適切なSSOログイン戦略の選び方

サイバーセキュリティを最優先事項とする多くの企業や大企業では、従業員のログインIDとパスワードの数を減らすために、シングルサインオン（SSO）を導入しています。SSO によるワンクリックアクセスは、セキュリティの向上に加え、ユーザー体験の改善と生産性の向上にも役立ちます。 

Bitwarden は、企業が SSO の導入を選択する理由を理解し、各社のニーズに合った構成を実現するために複数の認証オプションを提供しています。 

これらの実装オプションは、Bitwarden の基本的な設計目標と、ゼロ知識暗号化の概念を起点とする当社のエンジニアリングアプローチに沿ったものです。 

Bitwarden はゼロ知識暗号化の原則に基づいて構築されています。つまり、Bitwarden の保管庫に保存するすべてのものは暗号化され、自分自身または社内の承認済みユーザー以外は表示できません。ほとんどのパスワードマネージャーは、程度の差こそあれゼロ知識暗号化のアプローチを実装しています。Bitwarden はエンドツーエンド暗号化と完全なゼロ知識暗号化を組み合わせているため、Bitwarden を含め、誰もアクセスできません。 

クイックリファレンス

「エンドツーエンド暗号化、暗号化と復号はデバイスレベルで行われます。保管庫データは、スマートフォンやコンピューターから送信される前に暗号化され、宛先で復号されます。 Bitwarden は、AES-CBC 256ビット暗号化、ソルト付きハッシュ、PBKDF2 SHA-256 を使用して、すべての保管庫データを保護します。 

ゼロ知識暗号化により、Bitwarden のチームメンバーがお客様の情報にアクセスすることはできません。代わりに、お客様のデータはメールアドレスとマスターパスワードによってエンドツーエンドで暗号化されたまま保たれます。 もちろん、すべての商用アプリケーションやサービスがこのフレームワークで構築されているわけではなく、またそうする必要があるわけでもありません。暗号化されていないアプリケーションでは、ユーザー名とパスワードによってアクセスが提供されます。暗号化プロトコルがない場合、ソフトウェアプロバイダーはアプリケーション内に保存されたあらゆるユーザーデータにアクセスできます。 

暗号化されたアプリケーションである Bitwarden にユーザーがログインすると、認証と復号という 2 つの処理が行われます。ユーザーはまず、暗号化された保管庫データにアクセスするために本人認証を行う必要があり、その後、マスターパスワードから生成されたユーザーのキーを使ってデータがローカルで復号されます。大多数の Bitwarden ユーザーにとって、マスターパスワードはこの 2 つの手順の両方を実現します。つまり、認証手段であると同時に復号キーとしても機能します。 

Bitwarden で SSO を活用したい企業は、Bitwarden が提供する柔軟なオプションを検討する必要があります。 

SSO と暗号化されていないアプリケーションでは、ユーザーは 1 組の認証情報で認証し、複数のアプリケーションにアクセスします。多くの場合、企業のエンドユーザーに必要なのはそれだけです。暗号化された情報がないため、このようなケースでは SSO は認証のみを担います。

ゼロ知識暗号化を維持するため、Bitwarden は SSO において認証と復号を 2 つの別個の手順に分離しています。まず SSO プロバイダーによる認証を行い、その後、マスターパスワードによって復号と保管庫へのアクセスを行います。その結果、復号キーが Bitwarden サーバーを通過することはなく、ユーザーは SSO 用の認証情報と、Bitwarden 用の自分自身の復号キーを保持できます。 

IT リソースやエコシステムが異なるさまざまな企業に最適な形で対応するため、Bitwarden は自社ソリューションを SSO と統合するための 2 つの導入オプションを提供しています。 

このオプションは、信頼できるデバイスモデルを通じて従業員に企業向けのパスワードレス体験を提供し、ログインプロセス全体の利便性、速度、拡張性を高めます。ユーザーが新しいデバイス（Bitwarden クライアント／アプリ）でのログインを承認し、それが確認されると、暗号化された保管庫データにアクセスするには SSO で認証されるだけで済みます。復号プロセスの一部として使用される暗号化キーは、デバイス上のアプリファイルの一部として安全に保存されるため、SSO サービスがユーザーを認証すると、追加のユーザー入力なしでデバイスがデータを復号できます。

信頼できるデバイスによる SSO の詳細は こちら

SSO でログインでは、SSO プロバイダーを認証に使用し、その後ユーザーの Bitwarden マスターパスワードでデータを復号します。これは、IT チームが SSO 認証プロセスを維持しつつ、ゼロ知識暗号化モデルにおける復号用の固有のパスワードも維持するための、最もシンプルな導入オプションです。 

SSO でログインの詳細は こちら

このオプションでは、ユーザーデータを復号する手順を統合します。IT 管理者がキーコネクターアプリケーション（または鍵管理サーバー）を導入・管理し、Bitwarden 保管庫のユーザーの暗号化キーを保持します。 

自己ホスト型のキーサーバーを通じて、企業はユーザーが SSO で Bitwarden にサインインする際に、ユーザーのデータを復号するためのキーを保存、管理し、自動的に提供します。このプロセスでは Bitwarden 側のゼロ知識暗号化が維持され、ユーザーにとってはシームレスです。SSO 経由でログインすると、復号された Bitwarden 保管庫にすぐにアクセスでき、すべてが 1 つの手順で完了します。  

キーサーバーは機密性の高いユーザーデータを保持するため、企業がサーバーの導入、バックアップ、保守方法を理解し、厳格なセキュリティポリシーを実装することが重要です。暗号鍵の管理は非常に機密性が高く、すでにキーサーバーを安全に導入・管理した実績のあるチームとインフラを持つ企業にのみ推奨されます。

Bitwarden は、企業を保護し、エンドユーザーにとってパスワードセキュリティを簡単にすることに取り組んでいます。Bitwarden の SSO オプションは、ゼロ知識暗号化のアプローチに忠実でありながら、ユーザーの導入を促進し、ユーザー体験を簡素化します。

Bitwarden を選ぶと、SAML または OpenID 標準をサポートする任意の ID プロバイダーを使用できる柔軟性が得られます。独自の ID プロバイダーを選択できることと、Bitwarden が提供する SSO オプションの組み合わせにより、企業は信頼できるオープンソースのアプローチで、最適な認証および復号モデルを導入できます。