開鍵としてサーバーに送信されます。
デバイスプライベートキーは最初のデバイスキーで暗号化され、その結果の値がデバイスキーで暗号化されたプライベートキーとしてサーバーに送信されます。
公開鍵で暗号化されたユーザーキーとデバイスキーで暗号化されたプライベートキーは、重要な点として、ログインが開始されたときにサーバーからクライアントに送信されます。
ユーザーがアカウントの暗号化キーをロテートする必要がある場合、ユーザーキー暗号化公開キーが使用されます。
このテーブルは、上記の手順で使用される各キーについての詳細情報を提供します:
キー | 詳細 |
|---|---|
デバイスキー | AES-256 CBC HMAC SHA-256、長さ512ビット(キー用256ビット、HMAC用256ビット) |
デバイスプライベートキー & デバイスパブリックキー | RSA-2048 OAEP SHA1、長さ2048ビット |
公開鍵で暗号化されたユーザーキー | RSA-2048 OAEP SHA1 |
ユーザーキー暗号化公開鍵 | AES-256 CBC HMAC SHA-256 |
デバイスキー暗号化プライベートキー | AES-256 CBC HMAC SHA-256 |
信頼できるデバイスとのSSOはマスターパスワードの必要性を排除しますが、すべてのケースでマスターパスワード自体を排除するわけではありません:
ユーザーが信頼できるデバイスでのSSOが有効化される前にオンボーディングされた場合、または組織の招待からアカウントを作成を選択した場合、そのアカウントはマスターパスワードを保持します。
信頼できるデバイスでのSSOが有効化された後にユーザーがオンボーディングされ、彼らが組織の招待からログイン→エンタープライズSSOを選択した場合、JITプロビジョニングのための彼らのアカウントはマスターパスワードを持っていません。
warning
マスターパスワードがない結果としての信頼できるデバイスとのSSOを持つアカウントについては、組織からの削除またはアクセス権の取り消しにより、以下の場合を除き、そのBitwardenアカウントへのすべてのアクセスが遮断されます:
あらかじめアカウント回復を使用して、マスターパスワードを割り当てます。
ユーザーは、アカウント回復ワークフローを完全に完了するために、アカウント回復後に少なくとも一度ログインします。
あなたのクライントのためのマスターパスワードハッシュがメモリ内に利用可能かどうかは、クライアントアプリケーションが最初にアクセスされる方法によって決まります。それにより、以下のような振る舞いの変化が見られるかもしれません:
機能 | インパクト |
|---|---|
確認 | Bitwarden クライアント アプリケーションには、ボールト データのエクスポート、 2 段階ログイン設定の変更、 API キーの取得など、通常、使用するためにマスター パスワードの入力が必要な機能が多数あります。 ユーザーがマスターパスワードを使用せずにクライアントにアクセスする場合、これらすべての機能はマスターパスワードの確認をメールアドレスを基にしたTOTP検証に置き換えます。 |
保管庫ロック/ロック解除 | 通常の状況下では、ロックされた保管庫はマスターパスワードを使用してロック解除できます。ユーザーがマスターパスワードを使用せずにクライアントにアクセスする場合、ロックされたクライアントアプリケーションは、PINまたは生体認証でのみロック解除できます。 クライアントアプリケーションにPINも生体認証も有効になっていない場合、保管庫はロックする代わりに常にログアウトします。ロック解除とログインは常にインターネット接続が必要です。 |
マスターパスワードの再要求 | ユーザーがマスターパスワードで保管庫をロック解除しない場合、マスターパスワードの再プロンプトは無効になります。 |
CLI | マスターパスワードを持っていないユーザーは、パスワードマネージャーCLIにアクセスできません。 |
このページの変更を提案する
どうすればこのページを改善できますか?
技術、請求、製品に関するご質問は、サポートまでお問い合わせください。