SSO instellen met vertrouwde apparaten
Dit document helpt je om SSO met vertrouwde apparaten toe te voegen aan je organisatie. Je moet een eigenaar of beheerder van een organisatie zijn om deze stappen te kunnen uitvoeren:
Log in op de Bitwarden web app en open de Admin Console met behulp van de product switcher ():
Product switcher Selecteer Instellingen → Beleid in de navigatie.
Activeer op de pagina Policies de volgende beleidsregels die vereist zijn voor het gebruik van vertrouwde apparaten:
Het beleid voor één organisatie.
Het authenticatiebeleid voor eenmalige aanmelding vereisen.
Het beleid voor het beheer van accountherstel .
De optie Vereis dat nieuwe leden automatisch worden ingeschreven in het beheerbeleid voor accountherstel.
noot
If you do not activate these policies beforehand, they will be automatically activated when you activate the Trusted devices member decryption option. However, if any accounts do not have account recovery enabled, they will need to self-enroll before they can use admin approval for trusted devices. Users who enable account recoverymust log in at least once post-account recovery to fully complete the account recovery workflow.
Selecteer Instellingen > Eenmalige aanmelding in de navigatie. Als je nog geen SSO hebt ingesteld, volg dan een van onze SAML 2.0 of OIDC implementatiegidsen voor hulp.
Selecteer de optie Vertrouwde apparaten in de sectie Ontcijferingsopties voor leden.
Eenmaal geactiveerd kunnen gebruikers beginnen met het ontsleutelen van hun kluizen met een vertrouwd apparaat.
Als je leden wilt hebben zonder hoofdwachtwoord die alleen vertrouwde apparaten kunnen gebruiken, instrueer gebruikers dan om Aanmelden → Enterprise SSO te selecteren vanuit de organisatie-uitnodiging om JIT provisioning te starten. Beheerders/eigenaars moeten nog steeds de Maak account optie gebruiken zodat ze master wachtwoorden hebben voor redundantie en failover doeleinden.
waarschuwing
Migration from SSO with trusted devices to other member decryption options is not currently recommended:
If for any reason your organization needs to switch its member decryption option back to master password from trusted device encryption, you must issue master passwords using account recovery to all users onboarded without them to preserve access to their accounts. Users are then required to fully log in following the master password account recovery in order to complete the workflow.
Moving from SSO with trusted devices to Key Connector is not supported.
Als de ontcijferingsoptie voor leden wordt gewijzigd van Vertrouwde apparaten naar Hoofdwachtwoord zonder hoofdwachtwoorden uit te geven, wordt de gebruikersaccount geblokkeerd. Om deze beleidswijziging door te voeren, moet u:
Geef masterwachtwoorden uit met accountherstel.
Gebruikers moeten ten minste één keer inloggen na het accountherstel om de workflow volledig te voltooien en uitsluiting te voorkomen.
Als de optie voor het ontsleutelen van leden is gewijzigd zonder een hoofdwachtwoord op te geven, blijven de volgende drie opties over voor gebruikers:
Volg de delete-recover-workflow.
Account herstellen vanuit een back-up van account/organisatie.
Maak een nieuwe account of organisatie aan.