管理者コンソールSSOでログイン

信頼できるデバイスについて

信頼できるデバイスを使用したSSOでは、ユーザーはSSOを使用して認証し、デバイスに保存された暗号化キーを使用して保管庫を復号化することができ、マスターパスワードを入力する必要がなくなります。信頼できるデバイスは、ログイン試行の前に事前に登録するか、またはいくつかの異なる方法で承認する必要があります。

信頼されたデバイスとのSSOは、ビジネスエンドユーザーにパスワードレスの体験を提供し、それはゼロノウハウであり、エンドツーエンドで暗号化されています。これにより、ユーザーは忘れたマスターパスワードによってロックアウトされるのを防ぎ、スムーズなログイン体験を楽しむことができます。

信頼できるデバイスを使い始めてください

信頼できるデバイスでSSOを使用するためには次の手順を開始します:

  1. 組織の信頼できるデバイスを使用して SSO をセットアップします

  2. 管理者にデバイスのリクエストを承認する方法についての情報を提供します。

  3. エンドユーザーに信頼できるデバイスの追加方法についての情報を提供します。

それがどのように機能するか

次のタブは、異なる信頼できるデバイスの手順中に発生する暗号化プロセスとキー交換を説明しています:

新しいユーザーが組織に参加すると、そのユーザーのアカウント暗号化キーを組織の公開キーで暗号化することにより、アカウント回復キー (詳細を学ぶ)が作成されます。信頼できるデバイスとSSOを有効にするためには、アカウントの回復が必要です。

その後、ユーザーにデバイスを記憶するか、または信頼するかどうか尋ねられます。彼らがそうすることを選択したとき:

  1. 新しいデバイスキーはクライアントによって生成されます。このキーはクライアントから出ることはありません。

  2. 新しいRSAキーペア、デバイスのプライベートキーデバイスのパブリックキー、はクライアントによって生成されます。

  3. ユーザーのアカウント暗号化キーは、暗号化されていないデバイス公開キーで暗号化され、その結果の値が公開キーで暗号化されたユーザーキーとしてサーバーに送信されます。

  4. デバイス公開鍵はユーザーのアカウント暗号化キーで暗号化され、その結果の値がユーザーキー暗号化公開鍵としてサーバーに送信されます。

  5. デバイスプライベートキーは最初のデバイスキーで暗号化され、その結果の値がデバイスキーで暗号化されたプライベートキーとしてサーバーに送信されます。

公開鍵で暗号化されたユーザーキーデバイスキーで暗号化されたプライベートキーは、重要な点として、ログインが開始されたときにサーバーからクライアントに送信されます。

ユーザーがアカウントの暗号化キーをロテートする必要がある場合、ユーザーキー暗号化公開キーが使用されます。

信頼できるデバイス用のキー

このテーブルは、上記の手順で使用される各キーについての詳細情報を提供します:

マスターパスワードへの影響

信頼できるデバイスとのSSOはマスターパスワードの必要性を排除しますが、すべてのケースでマスターパスワード自体を排除するわけではありません:

  • ユーザーが信頼できるデバイスでのSSOが有効化される前にオンボーディングされた場合、または組織の招待からアカウントを作成を選択した場合、そのアカウントはマスターパスワードを保持します。

  • 信頼できるデバイスでのSSOが有効化されたにユーザーがオンボーディングされ、彼らが組織の招待からログインエンタープライズSSOを選択した場合、JITプロビジョニングのための彼らのアカウントはマスターパスワードを持っていません。

warning

マスターパスワードがない結果としての信頼できるデバイスとのSSOを持つアカウントについては、組織からの削除またはアクセス権の取り消しにより、以下の場合を除き、そのBitwardenアカウントへのすべてのアクセスが遮断されます:

  1. あらかじめアカウント回復を使用して、マスターパスワードを割り当てます。

  2. ユーザーは、アカウント回復ワークフローを完全に完了するために、アカウント回復後に少なくとも一度ログインします。

他の機能への影響

あなたのクライントのためのマスターパスワードハッシュがメモリ内に利用可能かどうかは、クライアントアプリケーションが最初にアクセスされる方法によって決まります。それにより、以下のような振る舞いの変化が見られるかもしれません:

このページの変更を提案する

どうすればこのページを改善できますか?
技術、請求、製品に関するご質問は、サポートまでお問い合わせください。