Kies de juiste SSO aanmeldstrategie

With cybersecurity as a top priority, many businesses deploy single sign-on (SSO) to reduce the number of employee login IDs and passwords. In addition to increasing security, single-click access through SSO helps improve the user experience and enhance productivity. 

Bitwarden understands why enterprises choose to adopt SSO, and offers multiple authentication options to deliver the right configuration for each company’s needs. 

These implementation offerings align with Bitwarden foundational design goals and our engineering approach, which starts with the concept of zero knowledge encryption. 

Bitwarden builds on the principle of zero knowledge encryption, which means that everything you store in a Bitwarden vault is encrypted and cannot be viewed by anyone but yourself or authorized users within your company. Most password managers implement a zero knowledge encryption approach albeit to varying degrees. Bitwarden combines end-to-end encryption and complete zero knowledge encryption so nobody, not even Bitwarden, has access. 

Quick Reference

In end-to-end encryption, encryption and decryption occurs at the device level. Vault data is encrypted before leaving the phone or computer and decrypted at the destination. Bitwarden uses AES-CBC 256 bit encryption, salted hashing, and PBKDF2 SHA-256 to protect all vault data. 

With zero-knowledge encryption, Bitwarden team members cannot access any of your information. Instead, your data remains end-to-end encrypted with your email and master password. Of course, not all commercial applications and services are built - or need to be built - with this framework. In non-encrypted applications, usernames and passwords provide access. With no encryption protocol in place, software providers can access any user data stored within the application. 

When a user logs into Bitwarden, an encrypted application, two things happen: authentication and decryption. The user must first authenticate themselves to access encrypted vault data, which is then decrypted locally with the user’s key, derived from their master password. For the majority of Bitwarden users, their master password enables both of those steps. It serves as the authentication agent as well as the decryption key. 

Businesses looking to leverage SSO with Bitwarden should consider the flexible options Bitwarden provides. 

With SSO and non-encrypted applications, users authenticate with one set of credentials to access multiple applications. In many cases, that’s all corporate end-users need. SSO only takes care of authentication in these cases as there is no encrypted information.

To maintain zero knowledge encryption, Bitwarden separates authentication and decryption into two discrete steps for SSO: authentication through the SSO provider, then decryption and vault access through a master password. As a result, decryption keys never pass through Bitwarden servers and users maintain credentials for SSO, and their own decryption key for Bitwarden. 

Om een reeks bedrijven met verschillende IT-middelen en ecosystemen zo goed mogelijk van dienst te zijn, biedt Bitwarden twee implementatieopties voor het integreren van de oplossing met SSO.

Deze optie biedt een wachtwoordloze bedrijfservaring voor werknemers via een vertrouwd apparaatmodel, waardoor het algehele aanmeldproces eenvoudiger, sneller en schaalbaarder wordt. Zodra hun apparaten zijn geregistreerd en bevestigd, hoeft een gebruiker alleen nog maar te worden geverifieerd met de SSO om toegang te krijgen tot versleutelde kluisgegevens. Een versleutelingssleutel die wordt gebruikt als onderdeel van het ontsleutelingsproces is veilig opgeslagen op het apparaat, dus zodra de SSO-service de gebruiker heeft geverifieerd, kan het apparaat de gegevens ontsleutelen zonder extra gebruikersinvoer.

Lees hier meer over SSO met vertrouwde apparaten

Inloggen met SSO gebruikt de SSO-provider voor verificatie en vervolgens een Bitwarden-hoofdwachtwoord van de gebruiker om zijn gegevens te ontsleutelen. Dit is de eenvoudigste implementatieoptie voor IT-teams om het SSO-authenticatieproces te behouden en een uniek wachtwoord te behouden voor ontsleuteling met een zero-knowledge encryptiemodel.

Meer informatie over inloggen met SSO hier

Deze optie integreert de stappen om gebruikersgegevens te ontsleutelen, waarbij IT-beheerders een key connector-applicatie (of een sleutelbeheerserver) implementeren en beheren om de versleutelingscodes van gebruikers te bewaren voor Bitwarden-kluizen.

Via een zelf gehoste keyserver kunnen bedrijven de sleutels opslaan, beheren en automatisch leveren om de gegevens van gebruikers te ontsleutelen als ze zich aanmelden bij Bitwarden via SSO. Het proces handhaaft nul-kennisversleuteling aan de Bitwarden-kant en is naadloos voor gebruikers: ze loggen in via SSO en hebben direct toegang tot hun ontsleutelde Bitwarden-kluis, alles in één stap.

Omdat de keyserver gevoelige gebruikersgegevens bevat, is het cruciaal dat bedrijven begrijpen hoe ze de server moeten implementeren, back-uppen en onderhouden en een strikt beveiligingsbeleid moeten implementeren. Het beheer van cryptografische sleutels is ongelooflijk gevoelig en wordt alleen aanbevolen voor bedrijven met een team en een infrastructuur die al veilig een keyserver heeft geïmplementeerd en beheerd.

Bitwarden zet zich in om bedrijven te beschermen en wachtwoordbeveiliging eenvoudig te maken voor eindgebruikers. De SSO-opties van Bitwarden bevorderen en stimuleren gebruikersadoptie en vereenvoudigen de gebruikerservaring terwijl ze trouw blijven aan de zero-knowledge encryptiebenadering.

Als je voor Bitwarden kiest, krijg je de flexibiliteit om elke identiteitsprovider te gebruiken die de SAML- of OpenID-standaarden ondersteunt. De unieke combinatie van het kiezen van je eigen identiteitsprovider, gekoppeld aan de SSO-opties die Bitwarden biedt, betekent dat bedrijven het juiste authenticatie- en decoderingsmodel kunnen inzetten met een vertrouwde, open source benadering.