管理者コンソールSSOでログイン信頼できるデバイス

信頼できるデバイスについて

信頼できるデバイスを使用したSSOでは、ユーザーはSSOを使用して

認証
し、デバイスに保存された暗号化キーを使用して保管庫を復号化することができ、マスターパスワードを入力する必要がなくなります。信頼できるデバイスは、ログイン試行の前に事前に登録するか、または
いくつかの異なる方法で承認する
必要があります。

信頼されたデバイスとのSSOは、ビジネスエンドユーザーにパスワードレスの体験を提供し、それはゼロノウハウであり、エンドツーエンドで暗号化されています。これにより、ユーザーは忘れたマスターパスワードによってロックアウトされるのを防ぎ、スムーズなログイン体験を楽しむことができます。

信頼できるデバイスを使い始めてください

信頼できるデバイスでSSOを使用するためには次の手順を開始します:

  1. 組織の

    信頼できるデバイスを使用して SSO をセットアップします

  2. 管理者に

    デバイスのリクエストを承認する方法
    についての情報を提供します。

  3. エンドユーザーに

    信頼できるデバイスの追加方法
    についての情報を提供します。

それがどのように機能するか

次のタブは、異なる信頼できるデバイスの手順中に発生する暗号化プロセスとキー交換を説明しています:

新しいユーザーが組織に参加すると、そのユーザーのアカウント暗号化キーを組織の公開キーで暗号化することにより、アカウント回復キー (

詳細を学ぶ
)が作成されます。信頼できるデバイスとSSOを有効にするためには、アカウントの回復が必要です。

その後、ユーザーにデバイスを記憶するか、または信頼するかどうか尋ねられます。彼らがそうすることを選択したとき:

  1. 新しいデバイスキーはクライアントによって生成されます。このキーはクライアントから出ることはありません。

  2. 新しいRSAキーペア、デバイスのプライベートキーデバイスのパブリックキー、はクライアントによって生成されます。

  3. ユーザーのアカウント暗号化キーは、暗号化されていないデバイス公開キーで暗号化され、その結果の値が公開キーで暗号化されたユーザーキーとしてサーバーに送信されます。

  4. デバイス公開鍵はユーザーのアカウント暗号化キーで暗号化され、その結果の値がユーザーキー暗号化公開鍵としてサーバーに送信されます。

  5. デバイスプライベートキーは最初のデバイスキーで暗号化され、その結果の値がデバイスキーで暗号化されたプライベートキーとしてサーバーに送信されます。

公開鍵で暗号化されたユーザーキーデバイスキーで暗号化されたプライベートキーは、重要な点として、ログインが開始されたときにサーバーからクライアントに送信されます。

ユーザーがアカウントの暗号化キーをロテートする必要がある場合、ユーザーキー暗号化公開キーが使用されます。

信頼できるデバイス用のキー

このテーブルは、上記の手順で使用される各キーについての詳細情報を提供します:

キー

詳細

デバイスキー

AES-256 CBC HMAC SHA-256、長さ512ビット(キー用256ビット、HMAC用256ビット)

デバイスプライベートキー & デバイスパブリックキー

RSA-2048 OAEP SHA1、長さ2048ビット

公開鍵で暗号化されたユーザーキー

RSA-2048 OAEP SHA1

ユーザーキー暗号化公開鍵

AES-256 CBC HMAC SHA-256

デバイスキー暗号化プライベートキー

AES-256 CBC HMAC SHA-256

マスターパスワードへの影響

信頼できるデバイスとのSSOはマスターパスワードの必要性を排除しますが、すべてのケースでマスターパスワード自体を排除するわけではありません:

  • ユーザーが信頼できるデバイスでのSSOが有効化される前にオンボーディングされた場合、または組織の招待からアカウントを作成を選択した場合、そのアカウントはマスターパスワードを保持します。

  • 信頼できるデバイスでのSSOが有効化されたにユーザーがオンボーディングされ、彼らが組織の招待からログインエンタープライズSSOを選択した場合、

    JITプロビジョニング
    のための彼らのアカウントはマスターパスワードを持っていません。

warning

マスターパスワードがない結果としての

信頼できるデバイスとのSSO
を持つアカウントについては、
組織からの削除
または
アクセス権の取り消し
により、以下の場合を除き、そのBitwardenアカウントへのすべてのアクセスが遮断されます:

  1. あらかじめ

    アカウント回復
    を使用して、マスターパスワードを割り当てます。

  2. ユーザーは、アカウント回復ワークフローを完全に完了するために、アカウント回復後に少なくとも一度ログインします。

他の機能への影響

あなたのクライントのためのマスターパスワードハッシュがメモリ内に利用可能かどうかは、クライアントアプリケーションが最初にアクセスされる方法によって決まります。それにより、以下のような振る舞いの変化が見られるかもしれません:

機能

インパクト

確認

Bitwarden クライアント アプリケーションには、ボールト データ

のエクスポート
2 段階ログイン設定の
変更、
API キー
の取得など、通常、使用するためにマスター パスワードの入力が必要な機能が多数あります。

ユーザーがマスターパスワードを使用せずにクライアントにアクセスする場合、これらすべての機能はマスターパスワードの確認をメールアドレスを基にしたTOTP検証に置き換えます。

保管庫ロック/ロック解除

通常の状況下では、

ロックされた保管庫はマスターパスワードを使用してロック解除できます
。ユーザーがマスターパスワードを使用せずにクライアントにアクセスする場合、ロックされたクライアントアプリケーションは、
PIN
または
生体認証
でのみロック解除できます。

クライアントアプリケーションにPINも生体認証も有効になっていない場合、保管庫はロックする代わりに常にログアウトします。ロック解除とログインは常にインターネット接続が必要です。

マスターパスワードの再要求

ユーザーがマスターパスワードで保管庫をロック解除しない場合、

マスターパスワードの再プロンプト
は無効になります。

CLI

マスターパスワードを持っていない
ユーザーは、パスワードマネージャーCLIにアクセスできません