Bitwardenとシングルサインオンの統合

シングルサインオンは、対応するアプリケーションに強力な認証を提供しますが、業務アプリケーションの最大3分の2はSSOの対象外です。レガシーシステム、ベンダーポータル、個人向けSaaSツール、新興アプリケーションでは従来型の認証が必要です。その結果、従業員が脆弱なパスワードや使い回しのパスワードに頼るセキュリティ上の死角が生まれます。

Bitwardenは、既存のSSO展開を置き換えるのではなく補完します。BitwardenのビジネスまたはエンタープライズをIDプロバイダーと統合することで、組織はSSO対応アプリケーションと従来の認証情報を必要とするツールの両方にセキュリティポリシーを拡張できます。その結果、アプリの認証方式に関係なく、隙のない包括的な認証情報セキュリティを実現できます。

Bitwardenは、SSOでのログインにおいてSAML 2.0またはOpenID Connect（OIDC）をサポートする任意のIDプロバイダーと連携します。これには、Microsoft Entra ID、Okta、Ping Identity、Google Workspace、およびその他の標準準拠プロバイダーが含まれます。企業の既存のSSOを使ってBitwardenにログインすることで、組織は設定を再構成したり別のソリューションに切り替えたりすることなく、認証情報の完全なカバレッジを追加できます。

ゼロ知識アーキテクチャ

この統合では、アーキテクチャ上の分離によりゼロ知識暗号化を維持します。IDプロバイダーが認証を処理し、Bitwardenが認証情報の保存と保管庫の復号を管理します。この分離により、暗号化キーがIDプロバイダーに公開されることはなく、IDプロバイダーが保管庫データにアクセスすることもできません。暗号化キーは常に組織またはユーザーの管理下にのみ置かれ、外部サーバーを経由することはありません。

認証をIdPで管理するこの設計により、SSO認証でBitwarden保管庫自体へのアクセスを制御でき、SSOに対応していないアプリケーションであっても、保管庫内に保存されたすべての認証情報にSSOの保護を拡張できます。

柔軟な復号方式

ゼロ知識のエンドツーエンド暗号化設計により、ユーザーおよび組織の保管庫の暗号化に使用されるキーは、3つの方法のいずれかで組織側に保持されます。組織は、セキュリティ要件とユーザー体験の目標に合った復号方法を選択できます。

マスターパスワードによる復号：SSO認証後、ユーザーはBitwardenのマスターパスワードを入力して保管庫の内容を復号します。これにより、SSOを認証に活用しながら、ユーザーが管理する暗号化を維持できます。

信頼できるデバイスを使用したSSO：登録済みのデバイスに暗号化キーを保存するため、SSO認証後にマスターパスワードを入力する必要がなくなります。これにより、ゼロ知識暗号化を維持しながら、パスワードレスの体験を実現できます。

> エンドユーザー向けガイドをご覧ください：信頼できるデバイスを使用したSSOの始め方

キーコネクター：自己ホスト型組織はキーコネクターを導入し、自社で管理するインフラストラクチャ上で復号キーを管理できます。これにより、キー管理を一元化しながらゼロ知識の原則を維持できるため、ユーザーがマスターパスワードを入力する必要がありません。これは高度なオプションであり、安全に実装するには相当なITリソースと知識が必要です。

> 詳細：適切なSSO戦略の選び方

エンタープライズ規模では、手動のアカウント管理は現実的ではなくなります。Bitwardenは、既存のディレクトリサービスと同期する2つの自動プロビジョニングオプションを提供します。

SCIMプロビジョニング

System for Cross-domain Identity Management（SCIM）は、リアルタイムのディレクトリ同期を可能にします。IT部門が従業員をディレクトリに追加すると、SCIMはBitwardenアカウントを自動的に作成し、適切なグループメンバーシップを付与します。従業員が退職すると、SCIMはただちにアクセスを取り消します。この自動化により、従業員の異動時に手動プロセスが生むセキュリティ上の隙間を解消できます。

SCIM連携は、Microsoft Entra ID、Okta、OneLogin、JumpCloud、Ping Identityで利用できます。

Directory Connector

SCIMに対応していないディレクトリサービスを使用している組織は、Directory Connectorを導入できます。Directory Connectorは、LDAP、Active Directory、その他のディレクトリシステムからユーザーとグループをスケジュールに従って同期するスタンドアロンアプリケーションです。これにより、SCIMを利用できない環境でも自動プロビジョニングを実現できます。

SSOとBitwardenを併用することで、さまざまな認証情報タイプを包括的に保護できます。

非SSOアプリケーション：Bitwardenは強力で一意のパスワードを生成し、SSOと同じ組織レベルの監督のもとで認証情報を安全に保存します。また、IdPおよびSCIMシステムを通じてアクセスを取り消せます。

ベンダーおよび請負業者との共有：IdPに含まれないユーザーを一時的に招待することで、きめ細かなアクセス制御と監査証跡を備えた暗号化コレクションを通じて、外部関係者と認証情報を安全に共有できます。

エンタープライズポリシーの適用：管理者以外のユーザーにSSO認証を必須化し、アカウント復旧への登録を強制し、ユーザーを単一の組織メンバーシップに制限し、2段階ログインを義務付けます。

きめ細かなアクセス制御：役割ベースのアクセス制御、カスタム役割、コレクションベースの権限により、共有認証情報全体で最小権限の原則を支援します。

包括的な監査証跡：イベントログにより、すべてのユーザーとアプリケーションにわたる認証情報へのアクセス、共有、変更、ポリシー変更を記録します。

パスワードポリシーの適用：組織の基準を満たす複雑なパスワードを生成し、すべてのシステムにわたって弱い、再利用された、または侵害された認証情報を特定します。

SSOとBitwardenを併用する組織は、アプリケーション環境全体で完全な認証情報セキュリティを実現できます。セキュリティの死角を受け入れたり、ツールの選択肢を制限したりするのではなく、この組み合わせによって、SSOの適用範囲外にあるアプリケーションにも認証ポリシーを拡張し、SSOへの投資を保護できます。この包括的なアプローチにより、組織全体で認証情報の健全性を可視化しながら、すべてのシステムで弱いパスワードや再利用されたパスワードを排除し、認証情報に関連するインシデントを大幅に削減します。

この連携により、オンボーディングと後任計画の両方を効率化できます。自動プロビジョニングにより、従業員が入社した際にすばやくアクセス権を付与でき、同期されたプロビジョニング解除により、退職時にはただちに認証情報の取り消しが実行されます。外部パートナーと協業する組織では、きめ細かな権限と包括的な監査証跡を提供する暗号化チャネルを通じて、チームがベンダーや請負業者と認証情報を共有できるため、安全なコラボレーションが可能になります。

コンプライアンスの観点では、詳細なログ記録とレポートにより、SSO対応アプリケーションだけでなく、すべてのシステムにわたる包括的な認証情報管理を示すことができます。これにより、組織はコンプライアンス要件を維持しやすくなります。同時に、このソリューションはデバイスをまたいだシームレスな認証情報アクセスを可能にして従業員体験を向上させる一方で、IT部門は一元管理を維持し、組織全体で一貫したセキュリティ基準を適用できます。

すでにSSOを使用している組織は、既存の認証システムを中断することなくBitwardenを追加できます。この連携は現在のインフラストラクチャ内で機能し、すべてのアプリケーションをカバーする統合アクセス管理を提供します。

SSOのギャップを解消する準備はできていますか？7日間のEnterprise無料トライアルを開始してSSO連携をお試しいただくか、営業チームにお問い合わせいただき、アプリケーション環境全体にセキュリティを拡張する方法についてご相談ください。