Logga in med vanliga frågor om SSO

Den här artikeln innehåller vanliga frågor (FAQ) om inloggning med SSO. För mer information på hög nivå om inloggning med SSO, se om inloggning med SSO

S: Om din organisation använder SSO med betrodda enheter eller använder Key Connector för att själv hosta dekrypteringsnycklar, ersätter inloggningen med SSO-arbetsflödet behovet av att ange ett huvudlösenord för att logga in. I standard SSO-arbetsflödet använder Bitwarden din befintliga identitetsleverantör (IdP) för att autentisera dig, men ditt huvudlösenord och e-post måste fortfarande anges för att dekryptera dina valvdata.

S: Såvida inte din organisation använder SSO med betrodda enheter, måste användare ange sitt huvudlösenord när de loggar in med SSO för att dekryptera deras valv, vilket skyddar dina företags viktiga referenser och hemligheter.

Inloggning med SSO behåller vår end-to-end noll kunskapskrypteringsmodell; ingen på Bitwarden ska ha tillgång till dina valvdata och, viktigare, inte heller din identitetsleverantör. Det är därför som Bitwarden-inloggningen med SSO-erbjudande frikopplar autentisering och dekryptering. Din IdP kan bekräfta att Alice i själva verket är Alice, men kan och bör inte ha verktygen för att dekryptera Alices valv. Endast Alice kan ha det verktyget och i standardinloggningen med SSO-flöde är det hennes huvudlösenord. Lär dig hur data dekrypteras när du använder SSO med betrodda enheter istället.

S: Nej, ditt huvudlösenord förblir detsamma. Om inte din organisation använder SSO med betrodda enheter eller använder Key Connector för att själv hosta dekrypteringsnycklar, måste ditt huvudlösenord användas för att dekryptera valvdata.

S: Som standard, ja, du kan använda din e-postadress och ditt huvudlösenord för att logga in på Bitwarden. Men om din organisation aktiverar både autentiseringspolicyn för enkel organisation och enkel inloggning, eller om din organisation använder Key Connector, måste alla användare som inte är administratörer logga in med SSO.

S: Nya användare som är auktoriserade att använda Bitwarden-applikationen inom IdP och väljer Logga in → Enterprise SSO på Bitwardens inloggningssida kommer att placeras i statusen Accepterad för sin organisation tills de har bekräftats av en administratör.

När den användaren tilldelas en grupp manuellt eller via Directory Connector kommer de att få åtkomst till lämpliga delade objekt. JIT-provisionering rekommenderas om ditt önskade resultat är att ha medlemmar utan huvudlösenord som bara kan använda betrodda enheter.

S: Om du hanterar dina Bitwarden-grupp- och insamlingsuppdrag direkt inom Bitwarden, behöver du inte använda Directory Connector. Men om du vill ha grupper och användare automatiskt synkroniserade med din organisations katalog, rekommenderar vi att du använder inloggning med SSO i samband med Directory Connector för den mest kompletta lösningen.

A: Nej! Om din organisation använder domänverifiering behöver du inte ange denna identifierare. Annars bör administratörer distribuera en av följande webbadresser, där{your-sso-identifier} är din organisations SSO-identifierare för att automatiskt omdirigera användare till SSO-inloggningsskärmen:

• https://vault.bitwarden.com/#/sso?identifier={your-sso-identifier} för amerikanska molnbaserade instanser

• https://vault.bitwarden.eu/#/sso?identifier={your-sso-identifier} för molnbaserade EU-instanser

• https://din.domän.com/#/sso?identifier={your-sso-identifier} för egenvärdiga instanser

S: Förgenererade SSO-konfigurationsvärden inklusive SP Entity ID, SAML 2.0 Metadata URL, ACS URL och Callback Path kan ändras i miljöer med egen värd genom att ändra url:-värdet i .bwdata/config.yml och köra ./bitwarden.sh rebuild-kommandot för att tillämpa din ändring.

S: Att logga in på Bitwarden med SSO-uppgifter utför endast användarautentisering och dekrypterar inte användardata. I de flesta scenarier underlättas dekryptering av en enhetsnyckel vid användning av SSO med betrodda enheter eller med huvudlösenord, som användarna har ensamt ansvar för. Organisationer som är värd för Bitwarden kan alternativt använda Key Connector som ett alternativt sätt att dekryptera valvdata. Att lägga till SSO-funktionalitet introducerar ingen ytterligare individuellt identifierbar information i Bitwarden-databasen.

S: Vår Enterprise-plan erbjuder den här funktionen.

S: I administratörskonsolen, navigera till sidan Prenumerationer → Fakturering och välj Uppgradera plan. Vi rekommenderar starkt att du testar inloggning med SSO genom att starta en 7-dagars Enterprise Free Trial.

S: Bitwarden stöder OpenID Connect, men stöder inte OAuth för närvarande.

A: Ja! Inloggning med SSO kommer att fungera med egenvärdiga instanser oavsett om de är lokalt eller i ditt eget moln, så länge din identitetsserver är tillgänglig från instansen.

A: Ja! Inloggning med SSO kräver endast möjligheten att ansluta till din identitetsleverantör från din instans av Bitwarden. Den kan användas med moln- eller lokala identitetsleverantörer, såväl som moln- eller Bitwarden-instanser med egen värd.

S: Om din identitetsleverantör är offline måste användare logga in med sin e-postadress och sitt huvudlösenord. Detta kan förändras i framtiden eftersom vi möjliggör ytterligare autentiseringskontrollmekanismer för organisationer.