With cybersecurity as a top priority, many businesses deploy single sign-on (SSO) to reduce the number of employee login IDs and passwords. In addition to increasing security, single-click access through SSO helps improve the user experience and enhance productivity.
Bitwarden understands why enterprises choose to adopt SSO, and offers multiple authentication options to deliver the right configuration for each company’s needs.
These implementation offerings align with Bitwarden foundational design goals and our engineering approach, which starts with the concept of zero knowledge encryption.
Additional Resources
Guide: Enterprise Reference Guide to Bitwarden Authentication
Help Article: How to Deploy Login with SSO and Customer Managed Encryption with a Key Connector
Blog: How Zero Knowledge Paves the Way to End-End-Encryption
Explore Bitwarden Login with SSO and customer managed encryption with a free 7-day business trial.
Zero Knowledge Encryption: The Definitive Security Approach
Bitwarden builds on the principle of zero knowledge encryption, which means that everything you store in a Bitwarden vault is encrypted and cannot be viewed by anyone but yourself or authorized users within your company. Most password managers implement a zero knowledge encryption approach albeit to varying degrees. Bitwarden combines end-to-end encryption and complete zero knowledge encryption so nobody, not even Bitwarden, has access.
Quick Reference
In end-to-end encryption, encryption and decryption occurs at the device level. Vault data is encrypted before leaving the phone or computer and decrypted at the destination. Bitwarden uses AES-CBC 256 bit encryption, salted hashing, and PBKDF2 SHA-256 to protect all vault data.
With zero-knowledge encryption, Bitwarden team members cannot access any of your information. Instead, your data remains end-to-end encrypted with your email and master password. Of course, not all commercial applications and services are built - or need to be built - with this framework. In non-encrypted applications, usernames and passwords provide access. With no encryption protocol in place, software providers can access any user data stored within the application.
When a user logs into Bitwarden, an encrypted application, two things happen: authentication and decryption. The user must first authenticate themselves to access encrypted vault data, which is then decrypted locally with the user’s key, derived from their master password. For the majority of Bitwarden users, their master password enables both of those steps. It serves as the authentication agent as well as the decryption key.
Businesses looking to leverage SSO with Bitwarden should consider the flexible options Bitwarden provides.
Uniquely Handling SSO with Encrypted Applications
With SSO and non-encrypted applications, users authenticate with one set of credentials to access multiple applications. In many cases, that’s all corporate end-users need. SSO only takes care of authentication in these cases as there is no encrypted information.
To maintain zero knowledge encryption, Bitwarden separates authentication and decryption into two discrete steps for SSO: authentication through the SSO provider, then decryption and vault access through a master password. As a result, decryption keys never pass through Bitwarden servers and users maintain credentials for SSO, and their own decryption key for Bitwarden.
SSOによるゼロ知識暗号化の維持
ITリソースやエコシステムが異なるさまざまな企業に最適なサービスを提供するために、BitwardenはSSOとソリューションを統合するための2つの導入オプションを提供しています。
信頼できるデバイスによるSSO
このオプションは、信頼されたデバイスモデルを通じて従業員にエンタープライズパスワードレスエクスペリエンスを提供し、全体的なログインプロセスに容易さ、スピード、スケールをもたらします。デバイスが登録され、確認されると、ユーザはSSOで認証されるだけで、暗号化された保管庫データにアクセスできる。復号化プロセスの一部として使用される暗号化キーはデバイスに安全に保存されるため、SSOサービスがユーザーを認証すると、デバイスは追加のユーザー入力なしにデータを復号化できる。
信頼できるデバイスを使ったSSOの詳細はこちら
SSOログイン
SSOを使用したログインでは、認証にSSOプロバイダーを使用し、ユーザーからBitwardenマスターパスワードを受け取ってデータを復号化します。これはITチームにとって最もシンプルな導入オプションで、SSO認証プロセスを維持し、ゼロ知識暗号化モデルで復号化のための一意のパスワードを維持する。
SSOログインの詳細はこちら こちら
SSOと顧客管理による暗号化ログイン
このオプションは、IT 管理者が Bitwarden データ保管庫のユーザーの暗号鍵を保持するために、キ ーコネクターアプリケーション(または鍵管理サーバー)を導入して管理することで、ユーザーデータを復号化する手 順を統合します。
セルフホスト型のキーサーバーを通じて、企業はユーザーのデータを復号化するためのキーを保管、管理し、SSOを通じてビットワーデンにサインインする際に自動的に配信する。このプロセスはBitwarden側でゼロナレッジの暗号化を維持し、ユーザーにはシームレスです。ユーザーはSSO経由でログインし、復号化されたBitwardenの保管庫にすぐにアクセスできます。
キー・サーバーは機密性の高いユーザー・データを保持するため、企業はサーバーの導入、バックアップ、保守の方法を理解し、厳格なセキュリティ・ポリシーを導入することが極めて重要である。暗号鍵の管理は非常にデリケートであるため、すでに鍵サーバーを安全に配備し、管理しているチームとインフラを活用している企業にのみ推奨される。
最も包括的なSSO統合オプション
Bitwardenはビジネスを保護し、エンドユーザーにとってパスワードのセキュリティを簡単にすることに取り組んでいます。Bitwarden の SSO オプションは、ゼロナレッジ暗号化アプローチに忠実でありながら、ユーザーの採用を促進し、ユーザーエクスペリエンスを簡素化します。
Bitwardenを選択すると、SAMLまたはOpenID標準をサポートするあらゆるIDプロバイダを柔軟に使用できます。Bitwardenが提供するSSOオプションと相まって、独自のIDプロバイダーを選択するというユニークな組み合わせは、企業が信頼できるオープンソースのアプローチで適切な認証と復号化モデルを展開できることを意味します。