Over vertrouwde apparaten
Met SSO met vertrouwde apparaten kunnen gebruikers zich verifiëren met SSO en hun kluis ontsleutelen met behulp van een versleutelingscode die op het apparaat is opgeslagen, waardoor het niet meer nodig is om een hoofdwachtwoord in te voeren. Vertrouwde apparaten moeten worden geregistreerd voordat ze proberen in te loggen of moeten worden goedgekeurd via een aantal verschillende methoden.
SSO met vertrouwde apparaten geeft zakelijke eindgebruikers een wachtwoordloze ervaring die ook zero-knowledge en end-to-end versleuteld is. Dit voorkomt dat gebruikers worden buitengesloten door vergeten hoofdwachtwoorden en zorgt voor een gestroomlijnde aanmeldervaring.
Om aan de slag te gaan met SSO met vertrouwde apparaten:
SSO instellen met vertrouwde apparaten voor uw organisatie.
Voorzie beheerders van informatie over het goedkeuren van apparaataanvragen.
Geef eindgebruikers informatie over hoe ze vertrouwde apparaten kunnen toevoegen.
De volgende tabbladen beschrijven versleutelingsprocessen en sleuteluitwisselingen die plaatsvinden tijdens verschillende procedures voor vertrouwde apparaten:
Wanneer een nieuwe gebruiker zich aansluit bij een organisatie, wordt een Account Recovery Key(meer informatie) gemaakt door de coderingssleutel van hun account te versleutelen met de openbare sleutel van de organisatie. Accountherstel is vereist om SSO met vertrouwde apparaten mogelijk te maken.
De gebruiker wordt vervolgens gevraagd of hij het apparaat wil onthouden of vertrouwen. Als ze daarvoor kiezen:
De client genereert een nieuwe Device Key . Deze sleutel verlaat de client nooit.
Een nieuw RSA sleutelpaar, de Device Private Key en de Device Public Key, wordt gegenereerd door de client.
De coderingssleutel van de gebruikersaccount wordt versleuteld met de onversleutelde Device Public Key en de resulterende waarde wordt naar de server gestuurd als de Public Key-Encrypted User Key.
De openbare sleutel van het apparaat wordt versleuteld met de coderingssleutel van de gebruikersaccount en de resulterende waarde wordt naar de server gestuurd als de versleutelde openbare sleutel van de gebruikerssleutel.
De privésleutel van het apparaat wordt versleuteld met de eerste apparaatsleutel en de resulterende waarde wordt naar de server verzonden als de versleutelde privésleutel van de apparaatsleutel.
De openbare sleutel versleutelde gebruikerssleutel en de apparaatsleutel versleutelde privésleutel worden van cruciaal belang van de server naar de client verzonden wanneer er wordt aangemeld.
De versleutelde openbare sleutel van de gebruikerssleutel wordt gebruikt als de gebruiker de versleutelingscode van zijn account moet draaien.
Deze tabel geeft meer informatie over elke sleutel die wordt gebruikt in de hierboven beschreven procedures:
Sleutel | Details |
|---|---|
Toets apparaat | AES-256 CBC HMAC SHA-256, 512 bits lang (256 bits voor sleutel, 256 bits voor HMAC) |
Particuliere sleutel en openbare sleutel van apparaat | RSA-2048 OAEP SHA1, 2048 bits lang |
Openbare sleutel-gecodeerde gebruikerssleutel | RSA-2048 OAEP SHA1 |
Gebruikerssleutel-Gecodeerde openbare sleutel | AES-256 CBC HMAC SHA-256 |
Versleutelde privé-sleutel van apparaat | AES-256 CBC HMAC SHA-256 |
Hoewel SSO met vertrouwde apparaten de noodzaak voor een hoofdwachtwoord elimineert, elimineert het niet in alle gevallen het hoofdwachtwoord zelf:
Als een gebruiker aan boord is voordat SSO met vertrouwde apparaten is geactiveerd, of als hij account maken selecteert in de organisatie-uitnodiging, dan behoudt zijn account zijn hoofdwachtwoord.
Als een gebruiker wordt aangemeld nadat SSO met vertrouwde apparaten is geactiveerd en hij/zij Log in → Enterprise SSO selecteert vanuit de organisatie-uitnodiging voor JIT-provisioning, dan heeft zijn/haar account geen hoofdwachtwoord.
warning
Voor accounts die geen hoofdwachtwoord hebben als gevolg van SSO met vertrouwde apparaten, zal het verwijderen uit uw organisatie of het intrekken van hun toegang alle toegang tot hun Bitwarden-account afsluiten, tenzij:
Je wijst hen vooraf een hoofdwachtwoord toe met behulp van accountherstel.
De gebruiker logt ten minste één keer in na het accountherstel om de workflow voor accountherstel volledig te voltooien.
Afhankelijk van het feit of een hoofdwachtwoord hash beschikbaar is in het geheugen voor je client, wat wordt bepaald door hoe je clienttoepassing initieel wordt benaderd, kan het de volgende gedragsveranderingen vertonen:
Functie | Impact |
|---|---|
Verificatie | Er zijn een aantal functies in Bitwarden-clienttoepassingen waarvoor normaal gesproken een hoofdwachtwoord moet worden ingevoerd om ze te kunnen gebruiken, zoals het exporteren van kluisgegevens, het wijzigen van de instellingen voor tweestapsaanmelding, het ophalen van API-sleutels en meer. Als de gebruiker geen hoofdwachtwoord gebruikt om toegang te krijgen tot de client, zullen al deze functies de bevestiging van het hoofdwachtwoord vervangen door TOTP-verificatie via e-mail. |
Kluis vergrendelen/ontgrendelen | Onder normale omstandigheden kan een vergrendelde kluis worden ontgrendeld met een hoofdwachtwoord. Als de gebruiker geen hoofdwachtwoord gebruikt om toegang te krijgen tot de client, kunnen vergrendelde clienttoepassingen alleen worden ontgrendeld met een PIN-code of met biometrische gegevens. Als noch PIN noch biometrie zijn ingeschakeld voor een clienttoepassing, zal de kluis altijd uitloggen in plaats van vergrendelen. Voor ontgrendelen en inloggen is altijd een internetverbinding nodig. |
Hoofdwachtwoord opnieuw vragen | Als de gebruiker zijn kluis niet ontgrendelt met een hoofdwachtwoord, zal de herprompt van het hoofdwachtwoord uitgeschakeld worden. |
CLI | Gebruikers die geen hoofdwachtwoord hebben , hebben geen toegang tot Password Manager CLI. |
Suggest changes to this page
How can we improve this page for you?
For technical, billing, and product questions, please contact support